Меня ломают. Как сделать защиту

Discussion in 'Уязвимости' started by Nicca, 23 Jun 2009.

  1. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    На нескольких моих сайтах постоянно в конец файла index.php постоянно дописывают в конец какой-то код - то ссылки, то яваскрипт, то iframe

    Что это за тип уязвимости и как защитится от такого взлома
     
  2. AlexSatter

    AlexSatter Member

    Joined:
    29 Jan 2009
    Messages:
    305
    Likes Received:
    92
    Reputations:
    33
    это у вас на ПК вирус скорее всего, и вирь достает ваши пассы из ваших фтп менеджеров и пишет всё что не попадя :)

    1. вычистить машины, с которых вы пользуетесь ФТП от вирусов
    2. поменять пароли на фтп
    3. никак руководство к действию, а как совет: не сохраняйте пароль в фтп менеджере, что там у вас, тотал командер или что-то подобное.
     
  3. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    Я такого никогда не делал. Все пароли хранятся в текст. файлах. В тотал командере хранится только логин и имя хоста. Пароль постоянно спрашивает и я его копирую в окошко.
     
  4. Fata1ex

    Fata1ex Elder - Старейшина

    Joined:
    12 Dec 2006
    Messages:
    703
    Likes Received:
    300
    Reputations:
    38
    Создайте тему о проверке сайта на уязвимости в данном разделе. Помогут.
     
    #4 Fata1ex, 23 Jun 2009
    Last edited: 23 Jun 2009
  5. AlexSatter

    AlexSatter Member

    Joined:
    29 Jan 2009
    Messages:
    305
    Likes Received:
    92
    Reputations:
    33
    Nicca
    ещё раз повторюсь, поменяйте пароли и проверьтесь на спид в первую очередь.
    ну а потом можно выложить и сайтец, посмотреть что там у вас, может действительно забираются через дырки.

    а что дописывают тебе в концы? jQuery какой-нить закодированный? :)
     
  6. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    или шелл залили,или хостинг сам его прописует.
     
    #6 L I G A, 23 Jun 2009
    Last edited: 23 Jun 2009
  7. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    нет был в скрытом слое 8 ссылок на чужие сайты.
    Просто я вот думаю что если бы ломанули фтп то там у меня где-то 10 сайтов и такая байда была на каждом из них или что-то в этом роде
     
  8. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    а как свой сайт можно просканировать на предмет шела? Или только руками?
     
  9. AlexSatter

    AlexSatter Member

    Joined:
    29 Jan 2009
    Messages:
    305
    Likes Received:
    92
    Reputations:
    33
    Вы писали: На нескольких моих сайтах постоянно в конец файла index.php постоянно дописывают в конец какой-то код

    ключевая фраза: на нескольких
    не игнорируйте мои советы. + давайте сайт в проверку уязвимостей. Будем крутить
     
  10. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    Ну на одном сайте - это типичный ГС. Да и давненько это было.
    А вот для белого проекта.. было полной неожиданностью А я -то думаю почему пузомерки нулевые + яндекс не индексирует..?
    Тему создал в разделе что Вы писали, но что-то модераторы ее пока не утвердили..
     
  11. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
    Чтобы найти "все" шелы на сервере:

    find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|brute *force"

    в одну строку.
     
  12. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    Я файл перезаписал когда исправлял..

    А это где писать?
     
  13. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    п.с. я скачал полный бэкап файлов с сервера. Можно как-нибудь этот поиск приспособить под обычный виндосовкий поиск файлов?
     
  14. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    А какая будет запись в логах когда происходит запись в файл? У меня есть все логи я могу по ним вычислить..
     
  15. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    Вот нашел в логах странную запись Она постоянно повторяется:
    [Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
    [Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

    Что это была за ошибка?
     
  16. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    Т.е. файл friends.php записываемый для группы.Это происходит, если php-скрипт имеет права 664
     
  17. Nicca

    Nicca Elder - Старейшина

    Joined:
    11 Jan 2008
    Messages:
    93
    Likes Received:
    4
    Reputations:
    -6
    тоесть получается что в него кто-то хотел записать не из группы?
     
  18. L I G A

    L I G A Banned

    Joined:
    27 Jul 2008
    Messages:
    482
    Likes Received:
    380
    Reputations:
    49
    кто то залил шелл ,хотел запустить он выдал ему n Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
    дальше я думаю злоумышленик отредактировал любой родной файл , вписав в него шелл.
     
  19. Велемир

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    либо через веб шелл в графе Команды,либо в системной консоли ).
     
Loading...