Подозрения на попытку взлома
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Подозрения на попытку взлома
Приветствую!
Есть подозрения на попытку взлома сервера шаредхостинга
Зашел в /usr/local/etc и обнаружил там симлинк #php.ini > root@myhost:52331 притом вместо myhost там реальный хстнейм системы по которому можно ципанутся откуда угодно.
Не подскажете, что за зверь умудрился записать в эту диру? И что за вид атаки
Есть подозрения на попытку взлома сервера шаредхостинга
Зашел в /usr/local/etc и обнаружил там симлинк #php.ini > root@myhost:52331 притом вместо myhost там реальный хстнейм системы по которому можно ципанутся откуда угодно.
Не подскажете, что за зверь умудрился записать в эту диру? И что за вид атаки
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Подозрения на попытку взлома
логи
права
и прочее изучайте
врядли на сайте есть вирусописатели
которые вам расскажут кто из них туда это записал
права
и прочее изучайте
врядли на сайте есть вирусописатели
которые вам расскажут кто из них туда это записал
-
- проходил мимо
Re: Подозрения на попытку взлома
В логах нечего необычного
А в темп воляется
А в темп воляется
Код: Выделить всё
+==================================+
| SU CRACKER |
| by CIOCAN |
| ()__))__________))))~ |
| RELEASE DATE:01.07.09 |
| |
+==================================+
-
- мл. сержант
- Сообщения: 128
- Зарегистрирован: 2008-04-14 14:49:48
- Контактная информация:
Re: Подозрения на попытку взлома
Похожее было описано при взломе сайта Apache там внедряли CGI скрипты в папки
http://www.xakep.ru/post/49304/default.asp - тут и где то по сслылкам читал описание атаки
PS во нашёл - Как был взломан Apache.org
http://www.xakep.ru/post/49304/default.asp - тут и где то по сслылкам читал описание атаки
PS во нашёл - Как был взломан Apache.org
-
- проходил мимо
Re: Подозрения на попытку взлома
Ну не знаю похоже или не похоже, но мне не понятно как умудрились кинуть симлинк в /usr/local/etc, и что они от этого хотели поиметь изменить настройки php?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: Подозрения на попытку взлома
шел тебе залить изменив глобальные переменные похапе, а ты в следующий раз не делай никогда в жизни chmod 777 /tmp
Z301171463546 - можно пожертвовать мне денег
-
- проходил мимо
Re: Подозрения на попытку взлома
Ну я так и понял что хотели сменить настройки php, а толку то,zingel писал(а):шел тебе залить изменив глобальные переменные похапе, а ты в следующий раз не делай никогда в жизни chmod 777 /tmp
-
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
- Контактная информация:
Re: Подозрения на попытку взлома
ну вот вы сами то подумайте
на /usr/local/etc
есть права на запись только у рута
вот и копайте в нужном направлении
но если тот кто положил туда симлинк не дурак то максимум что вам удасться вычислить это дату редактирования или взлома так называемого
Поставьте пасы по 50-70 знаков и не парьтесь
мой начальнег на сервер никогда с первого раза зайти неможет
на /usr/local/etc
есть права на запись только у рута
вот и копайте в нужном направлении
но если тот кто положил туда симлинк не дурак то максимум что вам удасться вычислить это дату редактирования или взлома так называемого
Поставьте пасы по 50-70 знаков и не парьтесь
мой начальнег на сервер никогда с первого раза зайти неможет
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Подозрения на попытку взлома
ты хоть пароли-то поменял?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- рядовой
- Сообщения: 36
- Зарегистрирован: 2009-07-25 18:31:32
- Откуда: Кишинев
Re: Подозрения на попытку взлома
CIOCAN по молдавски это "молоток"M@}{ писал(а):Код: Выделить всё
+==================================+ | SU CRACKER | | by CIOCAN | | ()__))__________))))~ | | RELEASE DATE:01.07.09 | | | +==================================+
-
- проходил мимо
Re: Подозрения на попытку взлома
Ну этот фаил посмотрел, давно там валялся, так что не факт что переборам что-то сделали, так как пароли довольно таки сложные.milleroff писал(а):CIOCAN по молдавски это "молоток"M@}{ писал(а):Код: Выделить всё
+==================================+ | SU CRACKER | | by CIOCAN | | ()__))__________))))~ | | RELEASE DATE:01.07.09 | | | +==================================+
А вот как записать умудрились, и при этом не свалить весь сервер, не пойму.
-
- мл. сержант
- Сообщения: 128
- Зарегистрирован: 2008-04-14 14:49:48
- Контактная информация:
Re: Подозрения на попытку взлома
тут как вариант