Подозрения на попытку взлома

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
M@}{
проходил мимо

Подозрения на попытку взлома

Непрочитанное сообщение M@}{ » 2009-09-11 0:07:42

Приветствую!
Есть подозрения на попытку взлома сервера шаредхостинга
Зашел в /usr/local/etc и обнаружил там симлинк #php.ini > root@myhost:52331 притом вместо myhost там реальный хстнейм системы по которому можно ципанутся откуда угодно.
Не подскажете, что за зверь умудрился записать в эту диру? И что за вид атаки

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Подозрения на попытку взлома

Непрочитанное сообщение paradox » 2009-09-11 0:10:52

логи
права
и прочее изучайте
врядли на сайте есть вирусописатели
которые вам расскажут кто из них туда это записал

M@}{
проходил мимо

Re: Подозрения на попытку взлома

Непрочитанное сообщение M@}{ » 2009-09-11 12:22:43

В логах нечего необычного
А в темп воляется

Код: Выделить всё

+==================================+
|	SU CRACKER		   |
|		by CIOCAN	   |
|	()__))__________))))~      |
|	RELEASE DATE:01.07.09	   |
|				   |
+==================================+

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: Подозрения на попытку взлома

Непрочитанное сообщение Mobilesfinks » 2009-09-11 12:29:35

Похожее было описано при взломе сайта Apache там внедряли CGI скрипты в папки

http://www.xakep.ru/post/49304/default.asp - тут и где то по сслылкам читал описание атаки

PS во нашёл - Как был взломан Apache.org

M@}{
проходил мимо

Re: Подозрения на попытку взлома

Непрочитанное сообщение M@}{ » 2009-09-11 13:55:30

Ну не знаю похоже или не похоже, но мне не понятно как умудрились кинуть симлинк в /usr/local/etc, и что они от этого хотели поиметь изменить настройки php?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Подозрения на попытку взлома

Непрочитанное сообщение zingel » 2009-09-11 14:27:02

шел тебе залить изменив глобальные переменные похапе, а ты в следующий раз не делай никогда в жизни chmod 777 /tmp
Z301171463546 - можно пожертвовать мне денег

M@}{
проходил мимо

Re: Подозрения на попытку взлома

Непрочитанное сообщение M@}{ » 2009-09-11 15:16:32

zingel писал(а):шел тебе залить изменив глобальные переменные похапе, а ты в следующий раз не делай никогда в жизни chmod 777 /tmp
Ну я так и понял что хотели сменить настройки php, а толку то,

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Подозрения на попытку взлома

Непрочитанное сообщение arkan » 2009-09-11 17:47:44

ну вот вы сами то подумайте
на /usr/local/etc
есть права на запись только у рута
вот и копайте в нужном направлении
но если тот кто положил туда симлинк не дурак то максимум что вам удасться вычислить это дату редактирования или взлома так называемого
Поставьте пасы по 50-70 знаков и не парьтесь
мой начальнег на сервер никогда с первого раза зайти неможет :-D :-D :-D

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Подозрения на попытку взлома

Непрочитанное сообщение princeps » 2009-09-11 20:48:27

ты хоть пароли-то поменял?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

milleroff
рядовой
Сообщения: 36
Зарегистрирован: 2009-07-25 18:31:32
Откуда: Кишинев

Re: Подозрения на попытку взлома

Непрочитанное сообщение milleroff » 2009-09-14 10:32:18

M@}{ писал(а):

Код: Выделить всё

+==================================+
|	SU CRACKER		   |
|		by CIOCAN	   |
|	()__))__________))))~      |
|	RELEASE DATE:01.07.09	   |
|				   |
+==================================+
:-D CIOCAN по молдавски это "молоток" :-D

Гость
проходил мимо

Re: Подозрения на попытку взлома

Непрочитанное сообщение Гость » 2009-09-14 10:59:27

milleroff писал(а):
M@}{ писал(а):

Код: Выделить всё

+==================================+
|	SU CRACKER		   |
|		by CIOCAN	   |
|	()__))__________))))~      |
|	RELEASE DATE:01.07.09	   |
|				   |
+==================================+
:-D CIOCAN по молдавски это "молоток" :-D
Ну этот фаил посмотрел, давно там валялся, так что не факт что переборам что-то сделали, так как пароли довольно таки сложные.
А вот как записать умудрились, и при этом не свалить весь сервер, не пойму.

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: Подозрения на попытку взлома

Непрочитанное сообщение Mobilesfinks » 2009-09-17 19:43:54

тут как вариант