они бы от рута пускались ибо нет смысла от апача их пускатьесли скриптов нету на диске, то скорее всего root взломан?
поломали сервак
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: поломали сервак
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: поломали сервак
в этой переменной $0='mydaemon'; храниться название запускаемого файла.... тогда find не может и ps тоже?
http://www.hypernews.org/HyperNews/get/ ... s/315.html
http://www.hypernews.org/HyperNews/get/ ... s/315.html
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: поломали сервак
что find и ps не может?
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: поломали сервак
скриптов которые работают не смогут же найти эти команды, т.е. название исполняемого файла поменялось в perlе?
zg писал(а): меня в данном случае смущает следующая ситуация - скрипты висят в процессах, но на диске их нет. Как по процессу можно определить путь, откуда он запустился?
- gloom
- лейтенант
- Сообщения: 738
- Зарегистрирован: 2008-03-13 16:29:12
- Откуда: UA
Re: поломали сервак
может lsof + grep
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: поломали сервак
Код: Выделить всё
grep -r / perl
-
- лейтенант
- Сообщения: 645
- Зарегистрирован: 2008-03-09 11:32:12
- Откуда: Москва
Re: поломали сервак
попробуй поставить pstree
она покажет от кого запускаются эти процессы
она покажет от кого запускаются эти процессы
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: поломали сервак
я вспомнил еще, мне рекомендовали снять бит exec с файлов где все хостовые файлы стоят...
и безопасность php может надо настроить, выключить опасные функцию? и чтобы сайт работал от конкретного пользователя...
и безопасность php может надо настроить, выключить опасные функцию? и чтобы сайт работал от конкретного пользователя...
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
эммм... зачем же впадать в крайностиProFTP писал(а):я вспомнил еще, мне рекомендовали снять бит exec с файлов где все хостовые файлы стоят...
модифицировал свой скрипт до такого состояния
Код: Выделить всё
#!/bin/sh
PIDS=`ps wuax | grep nobody | grep perl | awk '{print $2}'`
FILE=/home/zg/spam_start.txt
if [ -n "${PIDS}" ];
then
date >> ${FILE}
kill -9 ${PIDS}
fi
Код: Выделить всё
%cat spam_start.txt
Sat Oct 10 22:35:00 YEKST 2009
Sat Oct 10 23:15:00 YEKST 2009
Sat Oct 10 23:40:00 YEKST 2009
Sat Oct 10 23:55:00 YEKST 2009
Sun Oct 11 00:35:00 YEKST 2009
ухт, какая штукенция прикольная -))) Спасибо!Gloft писал(а):попробуй поставить pstree
она покажет от кого запускаются эти процессы
пробовал, не находитProFTP писал(а):может все скрипты найдет
ну... какбы если в топе висят демоны с иммунитетом на катчибл килл и шлют спам, то явно что-то не так.ProFTP писал(а):а ты уверен что его вломали?
суть не меняется - на серваке есть дырка, её активно юзают, мне интересно найти её и посмотреть, как она работает. Устранить последствия не проблема, главное найти! Вообще, есть подозрения, что сломали через syscp.ProFTP писал(а):если там 28 сайтов ты говоришь, то может кто-то по фтп(или через веб морду) зашел и скрипты поставил там на 777 права?
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: поломали сервак
может где-то не фильтруються данные из form и идет банальный exec perl ... через php - самописный скрипт
Последний раз редактировалось ProFTP 2009-10-10 22:05:50, всего редактировалось 2 раза.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: поломали сервак
ну если взломали через php
то не помню где но можно включить php логирование
и смотреть что откуда лезет)
но сервер такого дебага может не выжержать - тупить будет если люду много туда ходит
то не помню где но можно включить php логирование
и смотреть что откуда лезет)
но сервер такого дебага может не выжержать - тупить будет если люду много туда ходит
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: поломали сервак
да и вообще апачевские логи будут показывать
ты вообще в них смотрел?)
ты вообще в них смотрел?)
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
вообще там 26 логов, которые засраны по самое не хачу единого лога нет, поэтому сначала надо определить сайт, который сломали, а потом смотреть логи, иначе это бесполезно -)))paradox писал(а):ты вообще в них смотрел?)
я смотрел, но ничё особенного не заметил. Ситуация сильно осложняется кривой настройкой сервера.paradox писал(а):то не помню где но можно включить php логирование
Я сейчас хочу определить время, когда стартует спам и по логам проверить это время. Не думаю, что за минуту или две, на всех сайтах будет большая активность.
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: поломали сервак
Я тебе тулзу одну могу дать, она под венду. Пошерсти ей сайты, может поможет найти дырочку Acunetix Web Vulnerablity Scanner (cracked)zg писал(а):вообще там 26 логов, которые засраны по самое не хачу единого лога нет, поэтому сначала надо определить сайт, который сломали, а потом смотреть логи, иначе это бесполезно -)))paradox писал(а):ты вообще в них смотрел?)
я смотрел, но ничё особенного не заметил. Ситуация сильно осложняется кривой настройкой сервера.paradox писал(а):то не помню где но можно включить php логирование
Я сейчас хочу определить время, когда стартует спам и по логам проверить это время. Не думаю, что за минуту или две, на всех сайтах будет большая активность.
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- thefree
- лейтенант
- Сообщения: 980
- Зарегистрирован: 2008-12-29 9:23:19
- Откуда: Весёлая Страна
Re: поломали сервак
как там дела?
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: поломали сервак
запертите exec и всё в php.ini и вообще
chkrootkit && rkhunter
chkrootkit && rkhunter
Z301171463546 - можно пожертвовать мне денег
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
thefree писал(а):как там дела?
Код: Выделить всё
Tue Oct 13 18:03:00 YEKST 2009
Tue Oct 13 20:11:00 YEKST 2009
Tue Oct 13 21:23:00 YEKST 2009
Tue Oct 13 22:37:00 YEKST 2009
Tue Oct 13 23:53:00 YEKST 2009
времени особо ковыряться не было дырень пока осталась
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
не -)) это не поможет, там совсем всё криво настроено, просто хочу отловить дырку.zingel писал(а):запертите exec и всё в php.ini и вообще
chkrootkit && rkhunter
было бы неплохоreLax писал(а):Я тебе тулзу одну могу дать, она под венду. Пошерсти ей сайты, может поможет найти дырочку
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
сёдня попробую посканить сенкс!
- koffu
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-03-23 0:51:18
- Откуда: Киев
- Контактная информация:
Re: поломали сервак
У меня похожее было, скомуниздили пароли на FTP у пользователя из Total Commander, все время от его аккаунта заливали какие-то *.pl в cgi-bin, потом запускали через апач. Решил сменой пароля и chmod a-x на бинарник перла. Мне он на сервере НАХ не нужен.
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: поломали сервак
им сам апач пользуется, например, apxskoffu писал(а):и chmod a-x на бинарник перла. Мне он на сервере НАХ не нужен.
-))) бывает, сёдня попробую просканить сайты тулзой, посомтрим, что получитсяkoffu писал(а):скомуниздили пароли на FTP у пользователя из Total Commander
- Cheshirski
- рядовой
- Сообщения: 18
- Зарегистрирован: 2009-09-02 10:13:41
- Откуда: Ленинск-Кузнецкий
- Контактная информация:
Re: поломали сервак
попробуй rootkithunter
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: поломали сервак
По pid можно найти сам файл через fstat. Когда найдется файл станет понятно где в каком месте он находится.
Тогда будет понятно как он туда мог попасть.
Поставь mod_security, оно частично помогает.
Заставь юзеров удалить установленные phpmyadmin и тому подобный софт, который доступен всем рыскающим хакерам для попыток взлома. Часто бывает, что у клиента стоят древние уязвимые версии.
Ну и по размеру лога виртуального веб-сайта можно догадываться об активности, а там уже начать изучать лог.
Желаю удачи.
Тогда будет понятно как он туда мог попасть.
Поставь mod_security, оно частично помогает.
Заставь юзеров удалить установленные phpmyadmin и тому подобный софт, который доступен всем рыскающим хакерам для попыток взлома. Часто бывает, что у клиента стоят древние уязвимые версии.
Ну и по размеру лога виртуального веб-сайта можно догадываться об активности, а там уже начать изучать лог.
Желаю удачи.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!