Нужна помощь люди (залили злой php скрипт на хостинг)

[sop]

Привет народ, вообщем стоит в локали скрипт хостинга, обычного на пхп, с ограничением файла на 2Мб, но без ограничений что заливать, просматривая каталог обнаружил r57shell 1.31.php скрипт, который собирает множественную инфу о сервере, выводит структуры папок..может дампить базы данных, загрузку файлов в каталоги сервера..вообщем не знаю какую цель преследовал заливающий, интерес или что-то посерьёзней, но сервер пока робжет, тьфу, тьфу, тьфу.
Вопрос к знающим, как вычеслить ип ублюдка.
И ещё какой функцией можно исключить заливку файлов определённого расширения, в моем случае надо запретить php, перл скрипты и скл. Если кто разбирается дайте пожалуйста код.
Надеюсь на помощь опытных людей.
Всем заранее спасибо!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[serge]

Вопрос к знающим, как вычеслить ип ублюдка.

По логам не получается?

[sop]

Уважаемый serge..
Раньше просто не общался с этим делом (но вот до первого раза), лог файл access.log апача весит гиг у меня, чем его открыть?
обычные редакторы зависают это естественно такой обьем.
скачал просмотрщики логов, так и не разобрался как посматреть или разбить лог по частям...
Можете помочь как это сделать? (сервер как уже говорилось стоит на win32)

[zg]

обнаружил r57shell 1.31.php скрипт, который

-)))) весьма позновательный скрипт, правда -)))

вообщем не знаю какую цель преследовал заливающий

ящики слить, если таковые имеются, по возможности поднять проксю

Вопрос к знающим, как вычеслить ип ублюдка.

99% - сломали в новый год -))), нас обычно либо 31, либо в первых числах ломали

И ещё какой функцией можно исключить заливку файлов определённого расширения

той самой, которая у тебя дырявая. Загрузить файл через апач можно только через принимающий скрипт. Смотри скрипты, которые орудуют с массивом $_FILES, и там запрещай.

Для профилактики сделай поиск по файлам, содержащих passthru

[sop]

Вроде решил часть проблемы..

-)))) весьма позновательный скрипт, правда -)))

да хороший шел)

ящики слить, если таковые имеются, по возможности поднять проксю

да сервер в локалки стоит, какие ящики млин))

опрос к знающим, как вычеслить ип ублюдка.99% - сломали в новый год -))), нас обычно либо 31, либо в первых числах ломали

нет только вчера обнаружил, не понял цитаты про ип, мине нужно узнать, хрен с ним когда ломали не ломали))

Для профилактики сделай поиск по файлам, содержащих passthru

нема

той самой, которая у тебя дырявая. Загрузить файл через апач можно только через принимающий скрипт. Смотри скрипты, которые орудуют с массивом $_FILES, и там запрещай.

Спасибо, вобщем немного подумал и сделал так, если заливаещь php она перейменовывается в jpg..

Код: Выделить всё

<?
$target_path = "files/";
$fn=basename( $_FILES['uploadedfile']['name']);
$fn=str_replace(".php",".jpg",$fn);
$nfn=$target_path . $fn;
$target_path = $target_path . $fn; 

вроде работает
Не подскажите как прикрутить сюда, чтобы мессага выводилась юзеру, типо атата - не обязательно.., и эксплойт в текстовый файлик логировался??
Я прост очень долга дошаривать буду, если самому делать..)
кстати ставил в пхп.ини safe_modы но блин кое-какая функция из-за них непашет, проглатывается...
пришлось отрубить

Теперь остается вопрос как ип бандита узнать. Чем лог октрыть этот громадный..

[zg]

Спасибо, вобщем немного подумал и сделал так, если заливаещь php она перейменовывается в jpg..

я видел как сайты ломают через загрузку простых картинок -))) проблема не в том, что расширение php, а в том, что загрузку файла контролирует пользователь

да сервер в локалки стоит, какие ящики млин))

гм.. откуда гиговый лог?

нет только вчера обнаружил

смотри время создания файла, потом ищи записи в логе апача, которые были в это самое время к файлу с дырявой загрузкой

кстати ставил в пхп.ини safe_modы

толку то от неё под виндой -))) скрипты нада латать, пхп от дыр не спасёт.

[serge]

Уважаемый serge..
Раньше просто не общался с этим делом (но вот до первого раза), лог файл access.log апача весит гиг у меня, чем его открыть?
обычные редакторы зависают это естественно такой обьем.
скачал просмотрщики логов, так и не разобрался как посматреть или разбить лог по частям...
Можете помочь как это сделать? (сервер как уже говорилось стоит на win32)

Ну так используй правильный ОСь и будут там правильные редакторы и просмотрщики

[sop]

я видел как сайты ломают через загрузку простых картинок -))) проблема не в том, что расширение php, а в том, что загрузку файла контролирует пользователь

отлично, я понял это ваше специальность, что подскажите как профессионал?

гм.. откуда гиговый лог?

это не сайт-однодневка, апач реинсталил в октябре ещё, а ресурсы: \трекер+форум+хостинг\

смотри время создания файла, потом ищи записи в логе апача, которые были в это самое время к файлу с дырявой загрузкой

Да это всё понятно, но как мне лог открыть чёрт возьми

Ну так используй правильный ОСь и будут там правильные редакторы и просмотрщики

Иминна!! Маленький локальный домик на скромненькой машинке, по совместительству медиа по максимуму использую, так что перелазить на юнь желая нет..
Из под вин32 реально ето сделать или нет, проооосто жаждю наказать падонка, есть пару человек на примете, но нужны доки...
И тогда не локаль станет, а ад для этого человека (- минус сервисный трекер провайдера, - минус мой трекер, - минус ирс, ну и не респектосик конешно от коммьюнити) )

[zg]

Да это всё понятно, но как мне лог открыть чёрт возьми

vc, far, npp

Из под вин32 реально ето сделать или нет, проооосто жаждю наказать падонка, есть пару человек на примете, но нужны доки...

Код: Выделить всё

ZG-BIG# uname -a
WindowsNT zg-big 1 5 x86
ZG-BIG# which grep
D:/UNIX/usr/local/wbin/grep
ZG-BIG# grep --help
Usage: grep [OPTION]... PATTERN [FILE] ...
Search for PATTERN in each FILE or standard input.
Example: grep -i 'hello world' menu.h main.c

Regexp selection and interpretation:
  -E, --extended-regexp     PATTERN is an extended regular expression
  -F, --fixed-strings       PATTERN is a set of newline-separated strings
  -G, --basic-regexp        PATTERN is a basic regular expression
  -e, --regexp=PATTERN      use PATTERN as a regular expression
  -f, --file=FILE           obtain PATTERN from FILE
  -i, --ignore-case         ignore case distinctions
  -w, --word-regexp         force PATTERN to match only whole words
  -x, --line-regexp         force PATTERN to match only whole lines
  -z, --null-data           a data line ends in 0 byte, not newline

Miscellaneous:
  -s, --no-messages         suppress error messages
  -v, --invert-match        select non-matching lines
  -V, --version             print version information and exit
      --help                display this help and exit
      --mmap                use memory-mapped input if possible

Output control:
  -b, --byte-offset         print the byte offset with output lines
  -n, --line-number         print line number with output lines
  -H, --with-filename       print the filename for each match
  -h, --no-filename         suppress the prefixing filename on output
  -q, --quiet, --silent     suppress all normal output
      --binary-files=TYPE   assume that binary files are TYPE
                            TYPE is 'binary', 'text', or 'without-match'.
  -a, --text                equivalent to --binary-files=text
  -I                        equivalent to --binary-files=without-match
  -d, --directories=ACTION  how to handle directories
                            ACTION is 'read', 'recurse', or 'skip'.
  -r, --recursive           equivalent to --directories=recurse.
  -L, --files-without-match only print FILE names containing no match
  -l, --files-with-matches  only print FILE names containing matches
  -c, --count               only print a count of matching lines per FILE
  -Z, --null                print 0 byte after FILE name

Context control:
  -B, --before-context=NUM  print NUM lines of leading context
  -A, --after-context=NUM   print NUM lines of trailing context
  -C, --context[=NUM]       print NUM (default 2) lines of output context
                            unless overridden by -A or -B
  -NUM                      same as --context=NUM
  -U, --binary              do not strip CR characters at EOL (MSDOS)
  -u, --unix-byte-offsets   report offsets as if CRs were not there (MSDOS)

`egrep' means `grep -E'.  `fgrep' means `grep -F'.
With no FILE, or when FILE is -, read standard input.  If less than
two FILEs given, assume -h.  Exit status is 0 if match, 1 if no match,
and 2 if trouble.

Report bugs to <bug-gnu-utils@gnu.org>.
ZG-BIG#

было бы желание -)))

[sop]

нии чо не понял

[zg]

нии чо не понял

ну... начни с

Код: Выделить всё

C:\Documents and Settings\zg>help help
Вывод справочных сведений о командах Windows XP.

HELP [<команда>]

    <команда> - команда, интересующая пользователя.

C:\Documents and Settings\zg>

постом выше я просто привёл пример использования протированного юниксового шелла под виндой. Хотя винда и сама имеет все нужные средства в коммандной строке. Было бы желание изучать -))) Кстати у винды достаточно полная и грамотная справочная система, команды там все расписаны.