forum.lissyara.su

Добавлено: **2009-01-12 2:52:09**

Привет народ, вообщем стоит в локали скрипт хостинга, обычного на пхп, с ограничением файла на 2Мб, но без ограничений что заливать, просматривая каталог обнаружил r57shell 1.31.php скрипт, который собирает множественную инфу о сервере, выводит структуры папок..может дампить базы данных, загрузку файлов в каталоги сервера..вообщем не знаю какую цель преследовал заливающий, интерес или что-то посерьёзней, но сервер пока робжет, тьфу, тьфу, тьфу.

Вопрос к знающим, как вычеслить ип ублюдка.
И ещё какой функцией можно исключить заливку файлов определённого расширения, в моем случае надо запретить php, перл скрипты и скл. Если кто разбирается дайте пожалуйста код.
Надеюсь на помощь опытных людей.
Всем заранее спасибо!

Добавлено: **2009-01-12 3:06:55**

sop писал(а):Вопрос к знающим, как вычеслить ип ублюдка.

По логам не получается?

Добавлено: **2009-01-12 4:04:59**

Уважаемый serge..
Раньше просто не общался с этим делом (но вот до первого раза), лог файл access.log апача весит гиг у меня, чем его открыть?
обычные редакторы зависают это естественно такой обьем.
скачал просмотрщики логов, так и не разобрался как посматреть или разбить лог по частям...
Можете помочь как это сделать? (сервер как уже говорилось стоит на win32)

Добавлено: **2009-01-12 8:01:57**

sop писал(а):обнаружил r57shell 1.31.php скрипт, который

-)))) весьма позновательный скрипт, правда -)))

sop писал(а):вообщем не знаю какую цель преследовал заливающий

ящики слить, если таковые имеются, по возможности поднять проксю

sop писал(а):Вопрос к знающим, как вычеслить ип ублюдка.

99% - сломали в новый год -))), нас обычно либо 31, либо в первых числах ломали

sop писал(а):И ещё какой функцией можно исключить заливку файлов определённого расширения

той самой, которая у тебя дырявая. Загрузить файл через апач можно только через принимающий скрипт. Смотри скрипты, которые орудуют с массивом $_FILES, и там запрещай.

Для профилактики сделай поиск по файлам, содержащих passthru

Добавлено: **2009-01-12 8:29:37**

Вроде решил часть проблемы..

zg писал(а): -)))) весьма позновательный скрипт, правда -)))

да хороший шел)

zg писал(а): ящики слить, если таковые имеются, по возможности поднять проксю

да сервер в локалки стоит, какие ящики млин))

zg писал(а): опрос к знающим, как вычеслить ип ублюдка.99% - сломали в новый год -))), нас обычно либо 31, либо в первых числах ломали

нет только вчера обнаружил, не понял цитаты про ип, мине нужно узнать, хрен с ним когда ломали не ломали))

zg писал(а):Для профилактики сделай поиск по файлам, содержащих passthru

нема

zg писал(а):той самой, которая у тебя дырявая. Загрузить файл через апач можно только через принимающий скрипт. Смотри скрипты, которые орудуют с массивом $_FILES, и там запрещай.

Спасибо, вобщем немного подумал и сделал так, если заливаещь php она перейменовывается в jpg..

Код: Выделить всё

<?
$target_path = "files/";
$fn=basename( $_FILES['uploadedfile']['name']);
$fn=str_replace(".php",".jpg",$fn);
$nfn=$target_path . $fn;
$target_path = $target_path . $fn;

вроде работает
Не подскажите как прикрутить сюда, чтобы мессага выводилась юзеру, типо атата - не обязательно.., и эксплойт в текстовый файлик логировался??
Я прост очень долга дошаривать буду, если самому делать..)
кстати ставил в пхп.ини safe_modы но блин кое-какая функция из-за них непашет, проглатывается...
пришлось отрубить

Теперь остается вопрос как ип бандита узнать. Чем лог октрыть этот громадный..

Добавлено: **2009-01-12 9:25:45**

sop писал(а):Спасибо, вобщем немного подумал и сделал так, если заливаещь php она перейменовывается в jpg..

я видел как сайты ломают через загрузку простых картинок -))) проблема не в том, что расширение php, а в том, что загрузку файла контролирует пользователь

sop писал(а):да сервер в локалки стоит, какие ящики млин))

гм.. откуда гиговый лог?

sop писал(а):нет только вчера обнаружил

смотри время создания файла, потом ищи записи в логе апача, которые были в это самое время к файлу с дырявой загрузкой

sop писал(а):кстати ставил в пхп.ини safe_modы

толку то от неё под виндой -))) скрипты нада латать, пхп от дыр не спасёт.

Добавлено: **2009-01-12 10:19:15**

sop писал(а):Уважаемый serge..
Раньше просто не общался с этим делом (но вот до первого раза), лог файл access.log апача весит гиг у меня, чем его открыть?
обычные редакторы зависают это естественно такой обьем.
скачал просмотрщики логов, так и не разобрался как посматреть или разбить лог по частям...
Можете помочь как это сделать? (сервер как уже говорилось стоит на win32)

Ну так используй правильный ОСь и будут там правильные редакторы и просмотрщики

Добавлено: **2009-01-12 15:40:11**

zg писал(а):я видел как сайты ломают через загрузку простых картинок -))) проблема не в том, что расширение php, а в том, что загрузку файла контролирует пользователь

отлично, я понял это ваше специальность, что подскажите как профессионал?

zg писал(а):гм.. откуда гиговый лог?

это не сайт-однодневка, апач реинсталил в октябре ещё, а ресурсы: \трекер+форум+хостинг\

zg писал(а):смотри время создания файла, потом ищи записи в логе апача, которые были в это самое время к файлу с дырявой загрузкой

Да это всё понятно, но как мне лог открыть чёрт возьми

serge писал(а):Ну так используй правильный ОСь и будут там правильные редакторы и просмотрщики

Иминна!! Маленький локальный домик на скромненькой машинке, по совместительству медиа по максимуму использую, так что перелазить на юнь желая нет..
Из под вин32 реально ето сделать или нет, проооосто жаждю наказать падонка, есть пару человек на примете, но нужны доки...
И тогда не локаль станет, а ад для этого человека (- минус сервисный трекер провайдера, - минус мой трекер, - минус ирс, ну и не респектосик конешно от коммьюнити)

)

Добавлено: **2009-01-12 16:32:23**

sop писал(а):Да это всё понятно, но как мне лог открыть чёрт возьми

vc, far, npp

sop писал(а):Из под вин32 реально ето сделать или нет, проооосто жаждю наказать падонка, есть пару человек на примете, но нужны доки...

Код: Выделить всё

ZG-BIG# uname -a
WindowsNT zg-big 1 5 x86
ZG-BIG# which grep
D:/UNIX/usr/local/wbin/grep
ZG-BIG# grep --help
Usage: grep [OPTION]... PATTERN [FILE] ...
Search for PATTERN in each FILE or standard input.
Example: grep -i 'hello world' menu.h main.c

Regexp selection and interpretation:
  -E, --extended-regexp     PATTERN is an extended regular expression
  -F, --fixed-strings       PATTERN is a set of newline-separated strings
  -G, --basic-regexp        PATTERN is a basic regular expression
  -e, --regexp=PATTERN      use PATTERN as a regular expression
  -f, --file=FILE           obtain PATTERN from FILE
  -i, --ignore-case         ignore case distinctions
  -w, --word-regexp         force PATTERN to match only whole words
  -x, --line-regexp         force PATTERN to match only whole lines
  -z, --null-data           a data line ends in 0 byte, not newline

Miscellaneous:
  -s, --no-messages         suppress error messages
  -v, --invert-match        select non-matching lines
  -V, --version             print version information and exit
      --help                display this help and exit
      --mmap                use memory-mapped input if possible

Output control:
  -b, --byte-offset         print the byte offset with output lines
  -n, --line-number         print line number with output lines
  -H, --with-filename       print the filename for each match
  -h, --no-filename         suppress the prefixing filename on output
  -q, --quiet, --silent     suppress all normal output
      --binary-files=TYPE   assume that binary files are TYPE
                            TYPE is 'binary', 'text', or 'without-match'.
  -a, --text                equivalent to --binary-files=text
  -I                        equivalent to --binary-files=without-match
  -d, --directories=ACTION  how to handle directories
                            ACTION is 'read', 'recurse', or 'skip'.
  -r, --recursive           equivalent to --directories=recurse.
  -L, --files-without-match only print FILE names containing no match
  -l, --files-with-matches  only print FILE names containing matches
  -c, --count               only print a count of matching lines per FILE
  -Z, --null                print 0 byte after FILE name

Context control:
  -B, --before-context=NUM  print NUM lines of leading context
  -A, --after-context=NUM   print NUM lines of trailing context
  -C, --context[=NUM]       print NUM (default 2) lines of output context
                            unless overridden by -A or -B
  -NUM                      same as --context=NUM
  -U, --binary              do not strip CR characters at EOL (MSDOS)
  -u, --unix-byte-offsets   report offsets as if CRs were not there (MSDOS)

`egrep' means `grep -E'.  `fgrep' means `grep -F'.
With no FILE, or when FILE is -, read standard input.  If less than
two FILEs given, assume -h.  Exit status is 0 if match, 1 if no match,
and 2 if trouble.

Report bugs to <bug-gnu-utils@gnu.org>.
ZG-BIG#

было бы желание -)))

Добавлено: **2009-01-13 8:54:56**

нии чо не понял

Добавлено: **2009-01-13 9:01:43**

sop писал(а):нии чо не понял

ну... начни с

Код: Выделить всё

C:\Documents and Settings\zg>help help
Вывод справочных сведений о командах Windows XP.

HELP [<команда>]

    <команда> - команда, интересующая пользователя.

C:\Documents and Settings\zg>

постом выше я просто привёл пример использования протированного юниксового шелла под виндой. Хотя винда и сама имеет все нужные средства в коммандной строке. Было бы желание изучать -))) Кстати у винды достаточно полная и грамотная справочная система, команды там все расписаны.

forum.lissyara.su

Нужна помощь люди (залили злой php скрипт на хостинг)

Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)

Re: Нужна помощь люди (залили злой php скрипт на хостинг)