https://www.opennet.me/openforum/vsluhforumID10/4213.html Ситуация такая:<br>Сайт, находящийся на шаре-хостинге был взломан. (реально были несколько дыр в форуме и т.п.)<br>Дыры я позакрывал, но на сайт по прежнему ежедневно заходит взломщик и вставляет в разные php-файлы свой кусок JS-кода.<br>Происходит это так. На сайте появляется маленький файл с одной лишь строчкой кода - формой загрузки файла и обработкой этой загрузки. Затем, через эту форму заливается шелл. И через него уже взломщик делает свои дела, после чего все свои файлы (шелл и первоначальный загрузчик) удаляет.<br>Самое главное, что в логах апача присутствует вся информация, начиная с того, как он загружал шелл и далее... А вот то, как он ежедневно загружает свой маленький загрузчик, информации нет :(<br>P.S. в ftp-логах тоже нет ничего...<br><br>Помогите, пожалуйста. Дайте совет, как залогировать тот момент, откуда появляется этот файл? Голову себе уже сломал :(<br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#8 Mon, 06 Apr 2009 14:52:32 GMT &gt;Не плохо было бы проверить содержимое скриптов, исполняемых по cron, ведь их <br>&gt;можно стартануть и через http, также проверить остальные файлы сайта на <br>&gt;предмет изменения. <br><br> Кронтабовские скрипты, как раз сейчас просматриваю :)<br> Но дело в том, что через http они не запускались, т.к. в логах апача не остались (не думаю, что злоумышленник стал бы заморачиваться с чисткой апачевских логов)<br><br>&gt;Ну и ставьте и настраивайте mod_security, есть неплохой ресурс: <br>&gt;http://www.gotroot.com/tiki-index.php?page=mod_security+rules но там нужно смотреть, <br>&gt;кое-что лишнее можно выкинуть. <br><br> На счет mod_security - я уже посылал просьбу к хостерам. На нее они ответили, что наш тарифный план не подразумевает установку доп. модулей :(<br><br> Думаю, вот самому организовать подробное логирование, т.е. все POST-запросы что идут на вход, через htaccess редиректить на скрипт логирующий поле=значение, а потом возвращать пользоватею то, что он запросил... Пока не получатеся сделать прозрачно для пользователя ;)<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#7 Mon, 06 Apr 2009 14:23:24 GMT Не плохо было бы проверить содержимое скриптов, исполняемых по cron, ведь их можно стартануть и через http, также проверить остальные файлы сайта на предмет изменения.<br>Ну и ставьте и настраивайте mod_security, есть неплохой ресурс:<br>http://www.gotroot.com/tiki-index.php?page=mod_security+rules но там нужно смотреть,<br>кое-что лишнее можно выкинуть.<br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#6 Mon, 06 Apr 2009 10:09:49 GMT &gt;<br>&gt;мне еще страшно представить как вы настраиваете (читай админите) .... <br>&gt;<br>&gt;ЗЫ развелось горе-веб-девелоперов ... как страшно жить ... <br><br>:) за-то теперь, каждый может самоутвердиться, написав свое мнение в разные форумы! Десятерым написал, что они ничего не понимают, и вроде как, сам почувствовал себя умнее :)<br>Знакома такая категория людей...<br>По теме-то есть что сказать? ...так я и думал :)))<br><br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#5 Mon, 06 Apr 2009 06:29:20 GMT &gt;&gt;cron проверьте. <br>&gt;<br>&gt;Пошел, вообще закомментировал все задания в кронтабе. :) Жду... <br><br>мне еще страшно представить как вы настраиваете (читай админите) ....<br><br>ЗЫ развелось горе-веб-девелоперов ... как страшно жить ...<br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#4 Sun, 05 Apr 2009 10:36:25 GMT &gt;cron проверьте. <br><br>Пошел, вообще закомментировал все задания в кронтабе. :) Жду...<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#3 Sat, 04 Apr 2009 17:38:53 GMT cron проверьте.<br> https://www.opennet.me/openforum/vsluhforumID10/4213.html#2 Sat, 04 Apr 2009 07:29:35 GMT &gt;Это называется позакрывал? <br><br> Хорошо, перефразирую. Те дыры, через которые неделю назад ко мне вломились на сайт, я нашел в логах апача и закрыл.<br><br>&gt;Если не работает простейшая логика, то страшно представить как вы там программите. <br><br> Вы эмоции свои поберегите для других случаев :) Если страшно что-то представить, - перестаньте фантазировать о том, чего вы не знаете и лучше делом каким-нибудь полезным займитесь...<br><br>&gt;На вашем сайте какая-либо возможность upload есть? <br><br> Есть. Юзеры грузят свои картинки, прайс-листы...<br><br>&gt;Ну вот отключите ее и посмотрите на результат. <br><br> Да, пробовал вообще отключить весь аплоад. Не помогло. Кроме того, вражеский файл появляется в корне сайта, а не в папках, отведенных для пользовательского аплоада. :(<br><br>&gt;Также стоит попробовать запретить запись веб-серверу в директории сайта, например при помощи рекурсивных chown/chmod. <br><br> Да, я эту меру оставляю на последний случай. Дело в том, что я реально заинтригован, как чел пролазит ко мне. А если я закрою директории на https://www.opennet.me/openforum/vsluhforumID10/4213.html#1 Fri, 03 Apr 2009 21:00:54 GMT &gt;Дыры я позакрывал, но на сайт по прежнему ежедневно заходит взломщик и вставляет в разные php-файлы свой кусок JS-кода<br><br>Это называется позакрывал? Если не работает простейшая логика, то страшно представить как вы там программите. <br>На вашем сайте какая-либо возможность upload есть? Ну вот отключите ее и посмотрите на результат. Также стоит попробовать запретить запись веб-серверу в директории сайта, например при помощи рекурсивных chown/chmod. <br>Наиболее частая ошибка пыхобыдлокодеров возможность upload при котором пользователь сам задает имя файла. <br><br><br><br>