ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости
Перезагрузить страницу Меня ломают. Как сделать защиту
   
 
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 23.06.2009, 16:32
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
Провел на форуме:
4532332

Репутация: 1196


Отправить сообщение для L I G A с помощью ICQ
По умолчанию
Цитата:
Сообщение от Nicca  
а как свой сайт можно просканировать на предмет шела? Или только руками?
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
Чтобы найти "все" шелы на сервере:

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru| phpremoteview|directmail|bash_history|brute *force"

в одну строку.
 

  #12  
Старый 23.06.2009, 16:44
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
Провел на форуме:
167749

Репутация: 4
По умолчанию
Цитата:
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
Я файл перезаписал когда исправлял..

Цитата:
Чтобы найти "все" шелы на сервере:

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru| p hpremoteview|directmail|bash_history|brute *force"

в одну строку.
А это где писать?
 

  #13  
Старый 23.06.2009, 16:47
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
Провел на форуме:
167749

Репутация: 4
По умолчанию
п.с. я скачал полный бэкап файлов с сервера. Можно как-нибудь этот поиск приспособить под обычный виндосовкий поиск файлов?
 

  #14  
Старый 23.06.2009, 16:49
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
Провел на форуме:
167749

Репутация: 4
По умолчанию
Цитата:
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут).
А какая будет запись в логах когда происходит запись в файл? У меня есть все логи я могу по ним вычислить..
 

  #15  
Старый 23.06.2009, 16:56
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
Провел на форуме:
167749

Репутация: 4
По умолчанию
Вот нашел в логах странную запись Она постоянно повторяется:
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

Что это была за ошибка?
 

  #16  
Старый 23.06.2009, 17:01
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
Провел на форуме:
4532332

Репутация: 1196


Отправить сообщение для L I G A с помощью ICQ
По умолчанию
Цитата:
Сообщение от Nicca  
Вот нашел в логах странную запись Она постоянно повторяется:
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

Что это была за ошибка?
Т.е. файл friends.php записываемый для группы.Это происходит, если php-скрипт имеет права 664
 

  #17  
Старый 23.06.2009, 17:04
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
Провел на форуме:
167749

Репутация: 4
По умолчанию
тоесть получается что в него кто-то хотел записать не из группы?
 

  #18  
Старый 23.06.2009, 17:14
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
Провел на форуме:
4532332

Репутация: 1196


Отправить сообщение для L I G A с помощью ICQ
По умолчанию
кто то залил шелл ,хотел запустить он выдал ему n Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
дальше я думаю злоумышленик отредактировал любой родной файл , вписав в него шелл.
 

  #19  
Старый 23.06.2009, 20:56
Велемир
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
Провел на форуме:
1469161

Репутация: 142


Отправить сообщение для Велемир с помощью ICQ
По умолчанию
Цитата:
Сообщение от Nicca  
Я файл перезаписал когда исправлял..


А это где писать?
либо через веб шелл в графе Команды,либо в системной консоли ).
 
 
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ