HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Перезагрузить страницу Меня ломают. Как сделать защиту
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 23.06.2009, 16:32
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами: 9362947

Репутация: 1196


По умолчанию
Цитата:
Сообщение от Nicca  
а как свой сайт можно просканировать на предмет шела? Или только руками?
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
Чтобы найти "все" шелы на сервере:

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru| phpremoteview|directmail|bash_history|brute *force"

в одну строку.
 
Ответить с цитированием

  #12  
Старый 23.06.2009, 16:44
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
С нами: 9648910

Репутация: 4
По умолчанию
Цитата:
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут). Если повезет (дата редактирования файла настоящая), то один экземпляр скрипта вычислите. Далее ищете в логах другие записи по IP, с которых работали с этим скриптом, наверняка будет ещё несколько копий скрипта. Удаляете все скрипты и внимательно следите за логами.
Я файл перезаписал когда исправлял..

Цитата:
Чтобы найти "все" шелы на сервере:

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru| p hpremoteview|directmail|bash_history|brute *force"

в одну строку.
А это где писать?
 
Ответить с цитированием

  #13  
Старый 23.06.2009, 16:47
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
С нами: 9648910

Репутация: 4
По умолчанию
п.с. я скачал полный бэкап файлов с сервера. Можно как-нибудь этот поиск приспособить под обычный виндосовкий поиск файлов?
 
Ответить с цитированием

  #14  
Старый 23.06.2009, 16:49
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
С нами: 9648910

Репутация: 4
По умолчанию
Цитата:
Смотрите дату редактирования файла и ищите в логах доступа записи за это время (+- несколько минут).
А какая будет запись в логах когда происходит запись в файл? У меня есть все логи я могу по ним вычислить..
 
Ответить с цитированием

  #15  
Старый 23.06.2009, 16:56
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
С нами: 9648910

Репутация: 4
По умолчанию
Вот нашел в логах странную запись Она постоянно повторяется:
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

Что это была за ошибка?
 
Ответить с цитированием

  #16  
Старый 23.06.2009, 17:01
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами: 9362947

Репутация: 1196


По умолчанию
Цитата:
Сообщение от Nicca  
Вот нашел в логах странную запись Она постоянно повторяется:
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] SoftException in Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
[Wed May 27 10:42:57 2009] [error] [client 83.151.7.107] Premature end of script headers: friends.php

Что это была за ошибка?
Т.е. файл friends.php записываемый для группы.Это происходит, если php-скрипт имеет права 664
 
Ответить с цитированием

  #17  
Старый 23.06.2009, 17:04
Nicca
Познающий
Регистрация: 11.01.2008
Сообщений: 98
С нами: 9648910

Репутация: 4
По умолчанию
тоесть получается что в него кто-то хотел записать не из группы?
 
Ответить с цитированием

  #18  
Старый 23.06.2009, 17:14
L I G A
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами: 9362947

Репутация: 1196


По умолчанию
кто то залил шелл ,хотел запустить он выдал ему n Application.cpp:249: File "/путь к сайту/public_html/friends.php" is writeable by group
дальше я думаю злоумышленик отредактировал любой родной файл , вписав в него шелл.
 
Ответить с цитированием

  #19  
Старый 23.06.2009, 20:56
Велемир
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
С нами: 10470131

Репутация: 142


По умолчанию
Цитата:
Сообщение от Nicca  
Я файл перезаписал когда исправлял..


А это где писать?
либо через веб шелл в графе Команды,либо в системной консоли ).
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Социальная инженерия. Профессиональное программирование. Последовательный взлом dinar_007 Болталка 15 23.12.2008 12:30



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.