forum.opennet.ru - "Вирус на сервере" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Вирус на сервере"

Форум Информационная безопасность (Блокирование спама и вирусов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Вирус на сервере"	+/–
Сообщение от ostin654 (ok) on 11-Мрт-12, 11:29
На сервере поселилась бяка, которая постоянно внедряет в index.php всех сайтов определенного пользователя вирусный JavaScript. Пароли уже пробовали менять, но все бесполезно. Пока решил проблему изменением атрибутов index.php на только чтение. Но так оставлять нельзя. Как найти засранца и замочить его?!! ОС - CentOS. Вот сам вирус, запаковал в архив с паролем 12345 http://alekseykostin.ru/BADCODE.zip
Ответить \| Правка \| Cообщить модератору

Оглавление

Вирус на сервере, parad, 14:53 , 11-Мрт-12, (1)

Вирус на сервере, ostin654, 15:01 , 11-Мрт-12, (2)

Вирус на сервере, parad, 15:07 , 11-Мрт-12, (3)

Вирус на сервере, ostin654, 15:29 , 11-Мрт-12, (4)

Вирус на сервере, parad, 16:05 , 11-Мрт-12, (5)

Вирус на сервере, ostin654, 17:11 , 11-Мрт-12, (6)

Вирус на сервере, parad, 18:13 , 11-Мрт-12, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Вирус на сервере" +/–

Сообщение от parad (??) on 11-Мрт-12, 14:53

дай угадаю пароль - sukazef*?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вирус на сервере" +/–

Сообщение от ostin654 (ok) on 11-Мрт-12, 15:01

> дай угадаю пароль - sukazef*?
Не совсем. Но это пароль от другого сервера.
Может поделитесь?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Вирус на сервере" +/–

Сообщение от parad (??) on 11-Мрт-12, 15:07

http://alekseykostin.ru/wp1.zip - в конфиге.
рекомендую переустановться с новыми паролями.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Вирус на сервере" +/–

Сообщение от ostin654 (ok) on 11-Мрт-12, 15:29

> http://alekseykostin.ru/wp1.zip - в конфиге.
> рекомендую переустановться с новыми паролями.
фуф)) я уж думал, что конкретно облажался. Этот архив не имеет к моим серверам никакого отношения и лежит на другом хостинге. Разве что пароль такой же использовал. Но сейчас уже сменил его.
Переустанавливать не хочется, потому что тогда сайты не будут работать какое-то время, а это критично. Есть ли способ без переустановки вылечиться?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Вирус на сервере" +/–

Сообщение от parad (??) on 11-Мрт-12, 16:05

если эксплуатации локальных уязвимостей не было - смотри даты изменения файлов (включая в домашней директории пользователя - .profile .bashrc и пр) и крон. часто в /tmp есть следы.
если смогли повысить привилегии - тут тебе кучу народу насоветуют... но рецепт один - найти точку проникновения и переустановиться. читай логи вебсервера, читай листы рассылки безопасности к установленному на странице.
пс. ты зря счетаешь что не облажался. )

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Вирус на сервере" +/–

Сообщение от ostin654 (ok) on 11-Мрт-12, 17:11

> На сервере поселилась бяка, которая постоянно внедряет в index.php всех сайтов определенного
> пользователя вирусный JavaScript. Пароли уже пробовали менять, но все бесполезно. Пока
> решил проблему изменением атрибутов index.php на только чтение. Но так оставлять
> нельзя.
> Как найти засранца и замочить его?!!
> ОС - CentOS.
> Вот сам вирус, запаковал в архив с паролем 12345
> http://alekseykostin.ru/BADCODE.zip
Нашел гадину. С помощью find по дате создания. Замаскировалась под плагин WordPress.
Вообще есть какой-то способ универсальный, чтобы обезопасить себя от вирусов на сервере? На что стоит обратить внимание?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Вирус на сервере" +/–

Сообщение от parad (??) on 11-Мрт-12, 18:13

ты палец с опой путаешь.
вирус - это следствие взлома. дыру могут и по-другому поэксплуатировать: поспамить, например, поддосить. никаким вирусом центос не заражался. выбрось виндусовые шаблоны, садясь за консоль.
дыры в 99 процентах обычно находят боты, перебирающие урлы с попыткой эксплуатации известной уязвимости. смотри логи сервера, - там все далжно быть.
никогда не ставь по стандартным путям: site.com/wordpress/ site.com/wp/ - хреновые пути.
всегда актуализируй по. боты помимо того что пытаются взломать, также ведут индексацию установленного. в случае появления дыры - они уже будут знать куда идти.
старайся скрывать версии установленного.
то что стоял плагин - говорит о том, что шелл врядли получили.
для полноты истории скить плагин сюда.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вирус на сервере"	+/–
Сообщение от parad (??) on 11-Мрт-12, 14:53
дай угадаю пароль - sukazef*?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Вирус на сервере"	+/–
	Сообщение от ostin654 (ok) on 11-Мрт-12, 15:01
	> дай угадаю пароль - sukazef*? Не совсем. Но это пароль от другого сервера. Может поделитесь?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Вирус на сервере"	+/–
	Сообщение от parad (??) on 11-Мрт-12, 15:07
	http://alekseykostin.ru/wp1.zip - в конфиге. рекомендую переустановться с новыми паролями.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Вирус на сервере"	+/–
	Сообщение от ostin654 (ok) on 11-Мрт-12, 15:29
	> http://alekseykostin.ru/wp1.zip - в конфиге. > рекомендую переустановться с новыми паролями. фуф)) я уж думал, что конкретно облажался. Этот архив не имеет к моим серверам никакого отношения и лежит на другом хостинге. Разве что пароль такой же использовал. Но сейчас уже сменил его. Переустанавливать не хочется, потому что тогда сайты не будут работать какое-то время, а это критично. Есть ли способ без переустановки вылечиться?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Вирус на сервере"	+/–
	Сообщение от parad (??) on 11-Мрт-12, 16:05
	если эксплуатации локальных уязвимостей не было - смотри даты изменения файлов (включая в домашней директории пользователя - .profile .bashrc и пр) и крон. часто в /tmp есть следы. если смогли повысить привилегии - тут тебе кучу народу насоветуют... но рецепт один - найти точку проникновения и переустановиться. читай логи вебсервера, читай листы рассылки безопасности к установленному на странице. пс. ты зря счетаешь что не облажался. )
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Вирус на сервере"	+/–
Сообщение от ostin654 (ok) on 11-Мрт-12, 17:11
> На сервере поселилась бяка, которая постоянно внедряет в index.php всех сайтов определенного > пользователя вирусный JavaScript. Пароли уже пробовали менять, но все бесполезно. Пока > решил проблему изменением атрибутов index.php на только чтение. Но так оставлять > нельзя. > Как найти засранца и замочить его?!! > ОС - CentOS. > Вот сам вирус, запаковал в архив с паролем 12345 > http://alekseykostin.ru/BADCODE.zip Нашел гадину. С помощью find по дате создания. Замаскировалась под плагин WordPress. Вообще есть какой-то способ универсальный, чтобы обезопасить себя от вирусов на сервере? На что стоит обратить внимание?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "Вирус на сервере"	+/–
	Сообщение от parad (??) on 11-Мрт-12, 18:13
	ты палец с опой путаешь. вирус - это следствие взлома. дыру могут и по-другому поэксплуатировать: поспамить, например, поддосить. никаким вирусом центос не заражался. выбрось виндусовые шаблоны, садясь за консоль. дыры в 99 процентах обычно находят боты, перебирающие урлы с попыткой эксплуатации известной уязвимости. смотри логи сервера, - там все далжно быть. никогда не ставь по стандартным путям: site.com/wordpress/ site.com/wp/ - хреновые пути. всегда актуализируй по. боты помимо того что пытаются взломать, также ведут индексацию установленного. в случае появления дыры - они уже будут знать куда идти. старайся скрывать версии установленного. то что стоял плагин - говорит о том, что шелл врядли получили. для полноты истории скить плагин сюда.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору