https://www.opennet.me/openforum/vsluhforumID8/7017.html Система FreeBSD 7.0-RELEASE<br>Сервер: Apache 2.2.6_2<br><br>На сервере живёт зоопарк сайтов (это не хостинг, но всё же) и несколько разных систем управления всем этим.<br><br>Последние несколько дней раз в сутки во всех директориях на сервере появляется файлик<br>.htaccess следующего содержания:<br><br>RewriteEngine On^M<br>RewriteBase /^M<br>RewriteRule ^(.*)? http://webarh.com/r.php<br><br>Имя сайта может быть любым. Главное что редирект на r.php куда-то.<br><br>В логах по всем сайтам ничего толкового найти не могу. То есть нигде нет добавления этого файла.<br><br>Файл идёт с правами апача в те директории, куда апачу разрешена запись (аплоад) по тем или иным причинам.<br>Редирект на "хостинге" нужен.<br><br>Помогите отловить проблему. С какой стороны, хотя бы, к ней подойти.<br><br>Догадываюсь что вопрос чайницкий...<br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#17 Thu, 04 Nov 2010 21:12:17 GMT <br>&gt;&gt; далее начинай внимательно изучать<br>&gt; Вот не могу понять на что смотреть. Что выловить.<br><br>читай логи фтп-сервера<br>я в подобных случаях цеплял фильтр по названию файлов и банил атакующие IP<br><br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#16 Mon, 18 Oct 2010 19:31:29 GMT &gt; как успехи?<br><br>В общем, после обновки админа повторения нет.<br>Левых файлов в структуре сайтов нет.<br>Кроме htaccess и правки индексов - никаких других вмешательств.<br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#15 Mon, 18 Oct 2010 15:31:29 GMT как успехи?<br><br><br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#14 Mon, 18 Oct 2010 06:45:23 GMT &gt; 1) он использует уязвимость в phpmyadmin/scripts/setup.php<br><br>Именно.<br><br>&gt; 2.3) В некоторых местах оставляет штампы вида<br>&gt; 3) ВАЖНО!!!<br><br>Вот это интересно. Проверю.<br><br>&gt; P.S. Какая версия phpmyadmin этому подвержена - х.з. Снес ее не подумавши...<br>&gt; :(<br><br>Вся ветка 2.х.<br>Часть веток кроме последних 2 или 3 от 3.Х<br><br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#13 Mon, 18 Oct 2010 06:38:39 GMT &gt;[оверквотинг удален]<br>&gt; RewriteBase /^M<br>&gt; RewriteRule ^(.*)? http://webarh.com/r.php<br>&gt; Имя сайта может быть любым. Главное что редирект на r.php куда-то.<br>&gt; В логах по всем сайтам ничего толкового найти не могу. То есть<br>&gt; нигде нет добавления этого файла.<br>&gt; Файл идёт с правами апача в те директории, куда апачу разрешена запись<br>&gt; (аплоад) по тем или иным причинам.<br>&gt; Редирект на "хостинге" нужен.<br>&gt; Помогите отловить проблему. С какой стороны, хотя бы, к ней подойти.<br>&gt; Догадываюсь что вопрос чайницкий...<br><br>Сегодня пол-ночи гоняли этого виря в одной из виртуалок.<br>4 раза зачищали сайт, не могли понять -- где это дрянь пролезает.<br><br>Обнаружили что<br>1) он использует уязвимость в phpmyadmin/scripts/setup.php<br>2.1) разбрасывает везде .htaccess вышеуказанного содержания<br>2.2) заражает все *.php *.htm *.html файлы строками вида<br>&lt;script&gt;document.location.href='http://webarh.com/z.php';&lt;/script&gt;<br>2.3) В некоторых местах оставляет штампы вида<br>HTML HEAD<br>TITLE This site is defaced!!! /TITLE<br>/HEAD BODY bgcolo https://www.opennet.me/openforum/vsluhforumID8/7017.html#12 Sun, 17 Oct 2010 09:08:59 GMT &gt; Очень помогает выкинуть ftp, и использовать sftp, или, на крайний случай, ftps.<br><br>до тех пор пока боты не поумнели? ))<br>&gt; Так же, еще больше помогает выкинуть Windows с рабочего места :)<br><br>это да ))<br><br>против криворукова юзераста, который годами игнорирует присутствие троянов на собственной машине все бесполезно )))<br><br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#11 Fri, 15 Oct 2010 20:55:21 GMT &gt;&gt; safe_mode on<br>&gt;&gt; safe_mode_gid on<br>&gt; Я вот это глобально для всего PHP включил<br><br>safe mode ничего не дает, это иллюзия безопасности, так как запросто обходится. В PHP 6 его уже не будет именно по причине бесполезности!<br>Кроме того, safe_mode откровенно глючит с кучей CMS, и официально не рекомендуется теми же Joomla, Drupal, да, наверное, вообще практически всеми популярными CMS!<br>То есть, от него _нет_ пользы(разве что, на взлом потребуется чуть-чуть больше времени), но есть вред.<br><br>По-настоящему помогают только open_base_dir, отключение ненужных функций PHP, сухосин-патч и mod_security. Первый маст-хэв вообще везде (если нужен ImageMagick, convert запросто включается в дополнительный path через двоеточие), второе крайне желательно тоже везде (во всяком случае, хосты, для которых слишком много разрешено функций стоит вынести на отдельную виртуалку или контейнер), сухосин-патч обозначает тормоза (не годно для хостинга), а мод_секюрити требует утомительной ручной настройки.<br><br>&gt;&gt; также лучше временно запр https://www.opennet.me/openforum/vsluhforumID8/7017.html#10 Fri, 15 Oct 2010 20:45:43 GMT &gt; вообще для ftp доступа крайне рекомендую использовать фильтрацию по айпи персонально по<br>&gt; аккаунтам - к сожалению очень часто трояны воруют пасы клиентов<br><br>Не часто, а это 99 и еще не одна девятка процентов во всех случаях взломов. <br>Через дыры в CMS ломают гораздо реже!<br><br>Могу утверждать это, так как два года работала в одном из самых крупных хостингов рунета (несколько тысяч серверов)<br><br>Ограничение по IP работает не всегда, так как часто бот заливает вирусные вставки и другую гадость прямо со взломанной машины, не передавая логин/пароль в ботнет.<br><br>Очень помогает выкинуть ftp, и использовать sftp, или, на крайний случай, ftps.<br>Так же, еще больше помогает выкинуть Windows с рабочего места :) <br><br><br> https://www.opennet.me/openforum/vsluhforumID8/7017.html#9 Tue, 12 Oct 2010 12:48:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt; А это уже сама система была бы сломана, что не так.<br>&gt; Запросто. Года два назад была эпидемия этого вируса (лень искать имя) -<br>&gt; ворует FTP пароли у клиентов (одного достаточно). Далее вредоносный код в<br>&gt; php-скрипт, который запускается от имени апача - вуаля, и все файлы,<br>&gt; куда пользователь апача может писать становятся доступны.<br>&gt; Лечится полным запретом FTP доступа (use SFTP + фильтрация по ip +<br>&gt; рассылка всем пользователям, что у кого-то поселилась зараза) + выполнение рекомендаций<br>&gt; Pahanivo.<br>&gt;&gt;&gt; далее начинай внимательно изучать<br>&gt;&gt; Вот не могу понять на что смотреть. Что выловить.<br><br>вообще для ftp доступа крайне рекомендую использовать фильтрацию по айпи персонально по аккаунтам - к сожалению очень часто трояны воруют пасы клиентов<br>