netstat -a показывает порядка сотни коннектов в котором и мой и чужой (local/foreign) адрес левые.
Идет постоянный дефейс сайта с рекламой во всю морду. Как убрать понять что это за служба и заблокировать?

вот такие
tcp 0 0 localhost.localdomain:1025 *:* LISTEN
tcp 0 0 *:32769 *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 62.213.68.204:ssh *:* LISTEN
tcp 0 0 localhost.localdomain:ipp *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 1 212.158.160.121:40710 any-in-2015.1e100.net:smtp SYN_SENT
tcp 0 1 212.158.160.121:40708 host-46-63-198-25.stv.:smtp SYN_SENT
tcp 0 0 localhost.localdomain:smtp localhost.localdomain:41318 TIME_WAIT
tcp 0 0 localhost.localdomain:smtp localhost.localdomain:41338 TIME_WAIT
tcp 0 0 localhost.localdomain:smtp localhost.localdomain:41374 TIME_WAIT
tcp 0 1 212.158.160.121:41665 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41664 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41667 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41666 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41669 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41668 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41671 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41670 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41673 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41672 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41675 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41674 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41677 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41676 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41679 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41678 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41681 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41680 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41683 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41682 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41685 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41684 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41687 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41686 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41689 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41688 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41691 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41690 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41693 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41692 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41695 s094127069196.m.truevd:http SYN_SENT
warning, got duplicate tcp line.
tcp 0 1 212.158.160.121:41694 s094127069196.m.truevd:http SYN_SENT
tcp 0 1 212.158.160.121:41697 s094127069196.m.truevd:http SYN_SENT

через iptables?
вроде такого?
# iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
# iptables -A FORWARD -o eth1 -p tcp -j DROP

у меня тогда httpd не запускается

tcp 0 0 :::110 :::* LISTEN 2003/dovecot
tcp 0 0 :::143 :::* LISTEN 2003/dovecot
tcp 0 0 :::80 :::* LISTEN 24765/gpasswd
tcp 0 0 :::25 :::* LISTEN 14271/master
tcp 0 0 :::443 :::* LISTEN 24765/gpasswd

порты заняты, что за хрень?

чтото эти iptables вообще не работают, после тех команд доступ по ftp все равно есть+ вебсервер не пущается блин(((((((((((((
и еще непонятная хрень висит на портах 80 и 443

апач 2

service httpd start
Запускается httpd: (98)Address already in use: make_sock: could not bind to address [::]:443
no listening sockets available, shutting down
Unable to open logs

чуть выше же написан результат netstat там висит gpasswd, откуда он там взялся?

и что? также и взломают
меня итересует что означает в выводе netstat левая локал часть
tcp 0 1 212.158.160.121:41665 s094127069196.m.truevd:http SYN_SENT
почему там левый айпишник а не какаято нормальная служба сервера?
и еще можно ли запретить php изменять файлы?

сценарий взлома такой что появляется shell.php и меняется index.php
как бороться?
ps читаю параллельно десятки статей но пока не нашел

рад за вас

только ssh уже больше не ломают, ftp тоже, остался только php..

интересно когда этих му№№ков сажать будут

причем для этого не требовалось ничего обновлять как вы не рекомендовали
меня например и win XP вполне устраивает и менять не собираюсь - у меня нет на это времени

http://www.samoychka.org/readarticle.php?article_id=264
адекватные рекомендации по php

по iptables тоже разобрался

господа, ну не могу я переустанавливать, это сервер и работа умрет умрет на пару дней, когда будут деньги на новый сервер тогда и поставлю

ой, тот адрес и правда один из моих, но там еще полно строк типа

tcp 0 0 www.ecotex.ru:http 85.26.235.205:26866 SYN_RECV
tcp 0 0 www.ecotex.ru:http 85.26.235.205:15718 SYN_RECV
tcp 0 0 www.ecotex.ru:http 85.26.235.205:2694 SYN_RECV
tcp 0 0 www.ecotex.ru:http 89.237.60.253:50348 SYN_RECV
tcp 0 0 www.ecotex.ru:http 89.237.60.253:50349 SYN_RECV
tcp 0 0 www.ecotex.ru:http 85.26.235.205:5105 SYN_RECV

www.ecotex.ru:http - это же не я!!

Кашмар, ночью опять взломали по тойже схеме, но ftp отключен, ssh у них нет, закрыты все порты кроме почты, 20,21,22,80 на вход.
В php отключены exec, shell_exec, passthru, system, eval, show_source, proc_open, popen, parse_ini_file, dl и инклюды с в внешних сайтов.

Что еще можно заблокировать?

тем более я вообще сейчас дома с температурой((

netwind, у вас есть любимый раздел для общения судя по статистике, вы сделаете одолжение если там и будете тусить.

читать про netstat пока некогда, не думаю что те запросы имеют отношение к взлому

доступ по ssh только с фиксированного айпи домашнего компа, всегда в последних заходах вижу свой айпи

права у веба такие же как у фтп, поэтому с него нельзя получить доступ на служебные файлы вроде etc

логи httpd почему то не ведутся, сейчас смотрю, но ведутся через index.php в базе данных, ищу там левак..

Полтора года назад ломали по ssh поэтому с правами рут творили что угодно вплоть до замены главного пароля и один раз грохнули все файлы.

Изучаю логи, пока только жалкие попытки
/index.php?page=./../../../../../../../../etc/passwd
и
/index.php?option=com_market&controller=./../../../../../../../../etc/passwd
с адреса 189.89.64.71

ip,"otkuda_prishel","kuda_url","date"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=home","2012-03-26 23:35:36"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=forward","2012-03-26 23:35:36"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=back","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=up","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=refresh","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=search","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=sort_asc","2012-03-26 23:35:37"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=buffer","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=small_dir","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=ext_diz","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=img&img=ext_lnk","2012-03-26 23:35:38"
87.195.253.3," http://www.maxparts.ru/index.php?page=/tmp/shell.php","/index.php?act=f&f=car.php&d=%2Fwww%2Fwww_parts&","2012-03-26 23:35:40"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:35:53"
87.195.253.3,"","/index.php?page=/tmp/shell.php","2012-03-26 23:36:22"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:37:07"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:39:17"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:39:56"
87.195.253.3,"","/index.php?page=/tmp/about.php","2012-03-26 23:40:19"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:41:10"
87.195.253.3,"","/index.php?page=php://input","2012-03-26 23:43:39"
87.195.253.3,"","/","2012-03-26 23:45:16"

нетвинд
если ошибка в PHP то как это будет выглядит. Приглясат вас. Вы - так мне пышногрудую секретаршу, крутой сервак за поллимона, самый новый линукс и т.п. (шучу конечно). Все меняют и через час снова дефейс. Потому что косяк в скрипте PHP. Может корректнее сначала найти причину а потом чтолибо делать?

В общем какогото фига прописанная в php.ini опция disable_function их не вырубает!! Проверил на phpinfo. Хрень какаята.

))))))))))))))))))

Hey Admin, like you may see here, you have a dangerous vulnerability in your website, allowing an attacker to do whatever he wants. I can help you to fix it. Interested? Answer to yourfriend@trash-mail.com or (the best would be) create a textfile in this folder (chat.txt) where we can talk. Greetings Me

все врубился disable_functions - s не хватало в конце, хотя vim его высвечил как корректный
добавил туда пяток функций из shell поидее это должно вырубить его функциональность, верно?


allow_url_fopen = Off
allow_url_include=Off
expose_php=Off
disable_functions="exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl,fp,function_exists,print,fsockopen,phpinfo,fileperms,ob_start,curl_setopt"