ботнет / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ботнет

25 сообщений из 106, страница 3 из 5

все

ботнет

#39049633

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

mount read-only не предлагать?..
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

11.09.2015, 19:12

| Ответить | Цитировать | Написать

ботнет

#39049634

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Relic HunterЕрунда все это. Кулцхакер может дописаться в конец файла, поменять атрибуты, etc.

Вообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.

...

Рейтинг:

0 / 0

11.09.2015, 19:13

| Ответить | Цитировать | Написать

ботнет

#39049635

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Dimitry Sibiryakovmount read-only не предлагать?..

"невозможно создать файл. интернет-могозин закрыт :("

...

Рейтинг:

0 / 0

11.09.2015, 19:14

| Ответить | Цитировать | Написать

ботнет

#39049640

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

netwind"невозможно создать файл. интернет-могозин закрыт :("
"Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и
открывать.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

11.09.2015, 19:18

| Ответить | Цитировать | Написать

ботнет

#39049651

Relic Hunter

Участник

Откуда: AB

Сообщения: 7 268

Рейтинг: 0 / 0

netwindВообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.Зачем тут рут? Ну у себя в папке они могут творить что хотят?

...

Рейтинг:

0 / 0

11.09.2015, 19:33

| Ответить | Цитировать | Написать

ботнет

#39049666

неТолик1

Гость

Netsystem,

привет loginovru
снова вату катаешь ?

...

Рейтинг:

0 / 0

11.09.2015, 19:57

| Ответить | Цитировать | Написать

ботнет

#39049673

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Dimitry Sibiryakov, там сессии. и редактор товаров. rss. и, прости господи, sitemap.xml.

...

Рейтинг:

0 / 0

11.09.2015, 20:12

| Ответить | Цитировать | Написать

ботнет

#39049674

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Relic HunternetwindВообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.Зачем тут рут? Ну у себя в папке они могут творить что хотят?
Раз они не владеют root, то испортить информацию ctime они не могут никак . А значит, "сторожевой" скрипт всегда достоверно будет показывать изменения.
Конечно, желательно и скрипт тоже от root запускать, но в первом приближении и так результативно будет.

...

Рейтинг:

0 / 0

11.09.2015, 20:16

| Ответить | Цитировать | Написать

ботнет

#39049676

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Dimitry Sibiryakovnetwind"невозможно создать файл. интернет-могозин закрыт :("
"Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и
открывать.

Да это прям золотые слова . Поэтому ВКонтакте сегодня объявил об открытии магазина прямо там http://www.gazeta.ru/tech/news/2015/09/11/n_7580039.shtml

В общем, половина веб-студий может сразу закрываться. Им и сейчас уже не сладко.

...

Рейтинг:

0 / 0

11.09.2015, 20:19

| Ответить | Цитировать | Написать

ботнет

#39049677

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Dimitry Sibiryakovnetwind"невозможно создать файл. интернет-могозин закрыт :("
"Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и
открывать.

А, самое главное забыл : шаблоны компилируются повсеместно.
И кешированием в виде создания полностью готовых к отдаче файлов сейчас принято решать любые проблемы производительности у программистов.

Короче, read-only не катит.

...

Рейтинг:

0 / 0

11.09.2015, 20:22

| Ответить | Цитировать | Написать

ботнет

#39049681

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

netwindDimitry Sibiryakovпропущено...

"Интернет-могозин", пишущий файлы прямо в опубликованный каталог уэб-сервера, не стоило и
открывать.

А, самое главное забыл : шаблоны компилируются повсеместно.
И кешированием в виде создания полностью готовых к отдаче файлов сейчас принято решать любые проблемы производительности у программистов.

Короче, read-only не катит.
"Кривые руки не для скуки".

...

Рейтинг:

0 / 0

11.09.2015, 20:30

| Ответить | Цитировать | Написать

ботнет

#39049701

Netsystem

Гость

netwindТы просто в гугле нашел какие-то наиболее популярные дыры. А надо исходить из того, что они там еще есть и будут.
нет, это не я нашел, а кулхацкер (хоязин ботнета) нашел и применил их к сайту, а мне пришлость выявить и принять определенные меры, а то, что в скриптах будут возможно еще со временем найдены дыры какие-то так это уже закономерность и вникать в это нету смысла... оставим эти проблемы разработчикам...

ну надо же через пару суток ботнету дошло, что скрипта там уже давным давно нету))) реально интересный ботнет, троянить сервера, создавать свои, и делать атаки на сайты.... возможно даже кулхацкер не один ?

Код: sql

1.
2.
3.
4.

[Fri Sep 11 15:07:22 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/skin/skinmain.php' not found or unable t
[Fri Sep 11 15:07:22 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/skin/skinmain.php' not found or unable t
[Fri Sep 11 17:40:21 2015] [error] [client 157.55.39.204] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 bytes
[Fri Sep 11 20:29:34 2015] [error] [client 77.232.15.152] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 bytes

...

Рейтинг:

0 / 0

11.09.2015, 21:01

| Ответить | Цитировать | Написать

ботнет

#39049703

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

авторPHP Fatal error: Allowed memory size of 134217728 bytes exhausted
О, а это как раз базу с Персональными Данными сливают )

Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей. -

...

Рейтинг:

0 / 0

11.09.2015, 21:07

| Ответить | Цитировать | Написать

ботнет

#39049708

Netsystem

Гость

netwindRelic HunterЕрунда все это. Кулцхакер может дописаться в конец файла, поменять атрибуты, etc.

Вообще-то нет. Предполагается, что пароль root горе-вебмастерам никто не дает, а позволить себе VPS - не их масштаб.
а вот кстати хороший вопрос, и не только атрибуты, кулхацкер, может дописат во все файлы куски каких-то скриптов, что потом чтобы почистить это все прийдется просто восстановить из бэкапа... поэтому вопрос очень актуальный по поводу системы какой-то наблюдения и чтобы очень быстро выявить и восстановить и может быть это даже будет помогать при анализе выявления путей взлома.... но опять же если фтп/админка пошифрованные, если нет, тогда нет смысла заморачиваться... ))) тут уже совсем другая истроия...

...

Рейтинг:

0 / 0

11.09.2015, 21:23

| Ответить | Цитировать | Написать

ботнет

#39049712

Netsystem

Гость

netwindавторPHP Fatal error: Allowed memory size of 134217728 bytes exhausted
О, а это как раз базу с Персональными Данными сливают )

неее, это кулхацкер не может успокоиться )))) нашел еще какой-то "действенный" метод.... )) чтобы написать рабочий сплоит нужно очень хорошо рубить в php,js,барузерах,безопасности, по всей видимости к этому хакеру это не относится! Но попытки покекать сайт какие-то делает... пускай занимается, не будет отвлекать как говориться... )

Код: sql

1.
2.
3.
4.

[Fri Sep 11 21:17:11 2015] [error] [client 91.121.169.194] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 byte
[Fri Sep 11 21:18:41 2015] [error] [client 91.121.169.194] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 byte
[Fri Sep 11 21:22:09 2015] [error] [client 91.121.169.194] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 byte
[Fri Sep 11 21:24:42 2015] [error] [client 91.121.169.194] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 byte

...

Рейтинг:

0 / 0

11.09.2015, 21:30

| Ответить | Цитировать | Написать

ботнет

#39049719

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Netsystemно опять же если фтп/админка пошифрованные, если нет, тогда нет смысла заморачиваться... ))) тут уже совсем другая истроия...
Да просто эта вся потеха должна запускаться от root независимо и отправлять почту владельцу сайта.
Но на практике, шанс, что при заливке шелла поменяют еще и время модификации mtime довольно высокий, а вот ctime не поменяют никак. Это служебное поле заполняется ОС. Даже не существует никакого системного вызова для его изменения. Только когда root портит файловую систему прямым чтением. Так что вам то как раз не надо много выдумывать. Нужно просто делать.

Если подозреваете, что кто-то догадается удалить из crontab все задачи - просто перезакачивайте файлы задания и запускайте crontab -e иногда. Программа /usr/bin/crontab им не дастся.

...

Рейтинг:

0 / 0

11.09.2015, 21:53

| Ответить | Цитировать | Написать

ботнет

#39049927

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

netwindРаз они не владеют root, то испортить информацию ctime они не могут никак .netwindа вот ctime не поменяют никакя, конечно, зануда, но:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.

-bash-4.1$ touch testfile
-bash-4.1$ stat testfile
  File: `testfile'
  Size: 0               Blocks: 0          IO Block: 4096   regular empty file
Device: 18h/24d Inode: 52019104    Links: 1
Access: (0644/-rw-r--r--)  Uid: (10003/***)   Gid: (  503/  psacln)
Access: 2015-09-12 15:14:24.752605095 +0300
Modify: 2015-09-12 15:14:24.752605095 +0300
Change: 2015-09-12 15:14:24.752605095 +0300
-bash-4.1$ touch testfile
-bash-4.1$ stat testfile
  File: `testfile'
  Size: 0               Blocks: 0          IO Block: 4096   regular empty file
Device: 18h/24d Inode: 52019104    Links: 1
Access: (0644/-rw-r--r--)  Uid: (10003/***)   Gid: (  503/  psacln)
Access: 2015-09-12 15:15:06.373605069 +0300
Modify: 2015-09-12 15:15:06.373605069 +0300
Change: 2015-09-12 15:15:06.373605069 +0300

Т.е. внедренный скрипт может "потачить" все файлы сайта и тем самым замаскировать реальные изменения.

...

Рейтинг:

0 / 0

12.09.2015, 15:27

| Ответить | Цитировать | Написать

ботнет

#39049979

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

miksoft, я тебе еще в самом начале говорил ))) тут надо стрктуру создавать с файлами БД и каждый час сравнивать на наличие измений

...

Рейтинг:

0 / 0

12.09.2015, 17:36

| Ответить | Цитировать | Написать

ботнет

#39049980

Netsystem

Гость

miksoft, мда... надо какой-то действенный метод....

...

Рейтинг:

0 / 0

12.09.2015, 17:37

| Ответить | Цитировать | Написать

ботнет

#39049983

Netsystem

Гость

ботнет продолжает развлекаться

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.

[Sat Sep 12 06:33:45 2015] [error] [client 184.168.27.131] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/lib/Zen
[Sat Sep 12 06:33:47 2015] [error] [client 50.63.197.64] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/lib/Zend/
[Sat Sep 12 06:33:48 2015] [error] [client 205.251.134.99] script '/home/pravoslavniy/data/www/domain.ru/skin/skinmain.php' not found or unable
[Sat Sep 12 14:18:53 2015] [error] [client 97.74.24.183] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/
[Sat Sep 12 14:18:53 2015] [error] [client 97.74.24.183] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:18:53 2015] [error] [client 97.74.24.183] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domainn
[Sat Sep 12 14:21:13 2015] [error] [client 162.209.6.204] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:21:13 2015] [error] [client 162.209.6.204] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:21:13 2015] [error] [client 162.209.6.204] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:23:32 2015] [error] [client 50.63.197.108] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:23:32 2015] [error] [client 50.63.197.108] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:23:32 2015] [error] [client 50.63.197.108] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:25:52 2015] [error] [client 50.62.176.118] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:25:52 2015] [error] [client 50.62.176.118] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:25:52 2015] [error] [client 50.62.176.118] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:28:12 2015] [error] [client 108.58.188.83] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:28:12 2015] [error] [client 108.58.188.83] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:28:12 2015] [error] [client 108.58.188.83] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:30:32 2015] [error] [client 50.63.196.149] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:30:32 2015] [error] [client 50.63.196.149] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:30:32 2015] [error] [client 50.63.196.149] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:32:52 2015] [error] [client 50.62.161.175] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:32:52 2015] [error] [client 50.62.161.175] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:32:52 2015] [error] [client 50.62.161.175] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:37:29 2015] [error] [client 194.247.174.66] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugin
[Sat Sep 12 14:37:29 2015] [error] [client 194.247.174.66] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:37:29 2015] [error] [client 194.247.174.66] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/pravoslavniy-magaz
[Sat Sep 12 14:39:50 2015] [error] [client 50.62.161.159] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:39:50 2015] [error] [client 50.62.161.159] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:39:50 2015] [error] [client 50.62.161.159] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:42:09 2015] [error] [client 50.62.176.71] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/
[Sat Sep 12 14:42:09 2015] [error] [client 50.62.176.71] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:42:09 2015] [error] [client 50.62.176.71] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domainn
[Sat Sep 12 14:44:29 2015] [error] [client 97.74.24.135] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/
[Sat Sep 12 14:44:29 2015] [error] [client 97.74.24.135] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:44:29 2015] [error] [client 97.74.24.135] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domainn
[Sat Sep 12 14:47:14 2015] [error] [client 178.250.245.143] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/app/et
[Sat Sep 12 14:49:12 2015] [error] [client 50.62.161.16] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/
[Sat Sep 12 14:49:12 2015] [error] [client 50.62.161.16] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:49:12 2015] [error] [client 50.62.161.16] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domainn
[Sat Sep 12 14:51:31 2015] [error] [client 198.1.110.182] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:51:31 2015] [error] [client 198.1.110.182] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:51:31 2015] [error] [client 198.1.110.182] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:53:51 2015] [error] [client 50.62.176.208] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
[Sat Sep 12 14:53:51 2015] [error] [client 50.62.176.208] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:53:51 2015] [error] [client 50.62.176.208] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domain
[Sat Sep 12 14:56:11 2015] [error] [client 184.168.224.129] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugi
[Sat Sep 12 14:56:11 2015] [error] [client 184.168.224.129] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:56:11 2015] [error] [client 184.168.224.129] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/pravoslavniy-maga
[Sat Sep 12 14:58:34 2015] [error] [client 180.214.95.222] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugin
[Sat Sep 12 14:58:34 2015] [error] [client 180.214.95.222] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 14:58:34 2015] [error] [client 180.214.95.222] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/pravoslavniy-magaz
[Sat Sep 12 15:00:55 2015] [error] [client 103.27.60.14] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/
[Sat Sep 12 15:00:55 2015] [error] [client 103.27.60.14] PHP Warning:  Unknown: failed to open stream: Permission denied in Unknown on line 0
[Sat Sep 12 15:00:55 2015] [error] [client 103.27.60.14] PHP Fatal error:  Unknown: Failed opening required '/home/pravoslavniy/data/www/domainn
[Sat Sep 12 15:03:13 2015] [error] [client 209.188.18.94] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins

...

Рейтинг:

0 / 0

12.09.2015, 17:46

| Ответить | Цитировать | Написать

ботнет

#39049998

мимопроходилтреднечитал

Гость

loginovru,

он умеет отслеживать обращения к вновь появившимся файлам, так автор ставил задачу

...

Рейтинг:

0 / 0

12.09.2015, 18:41

| Ответить | Цитировать | Написать

ботнет

#39050000

мимопроходилтреднечитал

Гость

Netsystem,

всё сноси, начисто переустанавливай и впредь не пользуйся пхпмуадминами и испманагерами, а вместо этого следи за обновлениями своих cms и их плугинов

...

Рейтинг:

0 / 0

12.09.2015, 18:44

| Ответить | Цитировать | Написать

ботнет

#39050018

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

Netsystemmiksoft, мда... надо какой-то действенный метод....Если идти кустарным путем - хранить хэши или целиком все файлы в сторонке, а по случаю срабатывания скрипта netwind-а проводить более полный анализ вплоть до diff-а измененных файлов.
Или использовать готовые системы такого рода.

...

Рейтинг:

0 / 0

12.09.2015, 19:37

| Ответить | Цитировать | Написать

ботнет

#39050042

Netsystem

Гость

miksoft, атаки продолжаются, что это за херня ?

Код: sql

[Sat Sep 12 18:55:05 2015] [error] [client 109.120.129.230] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/downlo
[Sat Sep 12 18:55:32 2015] [error] [client 46.16.200.45] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 18:57:53 2015] [error] [client 184.168.46.180] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 18:58:31 2015] [error] [client 178.250.245.143] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/app/et
[Sat Sep 12 19:00:12 2015] [error] [client 50.63.196.126] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:02:34 2015] [error] [client 97.74.24.198] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:04:53 2015] [error] [client 50.63.196.118] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:07:13 2015] [error] [client 182.50.130.30] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:11:03 2015] [error] [client 117.55.227.100] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 19:11:56 2015] [error] [client 103.28.38.119] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:13:25 2015] [error] [client 80.172.233.23] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:15:42 2015] [error] [client 50.63.197.79] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:18:02 2015] [error] [client 216.239.136.38] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 19:20:20 2015] [error] [client 107.23.153.197] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 19:25:02 2015] [error] [client 54.251.161.63] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:29:44 2015] [error] [client 184.168.200.111] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.ph
[Sat Sep 12 19:36:41 2015] [error] [client 185.28.21.81] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:38:59 2015] [error] [client 198.11.206.178] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 19:39:23 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:39:24 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:39:37 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:39:37 2015] [error] [client 91.226.32.99] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:41:17 2015] [error] [client 93.125.99.44] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:43:39 2015] [error] [client 97.74.144.92] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:46:01 2015] [error] [client 72.167.159.15] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:48:20 2015] [error] [client 173.208.58.250] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 19:50:41 2015] [error] [client 97.74.24.109] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:53:05 2015] [error] [client 103.229.72.46] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:55:26 2015] [error] [client 187.73.33.61] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:57:38 2015] [error] [client 5.101.156.80] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 19:59:58 2015] [error] [client 195.74.38.153] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:02:20 2015] [error] [client 208.109.181.52] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:07:02 2015] [error] [client 61.19.249.215] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:09:20 2015] [error] [client 184.168.193.176] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.ph
[Sat Sep 12 20:09:35 2015] [error] [client 182.50.130.93] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:16:32 2015] [error] [client 198.71.228.41] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:18:27 2015] [error] [client 178.250.245.143] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/app/et
[Sat Sep 12 20:18:53 2015] [error] [client 72.167.131.217] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:21:11 2015] [error] [client 198.71.226.7] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:23:38 2015] [error] [client 52.4.170.86] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php' n
[Sat Sep 12 20:25:57 2015] [error] [client 116.255.213.116] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.ph
[Sat Sep 12 20:28:17 2015] [error] [client 125.212.209.57] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:30:32 2015] [error] [client 89.106.12.62] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:33:32 2015] [error] [client 81.176.226.186] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:35:16 2015] [error] [client 203.113.173.32] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:35:40 2015] [error] [client 46.181.90.21] PHP Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 2560001 bytes)
[Sat Sep 12 20:37:34 2015] [error] [client 184.168.152.41] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:39:54 2015] [error] [client 97.74.144.152] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:42:20 2015] [error] [client 50.62.208.36] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:46:53 2015] [error] [client 50.63.194.54] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:49:15 2015] [error] [client 70.40.218.120] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:51:32 2015] [error] [client 97.74.24.208] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:53:54 2015] [error] [client 72.167.232.31] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:56:16 2015] [error] [client 50.63.194.76] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'
[Sat Sep 12 20:58:34 2015] [error] [client 184.168.46.190] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php
[Sat Sep 12 20:59:14 2015] [error] [client 178.250.245.143] client denied by server configuration: /home/pravoslavniy/data/www/domain.ru/app/et
[Sat Sep 12 21:00:54 2015] [error] [client 184.168.46.94] script '/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins/pagebreak/dirs.php'

...

Рейтинг:

0 / 0

12.09.2015, 21:02

| Ответить | Цитировать | Написать

ботнет

#39050077

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

miksoftТ.е. внедренный скрипт может "потачить" все файлы сайта и тем самым замаскировать реальные изменения.
Таки да.Но и скрипт все равно поднимет шум и можно уже сравнивать с бекапом.

это подозрительно:
автор[Sat Sep 12 14:23:32 2015] [error] [client 50.63.197.108] mod_mime_magic: can't read `/home/pravoslavniy/data/www/domain.ru/js/tiny_mce/plugins
Дело в том, что я посмотрел и SUPEE-5344, SUPEE-1533 не относятся к tiny_mce, однако в этом компоненте была какая-то широкоизвестная уязвимость.

...

Рейтинг:

0 / 0

12.09.2015, 22:57

| Ответить | Цитировать | Написать

25 сообщений из 106, страница 3 из 5

все

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / ботнет

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=39049651&tid=1481929]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	155ms
get topic data:	12ms
get forum data:	3ms
get page messages:	61ms
get tp. blocked users:	1ms
others:	14ms

total:	276ms