Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> hardnsoft.com.ua - не могу понять как ломают
elf
Дата 4.07.2007 - 12:15
Цитировать сообщение
Offline



.:Вечный:.
****

Профиль
Группа: -root-
Сообщений: 829
Пользователь №: 37
Регистрация: 25.02.2005



Рейтинг:
(60%) XXX--


ситуевина следующая... похоже ломают через веб, вливают руткиты... может кто-нить поколупает снаружи? буду жутко благодарен... жаль просто терять хорошую проху с доступом на alkar.net

help me plz!


--------------------
наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета
PMСайт пользователяICQ
Top
drmist
Дата 4.07.2007 - 14:31
Цитировать сообщение
Offline



Professional
*****

Профиль
Группа: -users-
Сообщений: 1165
Пользователь №: 222
Регистрация: 14.04.2005



Рейтинг:
(0%) -----


elf
Анализируй логи апача. Руткит без прав рута никто не поставит, потому меняем пасс и ставим апдейты.
Эх... еслиб ты закончил с сектимовским серваком - я бы с него все твои тазики просканил и проковырял smile.gif


--------------------
Когда нельзя еще больше хочется...
PMСайт пользователя
Top
elf
Дата 4.07.2007 - 20:54
Цитировать сообщение
Offline



.:Вечный:.
****

Профиль
Группа: -root-
Сообщений: 829
Пользователь №: 37
Регистрация: 25.02.2005



Рейтинг:
(60%) XXX--


Цитата (drmist @ 4.07.2007 - 13:31)
elf
Анализируй логи апача. Руткит без прав рута никто не поставит, потому меняем пасс и ставим апдейты.
Эх... еслиб ты закончил с сектимовским серваком - я бы с него все твои тазики просканил и проковырял smile.gif

та и апдейты ставим и пассы меняемс.... и естевственна логи смотримс... пока не нашол просто...
насчет стервака - жду зряплаты... для чего - ты знаеш.


--------------------
наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета
PMСайт пользователяICQ
Top
Fenrir
Дата 18.07.2007 - 11:11
Цитировать сообщение




Unregistered












ну для начала выставьте на /tmp

Код
noexec


потом поставте mod security
и приведите конфиг виртуал хоста в следующий вид

Код

<VirtualHost *:80>
ServerAdmin noc@hardnsoft.com.ua
DocumentRoot /usr/local/www/apache22/data/hardnsoft.com.ua/
ServerName www.hardnsoft.com.ua
ServerAlias hardnsoft.com.ua
DirectoryIndex index.php index.html index.htm about.php
ErrorLog /var/log/www/hardnsoft.com.ua_error_log
CustomLog /var/log/www/hardnsoft.com.ua_access_log combined
ErrorDocument 404 http://hardnsoft.com.ua/404.html
<IfModule mod_php4.c>
php_admin_flag safe_mode on
php_admin_flag safe_mode_gid on
php_admin_value open_basedir /usr/local/www/apache22/data/hardnsoft.com.ua/
php_admin_value safe_mode_exec_dir /usr/local/www/apache22/data/hardnsoft.com.ua/
php_admin_flag session.auto_start off
</IfModule>
SecFilterEngine On
SecFilterScanPOST On
SecFilterScanOutput On
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding Off
SecFilterForceByteRange 1 255
SecAuditEngine RelevantOnly
SecAuditLog /var/log/audit_log
SecFilterDefaultAction "deny,log,status:500"
SecFilter "\.\./"
SecFilter "<(.|\n)+>"
SecFilter "<[[:space:]]*script"
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
SecFilterSelective ARG_b2inc "!^$"
SecFilterSelective OUTPUT "Fatal error:"
</VirtualHost>


ну ясное дело что пути к дирам где лежит контент скорее всего будут другие
Top
Fenrir
Дата 18.07.2007 - 11:14
Цитировать сообщение




Unregistered












да ну и желательно раз в 10 минут запускать chkrootkit с отправкой результатов на мыло, так как если и порутали то логи наверняка логвайпером чистят
Top
harik
Дата 8.04.2010 - 11:02
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 6996
Регистрация: 8.04.2010



Рейтинг:
(0%) -----


в таких случаях вероятно, что ктото уже залил на сайт шелл, через который может смотреть и изменять пароли, следует прошерстить сайт на последние изменения файлов на нем и проанализировать когда они проводились


--------------------
экономьте электричество, выключайте Num Lock!
PMПисьмо на e-mail пользователю
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса