Взломали сервер

[intervision]

уже давно стали загружать проц какие то процессы PERL

а пару дней назад еще и обнаружил процесс eggdrop который так же грузит проц...

одновременно с этим событием пришло на админское мыло письмо такого содержания

(Нажмите, чтобы показать/скрыть)

Subject: System attack from 213.141.140.52

The following was in my weblog. It indicates someone trying to gain access
to my web site via known flaws in commonly used programs.

In this case it is the OSCommerce web service. I don't use it.

It also indicates that you have a compromised server.   

Please fix.

If you're using OSCommerce you should install the latest version,
as there are known exploits to older versions.
Since even recent versions may still have a file upload flaw,
you may want to implement .htaccess password protection
to any 'admin' folders that you may have, as this is the best
way to currently protect your system.

Try using a virus scanner also (e.g. there's a freeware scanner, clamscan, that may be of help)
If you find a problem, I would appreciate feed-back on what you found, and what
you did to fix it, so that I can inform others who experience similar problems. Thanks!

213.141.140.52 - - [27/Apr/2011:14:31:10 -0700] "GET /html/art/hack.php/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 200 46482
213.141.140.52 - - [27/Apr/2011:14:31:12 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 200 222
213.141.140.52 - - [27/Apr/2011:14:31:12 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 200 222
213.141.140.52 - - [27/Apr/2011:14:31:12 -0700] "GET /html/art/hack.php/admin/file_manager.php/login.php HTTP/1.1" 200 46482
213.141.140.52 - - [27/Apr/2011:14:31:14 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [27/Apr/2011:14:31:15 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [30/Apr/2011:16:14:42 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [30/Apr/2011:16:14:42 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [30/Apr/2011:16:16:28 -0700] "GET /html/art/hack.php/admin/file_manager.php/login.php HTTP/1.1" 403 252
213.141.140.52 - - [30/Apr/2011:16:16:29 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [30/Apr/2011:16:16:29 -0700] "GET /html/art/hack.php/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 250
213.141.140.52 - - [30/Apr/2011:16:16:29 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [30/Apr/2011:16:16:30 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [30/Apr/2011:16:16:30 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [30/Apr/2011:16:18:33 -0700] "GET /html/art/hack.php/admin/file_manager.php/login.php HTTP/1.1" 403 252
213.141.140.52 - - [30/Apr/2011:16:18:34 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [30/Apr/2011:16:18:34 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [30/Apr/2011:16:18:46 -0700] "GET /html/art/hack.php/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 250
213.141.140.52 - - [30/Apr/2011:16:18:47 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [30/Apr/2011:16:18:47 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [22/Jun/2011:06:17:26 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:17:26 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:17:26 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:06:17:26 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:06:17:27 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:06:17:27 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:06:17:57 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:17:57 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:06:17:58 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:06:18:03 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:18:04 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:06:18:04 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:06:22:23 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:22:25 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:25:14 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:06:25:17 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:07:17:13 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:07:17:13 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:07:17:14 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:07:17:14 -0700] "POST /html/art/hackdetail.py?ipaddress=66.135.38.156&date=2011-06-01+01%3A52%3A21/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:07:17:14 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [22/Jun/2011:07:17:15 -0700] "POST /contact.php HTTP/1.1" 403 213
213.141.140.52 - - [22/Jun/2011:07:17:15 -0700] "POST /html/art/contact.php HTTP/1.1" 403 222
213.141.140.52 - - [22/Jun/2011:07:17:16 -0700] "POST /html/art/hackdetail.py?ipaddress=85.214.54.97&date=2011-04-29+20%3A36%3A28/contact.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:24:46 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [02/Jul/2011:22:24:47 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [02/Jul/2011:22:24:47 -0700] "GET /html/admin/file_manager.php/login.php HTTP/1.1" 403 239
213.141.140.52 - - [02/Jul/2011:22:24:47 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [02/Jul/2011:22:24:48 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [02/Jul/2011:22:24:49 -0700] "GET /html/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 237
213.141.140.52 - - [02/Jul/2011:22:25:05 -0700] "GET /html/art/hackdetail.py?ipaddress=118.127.20.135&date=2011-05-03+22%3A54%3A06/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:05 -0700] "GET /html/art/hackdetail.py?ipaddress=118.127.20.135&date=2011-05-03+22%3A54%3A06/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:06 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [02/Jul/2011:22:25:06 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [02/Jul/2011:22:25:06 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [02/Jul/2011:22:25:06 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [02/Jul/2011:22:25:11 -0700] "GET /html/art/hackdetail.py?ipaddress=118.127.20.135&date=2011-05-03+22%3A54%3A06/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:11 -0700] "GET /html/art/hackdetail.py?ipaddress=118.127.20.135&date=2011-05-03+22%3A54%3A06/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:11 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [02/Jul/2011:22:25:12 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [02/Jul/2011:22:25:12 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [02/Jul/2011:22:25:12 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [02/Jul/2011:22:25:12 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [02/Jul/2011:22:25:13 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [02/Jul/2011:22:25:13 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [02/Jul/2011:22:25:13 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [02/Jul/2011:22:25:13 -0700] "GET /html/admin/file_manager.php/login.php HTTP/1.1" 403 239
213.141.140.52 - - [02/Jul/2011:22:25:13 -0700] "GET /html/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 237
213.141.140.52 - - [02/Jul/2011:22:25:24 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:24 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:32 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:32 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:03 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:07 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:43 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:49 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:27:51 -0700] "GET /html/art/hackdetail.py?ipaddress=92.53.112.194&date=2011-04-29+10%3A00%3A35/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:27:53 -0700] "GET /html/art/hackdetail.py?ipaddress=92.53.112.194&date=2011-04-29+10%3A00%3A35/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:29:16 -0700] "GET /html/art/hackdetail.py?ipaddress=80.14.209.27&date=2011-05-05+14%3A40%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:29:17 -0700] "GET /html/art/hackdetail.py?ipaddress=80.14.209.27&date=2011-05-05+14%3A40%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:30:20 -0700] "GET /html/art/hackdetail.py?ipaddress=112.216.153.186&date=2011-04-27+00%3A10%3A46/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:30:29 -0700] "GET /html/art/hackdetail.py?ipaddress=112.216.153.186&date=2011-04-27+00%3A10%3A46/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [04/Jul/2011:11:34:19 -0700] "GET /html/art/hackdetail.py?ipaddress=75.125.129.42&date=2011-06-23+18%3A05%3A34/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [04/Jul/2011:11:34:20 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234
213.141.140.52 - - [04/Jul/2011:11:34:20 -0700] "GET /html/art/admin/file_manager.php/login.php HTTP/1.1" 403 243
213.141.140.52 - - [04/Jul/2011:11:34:20 -0700] "GET /html/art/hackdetail.py?ipaddress=75.125.129.42&date=2011-06-23+18%3A05%3A34/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [04/Jul/2011:11:34:21 -0700] "GET /admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 232
213.141.140.52 - - [04/Jul/2011:11:34:21 -0700] "GET /html/art/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 241
213.141.140.52 - - [04/Jul/2011:11:34:24 -0700] "GET /html/art/hackdetail.py?ipaddress=75.125.129.42&date=2011-06-23+18%3A05%3A34/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [04/Jul/2011:11:34:24 -0700] "GET /admin/file_manager.php/login.php HTTP/1.1" 403 234

в системе явно что то сидит, вот только что именно и как это удалить я не знаю к сожалению....

очень прошу помочь очистить серв (крайне желательно без рекомендаций все снести и поставить заново)


на текущий момент сделано следующее:

был исправлен конфиг апача на запрет запуска perl и cgi скриптов
были выставлены права на /usr/lib/perl в 000
был изменен рут пароль

убедительная просьба дать еще советов по устранению подобных ситуаций, ибо паника =(((

[bogong]

1. hackdetail.py - поищи этот файл у себя в каталоге с HTML-ками b PHP-шками .... Это так же может быть зашито в теле скрипта твоего уже ... Или лежать в другой папке ...
2. Проверь свой скрипт на то чтоб он у тебя парсил все что прилетает методами GET и POST если у тебя скрипт написан в PHP то скорей всего через него и ломанули, через пересылку переменных
3. Иди на sysadmins.ru задай там этот же вопрос ... По безопасности там народ поболее знает

PS / А по поводу паники - есть классная пословица ... Первый раз больно, а потом привыкаешь и нравиться ... Панику отставить!!! Включать голову!!!
Первый шаг:
http://www.google.ru/#hl=ru&xhr=t&q=hackdetail.py&cp=13&pf=p&sclient=psy&newwindow=1&site=&source=hp&aq=f&aqi=&aql=&oq=hackdetail.py&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=4255f93b57cc77f6&biw=1920&bih=1064
Таких как ты оказывается много ... Смотри у них решения данной проблемы

[intervision]

Большое спасибо щас попробую

[bogong]

Большое спасибо щас попробую

Не за что ...
Судя по всему ...:

Код: [Выделить]

213.141.140.52 - - [02/Jul/2011:22:25:24 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:24 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:32 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:25:32 -0700] "GET /html/art/hackdetail.py?ipaddress=72.29.93.26&date=2011-05-05+06%3A29%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:03 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:07 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:43 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:26:49 -0700] "GET /html/art/hackdetail.py?ipaddress=67.29.139.224&date=2011-04-26+07%3A24%3A19/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:27:51 -0700] "GET /html/art/hackdetail.py?ipaddress=92.53.112.194&date=2011-04-29+10%3A00%3A35/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:27:53 -0700] "GET /html/art/hackdetail.py?ipaddress=92.53.112.194&date=2011-04-29+10%3A00%3A35/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:29:16 -0700] "GET /html/art/hackdetail.py?ipaddress=80.14.209.27&date=2011-05-05+14%3A40%3A24/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:29:17 -0700] "GET /html/art/hackdetail.py?ipaddress=80.14.209.27&date=2011-05-05+14%3A40%3A24/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:30:20 -0700] "GET /html/art/hackdetail.py?ipaddress=112.216.153.186&date=2011-04-27+00%3A10%3A46/admin/file_manager.php/login.php HTTP/1.1" 403 224
213.141.140.52 - - [02/Jul/2011:22:30:29 -0700] "GET /html/art/hackdetail.py?ipaddress=112.216.153.186&date=2011-04-27+00%3A10%3A46/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 403 224
213.141.140.52 - - [04/Jul/2011:11:34:19 -0700] "GET /html/art/hackdetail.py?ipaddress=75.125.129.42&date=2011-06-23+18%3A05%3A34/admin/file_manager.php/login.php HTTP/1.1" 403 224
Схема была такова:
1. у тебя в ПХП не было проверки и отделения striptag-ом и это вызвало возможность подмены переменных в ГЕТ и ПОСТ ... Через подмену залили какашку ...
2. в правах на запуск не было прописан список скриптов разрешенных к исполнению, или же напихали в тело скрипта
3. после этого использовали твой сервак как донор для исполнения задуманного ...
4. он от куда-то скачал и куда-то переслал ...
5. посмотри логи куда он чего слал ...
6. сравни структуру своих каталогов с тем что я тебе выделил ...

Все это основано на подмене заголовков HTTP
А судя по наличию 403 ошибки не все у них пошло гладко ...
Пользователь решил продолжить мысль 24 Июля 2011, 17:23:39:http://kfrazier.mooo.com/html/art/hack.php - прочти внимательно со словарем все что на этой страничке!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Похоже ни тебя одного пои ... ой взломали ... Судя по структуре каталогов, первоисточник этого кала на этом сайте ...


Если будет не трудно если что выяснишь ..., отпишись об этом здесь ..., будет полезно ... Я уже создал пост со ссылкой на твое сообщение на sysadmins.ru ... Если что ответят выложу ссылку

А это информация о владельце странички ... Может правда он тоже просто пострадавший ... Сервис whois:

Код: [Выделить]

Socket Fire
8800 Sierra College Blvd
Apt 712
Roseville, CA  95661
US


[intervision]

это не мои логи - мне прислал этот лог в письме владелец другого серва на который видимо и производилась атака посредствам моего серва...

щас нашел в каталоге с одним из субдоменов кучу скриптов какашечных )))

собственно вопрос по конфигу - что и где поменять ибо совсем не понятно стало....
Пользователь решил продолжить мысль 24 Июля 2011, 17:45:53:по ссылке 403 =(

[bogong]

это не мои логи - мне прислал этот лог в письме владелец другого серва на который видимо и производилась атака посредствам моего серва...

щас нашел в каталоге с одним из субдоменов кучу скриптов какашечных )))

собственно вопрос по конфигу - что и где поменять ибо совсем не понятно стало....
Пользователь решил продолжить мысль 24 Июля 2011, 17:45:53:по ссылке 403 =(

1. Прочти внимательно все что написано в ссылке которую прислал раньше
2. Не удаляй скрипты а сделай архивную копию и проанализируй что они делают
3. Результатом поделись с ближним ...
4. Сохрани все логи и всю переписку по этой ситуации ..., так на всякий случай ... Мало-ли что ... Может через твой сайт стырили много денег у банка ..., и потом ты устанешь объяснять что ты не верблюд.

[intervision]

у меня субдомен был на сервере на нем круктилось ядро движдка е107 переделанное под свои нужды. в силу специфических изменений ядро не обновлялось дабы не потерять сотворенное... версия была оч старая и в ней явно могла быть уязвимость с ГЕТ и ПОСТ запросами...

в той же дирректории обнаружились исходники серверов Unreal3.2 (IRC сервер с трояном внутри) и EggDrop (пока хз что это)

сейчас весь каталог с субдоменом выпилен начисто

только есть вопрос - если из исходников что то компилили - где это найти и как удалить?
Пользователь решил продолжить мысль 24 Июля 2011, 17:51:57:часть скриптов зашифрована в bayes
не могу проанализировать - серв у меня как хобби так что знаний в этом плане почти нет...

[bogong]

только есть вопрос - если из исходников что то компилили - где это найти и как удалить?

Что за система??? Ubuntu? FreeBSD? в зависимости от системы смотри куда и как запускался инсталятор и конфигуратор и смотри что и куда они сваливали ... Логи инсталятора смотри

[intervision]

ubuntu 11.04
могу выложить куда нить архив с мусором ))
Пользователь решил продолжить мысль 24 Июля 2011, 17:58:09:а вот еще кое что интересное

Код: [Выделить]

Jul 24 17:47:01 server CRON[849]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:48:01 server CRON[1007]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:49:01 server CRON[1151]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:50:01 server CRON[1333]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:51:01 server CRON[1547]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:52:01 server CRON[1807]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:53:01 server CRON[1970]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:54:01 server CRON[2132]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:55:01 server CRON[2315]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:56:01 server CRON[2487]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)


[bogong]

ubuntu 11.04
могу выложить куда нить архив с мусором ))
Пользователь решил продолжить мысль 24 Июля 2011, 17:58:09:а вот еще кое что интересное

Код: [Выделить]

Jul 24 17:47:01 server CRON[849]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:48:01 server CRON[1007]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:49:01 server CRON[1151]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:50:01 server CRON[1333]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:51:01 server CRON[1547]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:52:01 server CRON[1807]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:53:01 server CRON[1970]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:54:01 server CRON[2132]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:55:01 server CRON[2315]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)
Jul 24 17:56:01 server CRON[2487]: (www-data) CMD (/tmp/.psy/y2kupdate >/dev/null 2>&1)


http://forum.searchengines.ru/archive/index.php/t-485421.html
http://www.webhostingtalk.com/archive/index.php/t-424828.html
http://forums.theplanet.com/lofiversion/index.php/t49143.html
http://www.directadmin.com/forum/showthread.php?t=15729

http://restart.bids4domains.com/komanda-restart-apache-cherez-cron.html
http://webhosting.bigresource.com/auto-restart-apache-on-cron-zFAcn9wt.html

http://sysadmins.ru/forum9.html

[intervision]

да, эт я нашел уже, можно ли вычистить всю папку tmp или там что то нужное может находиться?
Пользователь решил продолжить мысль 24 Июля 2011, 18:28:44:короче вычистил темп
вычистил папки сайта лишние
нашел так же дыру в пхпмайадмин - снес его весь нафиг
удалил левые задания в крон

видимо осталось только ждать и следить