Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Вирус в index.php - как бороться?  (Прочитано 3090 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн gvital

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Вирус в index.php - как бороться?
« : 05 Март 2012, 12:05:30 »
Помогите, гуры!

Ситуация такая, есть машина Ubuntu Server 10.04 (обновления установлены), apache, mysql. На всем этом крутится сайтик (joomla). В последнее время периодически (где-то раз в неделю) модифицируется файл index.php и в нем появляется скрипт (вирус какой-то). Пробовал менять права, менял владельца - владелец возвращается на www-data, назначаются права на запись, ну и соотв. возвращается вирусня эта. Пароли судоюзера сменил, не помогло..


Где дырка? Не пойму, где искать.

Оффлайн gva230

  • Активист
  • *
  • Сообщений: 981
  • GUI-овый линуксоид
    • Просмотр профиля
    • Моя дикая страничка
Re: Вирус в index.php - как бороться?
« Ответ #1 : 05 Март 2012, 12:22:32 »
А текст вируса можете опубликовать сюда? Заверните его в тег [php].
Kubuntu - наше фсё! :Ь

Оффлайн gvital

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Вирус в index.php - как бороться?
« Ответ #2 : 05 Март 2012, 12:46:48 »
Во вложении модифицированный файлик. Яндекс его классифицировал как "поведенческий анализ".

Но суть проблемы не в этом. Почему, даже если жумла хакнутая, она (или кто тогда?) может сменить владельца у файла. Я ставлю владельца на root, права 444, а через несколько дней владелец www-data права 644

wfedin

  • Гость
Re: Вирус в index.php - как бороться?
« Ответ #3 : 05 Март 2012, 12:53:15 »
Уместней на форуме Джумлы об этом почитать. Чистка одного файла вас не спасёт, у вас наверняка натыкана куча бекдоров по файлам так что… http://joomlaforum.ru/index.php/board,104.0.html
« Последнее редактирование: 05 Март 2012, 12:54:55 от wfedin »

Оффлайн ploxish

  • Любитель
  • *
  • Сообщений: 97
    • Просмотр профиля
Re: Вирус в index.php - как бороться?
« Ответ #4 : 29 Март 2012, 18:46:25 »
Проверяйте сервер, скорее всего там залит бэкдор, если даже могут менять права на файлы, то скорее всего он крутится под root- от этого все ваши беды.

Оффлайн gvital

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Вирус в index.php - как бороться?
« Ответ #5 : 30 Март 2012, 07:48:48 »
С правами вроде разобрался. Я рассуждал так - пусть жумла ломанутая, я на файловом уровне запрещу пользователю www-data менять свою же папку, так и вирус не сможет прописаться. Как оказалось (по крайней мере для меня это было новостью  :)) что если у пользователя есть права на запись к родителю файла, то он вполне может сделать копию этого файла, назначить права, какие хочет, затем старый грохнуть, ну и соотв. переименовать новый. А в результате кажется, что файл сменил, владельца и маску прав.

Ну в общем, забрал я у www-data права на папку с сайтом, подождал недельку - вроде все нормально.

Потом выяснилось, что те люди, которые говорят - "Не делай через ж..пу, все равно переделывать" таки оказываются правы. В жумле после этих мероприятий перестали работать многие функции. Странички добавляются, а редактор работает наполовину и т.д. Видать как-то файловая система на запись задействуется, не все через БД.

Короче пришлось поменять пароль mysql root,обновил жумлу - пока все нормально, сижу жду...

Rabbyt

  • Гость
Re: Вирус в index.php - как бороться?
« Ответ #6 : 31 Март 2012, 13:33:32 »
Короче пришлось поменять пароль mysql root,обновил жумлу - пока все нормально, сижу жду...
Лучше бы заново ее переустановил, так спокойнее, ИМХО.

Оффлайн teraflops

  • Участник
  • *
  • Сообщений: 122
    • Просмотр профиля
Re: Вирус в index.php - как бороться?
« Ответ #7 : 28 Апрель 2012, 19:39:47 »
автор, ты качал с неофициального источника?

Оффлайн gvital

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Вирус в index.php - как бороться?
« Ответ #8 : 28 Апрель 2012, 20:08:12 »
с "неофициального"  :-[

Кстати вирус этот я нарыл - вернее, бэкдор, которым его прописывали. wso2 называется. Могу выложить, если интересно. Если он на сервере "пропишется" - дальше любой школяр может над убунтой издеваться. Очень удобный и интуитивный интерфейс... я ту джумлу давно не обновлял, вот видать и ломанули.
« Последнее редактирование: 29 Апрель 2012, 23:22:39 от gvital »

 

Страница сгенерирована за 0.057 секунд. Запросов: 24.