Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Дыры в работе ftp или?  (Прочитано 794 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн xbuyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Дыры в работе ftp или?
« : 26 Декабря 2015, 09:33:51 »
Здравствуйте!

Некоторое время назад на одном из серверов (инджикс + апач) заметил появление директории в одном из каталогов www с кучей html файлов. В каждом названии присутствовало klych.
При этом права директории вполне допустимые - 755. Весь контент удалил, но через некоторое время он снова появился в том же месте. Прибил второй раз, погуглил на тему - вирус, но информации не очень много и она разномастная: кто говорит о дыре в безопасности FTP, кто о том, что подобран пароль.

За пару недель до этой находки служба поддержки ISPManager просила предоставить доступ для проверки установки панели. В итоге, панель ISPManager я отключил, т.к. от неё больше проблем, чем пользы в данном случае.
На других серверах подобных проблем нет, хотя стоит та же Ubuntu. Я склоняюсь к тому, что основная причина явления предоставление доступа сотрудникам ISP.

Кто-то встречался с подобным явлением?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Дыры в работе ftp или?
« Ответ #1 : 26 Декабря 2015, 09:44:12 »
А логи что говорят?

Оффлайн xbuyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: Дыры в работе ftp или?
« Ответ #2 : 26 Декабря 2015, 13:12:58 »
А логи что говорят?

Логи молчат. Хотя с другой стороны - логи чего? Может я не правильно мыслю и рассматриваю только логи апача/инджикса. FTP сервиса нет, но возможно, его ISPManager мог подянуть или оставить в каком-то не явном виде. Хотя, конечно, это уже параноидальная версия.
Дата создания корректируется на уровень остальных файлов.
Вообще, после ISPManager заметил нездоровую активность: слетели индексные файлы у нескольких сайтов, и если честно, то я не сразу понял в чём дело - т.к. дата файлов не изменялась, основная версия была ошибка в интерпретаторе, т.к. на php файлах вылетала ошибка 500.
Разобрался в вопросе лишь за несколько часов.
Ладно, проехали. Теперь вот новые танцы возникли на ровном месте. При этом ни на одном из других серверов ничего подобного не замечено, хотя конфигурация у всех одинаковая. CMS самодельные у всех ресурсов. Совпадение? Не думаю! (с).

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28457
    • Просмотр профиля
Re: Дыры в работе ftp или?
« Ответ #3 : 27 Декабря 2015, 01:05:52 »
Кем именно дельная CMS? У меня был случай, когда заэксплойтили файловый загрузчик админки CMS, который, оказывается, не был прикрыт проверкой авторизации.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн xbuyer

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: Дыры в работе ftp или?
« Ответ #4 : 27 Декабря 2015, 22:28:57 »
Спасибо за ответ, AnrDaemon!

Одна кмс мною писаная, ещё одна украинскими мастерами. Лет 10 назад, не меньше.
Всё относительно просто, без аяксов и наворотов разномастных.
Ещё раз акцентирую внимание: проблема только на одном сервере. Странно. Контент появлялся в папках темп или имиджевых.
Идею с авторизацией постоприёмных файлов я проверю в любом случае.

 

Страница сгенерирована за 0.099 секунд. Запросов: 25.