беспартийный единоличник
С нами с 30.10.03
Сообщения: 5211
Рейтинг: 1117
|
 Добавлено: 09/11/08 в 16:58 |
Список всех стандарных файлов не помешал бы.
Если удалить содержимое папок ipfiles и logfiles это будет критично для работы сиджа?
|
|
|
|
Не говорите людям, что вы о них думаете. Говорите им приятное.
|
0
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 09/11/08 в 17:40 |
Список стандартных файлов в дистрибутиве, при установке в корне создается еще index.php и im.php. В папке settings при установке создаются ca, cm, if, is, ms, os, si.
Это все, остальное к АТС отношения не имеет.
Удаление ipfiles и logfiles или поддиректорий критично, делать этого крайне не рекомендуется.
Последний раз редактировалось: von Stoltz (09/11/08 в 21:47), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 09/11/08 в 19:15 |
| von Stoltz писал: | Чтобы зашифровать пароль на файл settings/si.php должны быть права 666 или выше, после шифрования права можно уменьшить.
|
Так в том то и дело, что права на si.php - 666, засекьюрить то пароль удаётся.
Но в следующую сессию я залогиниться под старым паролем не могу.
| Цитата: | | Incorrect login/password, please, try again! |
и хоть ты тресни.
Приходиться снимать секьюрность пароля обновляя файл si.php
И ещё меня очень беспокоит что через раз появляется следующее при входе в админку:
| Цитата: | Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/domain.com/settings/is.php:9) in /usr/home/user/domain.com/admin.php on line 32
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/domain.com/settings/is.php:9) in /usr/home/user/domain.com/admin.php on line 38
|
При повторной попытке зайти - логиниться нормально.
что-то не так в is.php ?
Как это исправить тогда?
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 09/11/08 в 19:27 |
| Burn писал: |
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/user/domain.com/settings/is.php:9) in /usr/home/user/domain.com/admin.php on line 32
|
это происходит если в настройках php стоит опция:
| Код: |
output_buffering = Off
|
а скрипт пытается изменить хедеры через header()
фактически на этот ворнинг вообще не надо внимания обращать.
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 09/11/08 в 19:37 |
Спасибо, с этим ясно.
Осталось только решить проблему с секьюрностью пароля.
Щас мне приходиться везде её снимать.
З.Ы. Кстати. У всех всё нормально с продой после чистки темплат, рулезов, установки заплаток и прав 555? У меня что-то никак не оклемаются.. прода 30-40 говорит о том что проектам пришел 3,14здец если ничего не изменится в ближайшие сутки.
|
|
|
|
| |
С нами с 26.04.06
Сообщения: 107
Рейтинг: 114
|
| Добавлено: 09/11/08 в 20:09 |
| von Stoltz писал: | | Как я понимаю механизм взлома, права на файлы установок особой роли не играли, критичной оказалась возможность записи в rules.txt пхп кода... |
Мне, кстати, еще писали в файл im.php.
Он ведь воздается при инсталляции с правами 666 и владельцем апачем.
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 09/11/08 в 20:30 |
мда, проверил - и точно сидит там.
на него тоже установить права 555 ?
Это не помешает работоспособности?
|
|
|
|
| |
С нами с 26.04.06
Сообщения: 107
Рейтинг: 114
|
| Добавлено: 09/11/08 в 20:47 |
На файл im.php права нужно 444.
Но не забудь вычистить бяку от туда.
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 09/11/08 в 20:49 |
угу, вычистил.
насколько я понимаю он должен максимум 48б весить.
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 09/11/08 в 21:42 |
Нормальное содержание im.php такое | Код: | | <?php setcookie("im","enable",time()+44000); ?> |
Права на него тоже 444 можно поставить.
Burn:
У тебя с конфигурацией сервера что-то не то, и варнинги эти и невозможность пароль зашифровать - это из одного места ноги растут.
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 09/11/08 в 22:56 |
Ок, буду говорить с админом сервака.
P.S. на файл settigs/is.php ставлю права 444 - надеюсь это не помешает работоспособности?
|
|
|
|
| |
С нами с 15.11.07
Сообщения: 317
Рейтинг: 274
|
| Добавлено: 10/11/08 в 10:32 |
а что с TML? а именно права доступа к темплею?
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 10/11/08 в 13:15 |
Еще очень важно: уже 2 человека поставили права 444 на ВСЕ файлы в папке templates, а потом постучали мне и сказали, что у них тумбы не крутятся. Так вот, 444 ставить нужно ТОЛЬКО на файлы с расширением .tpl
|
|
|
|
| |
Добрый дядюшка
С нами с 11.05.02
Сообщения: 2087
Рейтинг: 1262
|
| Добавлено: 10/11/08 в 13:45 |
и проверьте index.php - он оказался размером за 500Кб (хотя оригинальный менее 50 б), и был загажен даже на тех сиджах, где активность ифреймового пионэра замечена не была.
|
|
|
|
И встать, когда с тобой разговаривает... ПОДПОРУЧИК!!!
|
0
|
|
| |
С нами с 16.12.06
Сообщения: 1489
Рейтинг: 583
|
| Добавлено: 10/11/08 в 18:07 |
вчера сделал апдейт
все ок было до сегодняшнего обеда
данные по текущему часу только нарастают но не сбрасываются
крон работает нормально
что может быть ?
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 10/11/08 в 21:34 |
Я думаю, к апдейту это отношения нет имеет, иначе проблема возникла бы сразу же. Если до завтра не исчезнет, постучи в аську, будем разбираться.
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 10/11/08 в 22:36 |
index.php - на него 555 права вешать?
Последний раз редактировалось: Burn (10/11/08 в 22:54), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 16.04.08
Сообщения: 124
Рейтинг: 51
|
| Добавлено: 10/11/08 в 22:46 |
и ещё.
в папке settings иногда появляется файл bg.php
при попытке удалить - кричит что невозможно, после обновления файла уже нет.
Это так надо или это часть этого злобного скрипта?
|
|
|
|
| |
С нами с 16.02.07
Сообщения: 15
Рейтинг: 21
|
| Добавлено: 12/11/08 в 08:29 |
|
|
|
|
| |
С нами с 26.04.06
Сообщения: 107
Рейтинг: 114
|
| Добавлено: 12/11/08 в 10:35 |
А может кто-то подробнее объяснить механизм взлома?
Как какой-то левый ифрейм на левом сервере получает права апача на моем сервере?
Считаю, что это нужно понимать чтобы обезопасить себя в будущем при написании своих скриптов.
|
|
|
|
| |
XXX-Server.biz
С нами с 15.02.03
Сообщения: 9410
Рейтинг: 6676
|
| Добавлено: 12/11/08 в 10:51 |
добавляется в базу трейдеров вроде, при заходе в админку скрипт дергается из под апача, инфицируется сервер (от апачевского юзера).
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 12/11/08 в 17:31 |
1. Ифрейм добавляется в базу трейдеров. 2.При захде в админку модифицируются трейд рулесы, туда добавляется пхп код. 3. Запуск этого кода позволяет писать что угодно и куда угодно. Вот примерно так, как точно, знает только автор этого беспредела. Апдейт блокирует первый и второй пункт.
|
|
|
|
| |
old.flysays.com
С нами с 03.09.03
Сообщения: 1510
Рейтинг: 1284
|
| Добавлено: 14/11/08 в 12:20 |
у меня темплейты на 1.7.2 везде попортили, вставили код. причем тег body потерли. (права на темплейты не выставлял 444). Теперьв от везде выставляю. (на рулезах уже стояли до добавления вредоносного кода 444)
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 426
Рейтинг: 512
|
| Добавлено: 14/11/08 в 15:36 |
Видимо, не все потер, где-то на сервере бяка осталась. Ставьте 444 на темплейты на всякий случай. Проверь еще раз содержимое папок ipfiles, logfiles и подпапок.
|
|
|
|
| |
old.flysays.com
С нами с 03.09.03
Сообщения: 1510
Рейтинг: 1284
|
| Добавлено: 14/11/08 в 17:54 |
А можно все решения для вычищения в одном посте написать? А то все разбросано.
Мои админы мне пишут: "В данный момент это бесполезно, так как бекдор находящийся на вашем сервере, все равно заражает файлы. Сейчас мы занимаемся его поиском, если вы заметите какие либо незнакомые и подозрительные файлы php пожалуйста сообщите."
Мне бы хотелось ускорить процесс, напишите плз по пунктам как что чистить. С утра уже борюсь... с гавнокодом. 
пятница пошла вся крахом 
|
|
|
|
| |
