Спасибо всем, кто еще МОЖЕТ!
С нами с 25.07.04
Сообщения: 3875
Рейтинг: 1570
|
 Добавлено: 25/05/09 в 15:55 |
Ребята, подскажите как защититься от заливки спамерских РНР. Не пойму как, но появляются даже в папках 755. Вот его реферский файл spam-ref.php:
| Код: | <a href="http://kafanasesir.co.yu/" class="link3" target="_blank" rel="nofollow">kafanasesir</a>
<BR>
<a href="http://www.gare.at/" class="link3" target="_blank" rel="nofollow">gare.at</a>
<BR>
<a href="http://www.ftpdedacom.nl/" class="link3" target="_blank" rel="nofollow">ftpdedacom.nl</a>
<BR>
<a href="http://www.acpbv.nl/" class="link3" target="_blank" rel="nofollow">acpbv.nl</a>
<BR>
<a href="http://www.pyhrn83.at/" class="link3" target="_blank" rel="nofollow">pyhrn83.at</a>
<BR>
<a href="http://www.diaktis.gr/" class="link3" target="_blank" rel="nofollow">diaktis.gr</a>
<BR>
<a href="http://chilleez.com/" class="link3" target="_blank" rel="nofollow">chilleez.com</a>
<BR>
<a href="http://surofa.co.za/" class="link3" target="_blank" rel="nofollow">surofa.co.za</a>
<BR>
<a href="http://www.acehighresort.com/" class="link3" target="_blank" rel="nofollow">acehighresort</a>
<BR>
<a href="http://www.errikostimes.com/" class="link3" target="_blank" rel="nofollow">errikostimes</a>
<BR>
<a href="http://www.sandiegoscale.com/" class="link3" target="_blank" rel="nofollow">sandiegoscale</a>
<BR>
<a href="http://roundlakeresort.com/" class="link3" target="_blank" rel="nofollow">roundlakeresort</a>
<BR>
<a href="http://www.fredysma.ee/" class="link3" target="_blank" rel="nofollow">fredysma</a>
<BR>
<a href="http://iwf.flambe.org/" class="link3" target="_blank" rel="nofollow">flambe.org</a>
<BR>
<a href="http://www.voetbalpanorama.nl/" class="link3" target="_blank" rel="nofollow">voetbalpanorama</a>
<BR>
<a href="http://www.christiancesar.com/" class="link3" target="_blank" rel="nofollow">christiancesar</a>
<BR>
<a href="http://www.brennanandwaite.com/" class="link3" target="_blank" rel="nofollow">brennanandwaite</a>
<BR>
<a href="http://www.lj-mic.at/" class="link3" target="_blank" rel="nofollow">lj-mic.at</a>
<BR>
<a href="http://www.widefancy.com/" class="link3" target="_blank" rel="nofollow">widefancy</a>
<BR>
<a href="http://www.cortexskateboards.be/" class="link3" target="_blank" rel="nofollow">cortexskateboards</a>
<BR>
<a href="http://www.sns.ee/" class="link3" target="_blank" rel="nofollow">sns.ee</a>
<BR>
<a href="http://www.jdi-consultants.nl/" class="link3" target="_blank" rel="nofollow">consultants</a>
<BR>
<a href="http://sublimecorp.com/" class="link3" target="_blank" rel="nofollow">sublimecorp</a>
<BR>
<a href="http://www.exeterlabels.co.uk/" class="link3" target="_blank" rel="nofollow">exeterlabels</a>
<BR>
<a href="http://operationexplorercom.ccnclabs.net/" class="link3" target="_blank" rel="nofollow">ccnclabs.net</a>
<BR>
<a href="http://www.xpedience.net/stats/" class="link3" target="_blank" rel="nofollow">xpedience</a>
<BR> |
И 2 файлов с вирусом hifili2.php и zenis2e.php по куче папок, где есть мои РНР.
|
|
|
|
| |
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
| Добавлено: 25/05/09 в 16:13 |
Начни с проверки на вирусы свой ПК, как проверишься, смени пароль от ФТП.
|
|
|
|
| |
I L♥VE G♀RLZ
С нами с 28.11.07
Сообщения: 694
Рейтинг: 378
|
| Добавлено: 25/05/09 в 16:14 |
комп на трояны давно проверял?
очень вероятно, что через фтп
|
|
|
|
| |
Спасибо всем, кто еще МОЖЕТ!
С нами с 25.07.04
Сообщения: 3875
Рейтинг: 1570
|
| Добавлено: 25/05/09 в 17:11 |
gimcnuk, True Alex
То есть есть такая возможность: трояны на ПК и заливают по ФТП имея доступ? ОК, проверю и сменю. Но Каспер стоит постоянно (хотя возможно и пропустил их), файлы обнаружил вчера, их дата 5 мая, format С делал 2 мая (переустановка винды). Менял пароли недели 2 назад по просьбе саппорта, возможно надо проделать чистку каспером заново с мену паролей, может поможет, спасибо.
Хотелось бы знать, может есть еще доп. защита: прописать в .htaccess что-то, либо по-другому, что не будет позволять заливать файлы с указанным расширением в указанные папки.
|
|
|
|
| |
Добрых Дел Мастер
С нами с 03.05.08
Сообщения: 3143
Рейтинг: 1227
|
| Добавлено: 25/05/09 в 17:25 |
Вообще все зависит от того что за скрипты у тебя стоят. Про php-дырки и небезопастное программирование написано в каждой книжке для чайника. Там же написано как эти дырки заюзать  . Если пароли не пиздили у тебя говоришь, то юзают твой же скрипт у которого есть права писать в эти папки. Или юзают тот блок в скрипте который позволяет переопределять права на конкретные папки.
|
|
|
|
| |
php
С нами с 09.10.06
Сообщения: 3706
Рейтинг: 2410
|
| Добавлено: 25/05/09 в 17:31 |
шелл могли залить и делов с гулькин хуй... тщательно фильтруй все параметры
|
|
|
|
| |
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
| Добавлено: 25/05/09 в 17:35 |
Ограничение доступа к серверу (ftp, ssh) по IP ещё никому не мешало кстати тоже.
|
|
|
|
| |
php
С нами с 09.10.06
Сообщения: 3706
Рейтинг: 2410
|
| Добавлено: 25/05/09 в 17:36 |
а если ip динамика? каждый раз менять в админке не будешь же.. хотя прокси или впн можно заюзать
|
|
|
|
| |
С нами с 03.06.07
Сообщения: 374
Рейтинг: 519
|
| Добавлено: 25/05/09 в 17:48 |
| photomuza писал: |
Хотелось бы знать, может есть еще доп. защита: прописать в .htaccess что-то, либо по-другому, что не будет позволять заливать файлы с указанным расширением в указанные папки. |
| _s_[sov] писал: | | а если ip динамика? |
Пропиши в .ftpaccess разрешение только для своей подсети.
|
|
|
|
| |
Спасибо всем, кто еще МОЖЕТ!
С нами с 25.07.04
Сообщения: 3875
Рейтинг: 1570
|
| Добавлено: 25/05/09 в 17:51 |
Забыл. Я же внес в панель на хостинге ФТП-вход ТОЛЬКО со своего IP по совету того же саппорта. Т.е. если вирус был залит по ФТП, то ДО того как я сменил пароли и ограничил доступ. Думаю ФТП-вход только с моего IP это надежная защита от вашего варианта?
Теперь ответьте на такой вопрос: возможна ли залика файла РНР (или другого) в папку 777?
Естественно без доступа ФТП и без моего скрипта UPLOAD.
|
|
|
|
| |
php
С нами с 09.10.06
Сообщения: 3706
Рейтинг: 2410
|
| Добавлено: 25/05/09 в 17:52 |
легко
|
|
|
|
| |
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
| Добавлено: 25/05/09 в 17:52 |
| Цитата: | | а если ip динамика? хотя прокси или впн можно заюзать |
VPN спасёт отца русской демократии, а также его пароли, кошельки и прочие админки, само-собой. Либо подсеть, как предложили выше мона прописать, на крайняк.
|
|
|
|
| |
Спасибо всем, кто еще МОЖЕТ!
С нами с 25.07.04
Сообщения: 3875
Рейтинг: 1570
|
| Добавлено: 25/05/09 в 17:54 |
| Бомж писал: | | Пропиши в .ftpaccess разрешение только для своей подсети. |
Кинь пример кода плз, а то давно с этим не имел дело, подзабыл все.
|
|
|
|
| |
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
| Добавлено: 25/05/09 в 17:56 |
| Цитата: | | Кинь пример кода плз, а то давно с этим не имел дело, подзабыл все. |
Так ты ж уже внёс свой ИП по совету хостера через панель ...
|
|
|
|
| |
Спасибо всем, кто еще МОЖЕТ!
С нами с 25.07.04
Сообщения: 3875
Рейтинг: 1570
|
| Добавлено: 25/05/09 в 18:21 |
Woland
Ну как вариант на заметку в блокнотик запишу на будущее. Файл .ftpaccess? Что туда вписать? Попробовал вариант для .htaccess
| Код: | Order Deny,Allow
Deny from 255.255.255.255 |
Не то: пускает.
|
|
|
|
| |
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
| Добавлено: 25/05/09 в 18:54 |
photomuza: 255.255.255.255 - это не подсеть, это маска.
Вот пример на eng http://www.proftpd.org/localsite/Userguide/linked/x1021.html
В примере разрешён доступ из двух подсетей
212.32.5.0/26 и 158.152.0.0/16
Если у тебя не динамический IP, а постоянный - пиши просто его, а не подсеть. Но лучше попроси админов, они точно знаю, чё и куда писать.
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 25/05/09 в 22:12 |
Коллективное лечение по фотографии какое-то
Кто оунер залитых файлов?
Каковы точные пермиссии (самые жесткие) там, куда были залиты файлы?
Где содержимое логов на тот момент, когда файлы были залиты? (судя по их времени изменения)
А то прямо сборище гадалок какое-то.. без обид. А там, может, сервер зарутили уже, у них собственный ssh теперь и будут ходить, куда им вздумается, какие .htaccess ни клади.
|
|
|
|
| |
Z
С нами с 15.05.05
Сообщения: 54379
Рейтинг: 7770
|
| Добавлено: 25/05/09 в 23:39 |
| Dr.Syshalt писал: | | А там, может, сервер зарутили уже, у них собственный ssh теперь и будут ходить, куда им вздумается, какие .htaccess ни клади. |
+1 очень сильно похоже именно на это ну и логи никто не отменял
|
|
|
|
| |
