Как шелл попал на сервер?

Question

[Вячеслав Шевченко]

Всем привет.
У нас на сервер попал шелл, который подключил во все файлы index php какой-то файл. Сайт сделан на bitrix и подключаемый файл лежал в папке upload.
Я предполагаю что файл был загружен просто напросто формой.

Answer 1

[Host-Eiweb]

• Проверить установлен ли и работает корректно fail2ban
  
• Добавить нового пользователя с правами root, пользователю root заблокировать доступ
  
• Изменить все пароли.
  
• Проверить права на директории.
  
• В директории с файлами картинок добавить файл .htaccess с правилами отключающими PHP в данном каталоге, а все скрипты отображающими как HTML.
  
  Например:
  

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Установить mod_security и активировать необходимые правила. (попутно можно добавить mod_evasive - лишним не будет)

Answer 2

[Padre]

Неправильно предполагаете. Скорее всего:
1) Подобран пароль к ФТП
2) Подобран пароль к SSH
3) Подобрали пароль к админке
4) Загрузили файл в папку загрузки картинок например

Comments

[Вячеслав Шевченко]

Да, шелл там и лежал. А как можно исключить возможность повторного добавления?

[Padre]

Вячеслав Шевченко, с помощью htaccess запретить исполнение файлов в папке

Answer 3

[skul]

Использовать auditd, чтобы знать откуда появился Шелл и кто модифицирует файлы. Логи аудита хранить как можно дольше.
В данной ситуации, чтобы узнать откуда шелл, скорее всего придется гадать на кофейной гуще и искать по логам веб-сервера по дате модификации файла шелла.