Задать вопрос
WebDev2030
@WebDev2030
Битриксоид до мозга и костей

Как шелл попал на сервер?

Всем привет.
У нас на сервер попал шелл, который подключил во все файлы index php какой-то файл. Сайт сделан на bitrix и подключаемый файл лежал в папке upload.
Я предполагаю что файл был загружен просто напросто формой.
  • Вопрос задан
  • 537 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 1
Host-Eiweb
@Host-Eiweb
Хостинг VPS серверов в Европе и США
  • Проверить установлен ли и работает корректно fail2ban
  • Добавить нового пользователя с правами root, пользователю root заблокировать доступ
  • Изменить все пароли.
  • Проверить права на директории.
  • В директории с файлами картинок добавить файл .htaccess с правилами отключающими PHP в данном каталоге, а все скрипты отображающими как HTML.

    Например:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Установить mod_security и активировать необходимые правила. (попутно можно добавить mod_evasive - лишним не будет)
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@yii16
Неправильно предполагаете. Скорее всего:
1) Подобран пароль к ФТП
2) Подобран пароль к SSH
3) Подобрали пароль к админке
4) Загрузили файл в папку загрузки картинок например
Ответ написан
@skul
Использовать auditd, чтобы знать откуда появился Шелл и кто модифицирует файлы. Логи аудита хранить как можно дольше.
В данной ситуации, чтобы узнать откуда шелл, скорее всего придется гадать на кофейной гуще и искать по логам веб-сервера по дате модификации файла шелла.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы