Вирус - Страница 14 - Porsche Club Russland - Официальный Порше клуб России

**Lolo De Bordo** · #**183** 10.07.2013, 16:35

Из за моментов конф-ти, я не смогу описать полностью принцип и структуру работы:

собираем логи, что бы найти дырку, в общем все просто, по факту чистим заливаемый вирус каждый раз, они ищутся тривиально, грепом, но проблема в том, что в каком то из обычных скриптов есть "дырка", дальше хуже, веб сервер работает с те же правами, что и фтп пользователь, залив один раз, через первичную дырку эксплоит уже через него можно все менять. найти ее не получается, пока что, доступы всегда с разных IP и по ним ослеживаются до уже ранее залитых шеллов и то не всегда, в общем мониторим файловую активность, пишем в логи, сравнивая, как и что, очень ресурсоемкая работа, два человека работает уже, причем можно случайно что то сломать, типа аплоуда картинок, шаблоны, все решаемо, вопрос времени, рано или поздно найдем, что и делаем. (иголка в стоге сена)

Maximus · #**184** 10.07.2013, 16:42

Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

**Lolo De Bordo** · #**185** 10.07.2013, 17:04

Цитата:

Сообщение от Maximus

Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты
иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs
там файлов в этом каталоге несколько тысяч
все файлы содержат в имени файла какой то ключевой запрос из поисковика

**Lolo De Bordo** · #**186** 10.07.2013, 17:04

сам подгружаемый файл заливается в каталог инклюдов под именем очень схожим с дефолтными файлами воблы

Maximus · #**187** 10.07.2013, 17:21

Короче ваш шел видимо ходит по рукам и перепродается)

Цитата:

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты

Это сливают траф по юзерагенту. Может действительно как временное решение на крон поставить перезапись htaccess на нужный раз в минуту? Дима предлагал вроде.

Цитата:

иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs

А это дорвеи заливают + клоакинг.

А что за подгужаемый файл?

**Lolo De Bordo** · #**188** 10.07.2013, 17:33

в общем надо искать дырку и ищем, через которую заливают шел

Maximus · #**189** 10.07.2013, 17:43

Почему вы не хотите ограничить доступ по сеткам ИП?

Maximus · #**190** 10.07.2013, 17:57

Вы можете еще по крону опрашивать размеры или дату изменения (там где это приемлимо) файлов, и тем же кроном бекапить в случае изменения.

Почему я спрашивал от кого идет запись httacess, если она от юзера, то просто назначьте права и овнера root.

AngelOfGrief · #**191** 11.07.2013, 01:54

Цитата:

Сообщение от Maximus

Почему нельзя ограничить доступ SSH/FTP по IP?

Они не через SSH/FTP заливают, как я понимаю, а через дыру в PHP скрипте.

Но её можно найти. Надо посмотреть дату/время модификации заражённого htaccess файла и пошарить в http логах на этот же момент даты/времени. Там безусловно будет шел, который это сделал. Далее посмотреть на дату/время создания уже самого шела и снова поискать в логах. Это выведет на тот дырявый скрипт через который вам и загрузили этот шел. Скорее всего, это какой-то скрипт аплоада файлов (я предполагаю). Ну а уж в самом скрипте найти дыру несложно учитывая то, что он будет с параметрами... Если параметры передаются через POST, можно сделать их сохранение куда-нибудь на будущее чтобы в следующий раз найти дыру.

Если в http логах нет ничего на искомые дату/время, надо смотреть ftp логи. Но с ваших слов, грузят не через ftp. А вообще я все ftp логины на своих серверах закрыл, только SSH пользуюсь. А пароли ввожу из памяти (из головы, в смысле). ))