Как создать и настроить свой веб-сервер на VDS (05 сен 2024)
Осенью самое время заняться установкой и тюнингом своего веб-сервера. Не правда ли?
Рассылка спама с вашего сайта - реальность?!
- Aleksej
- Не в сети
- Модератор
Arhitektorius пишет: Aleksej, сначала про защиту усиленную на твоём форуме... Писал сообщение, приложил картинку с я диска результат...
Да, я в курсе. Так и задумывалось. Лучше пусть это неудобство, чем мне потом по дирам и файлам рыскать в поисках различных шеллов...
Шут с ней, с картинокй; ну шелл себе и шелл. Суть понятна, а графику к черту. Но картина заражения в данном случае была несколько иной, нежели ты описывал в начале топика; зараженными оказались целый ряд системных файлов, плюс еще несколько файлов Phoca Gallery и Kunena. Все эти файлы получили в самом своем начале следующий фрагмент:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- serge
- Не в сети
- Модератор
- Сообщений: 988
- Спасибо получено: 146
А я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- serge
- Не в сети
- Модератор
- Сообщений: 988
- Спасибо получено: 146
Переменная $__shell содержит в себе код для генерации файла.
Внутри него с помощью preg_replace генерируется код WSO.
Судя по коду, можно подвести следующий итог:
Ищет все директории с правами на запись.
Создает в них файлы WSO с именами:
одно из sort, conf, utf8, cp1251, backup, cache, reverse, bin, cgi, memcache, sql
Модифицирует заголовки:
добавляя туда WSO.
Выводит web-ссылки на них в текст ответа.
Выводит configuration.php в текст ответа, так что доступы к базе и другая информация скомпрометирована.
Ссылка на источник .
А я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- ralf
- Не в сети
- Завсегдатай
- Сообщений: 261
- Спасибо получено: 28
Но это превентивная мера. Если ваш сайт был взломан, то как мертвому припарки.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Arhitektorius
- Автор темы
- Не в сети
- Завсегдатай
- Сообщений: 236
- Спасибо получено: 18
Хм... Интересно, а в каком случае не бывает возможности накатить новый движок, но при этом есть возможность отредактировать htaccess? Ведь если по каким то причинам не получается обновиться из админки, то всегда можно залить файлы по фтп.ralf пишет: Внимание, если нет возможности накатить обновление для движка, вносим в .htaccess эти строчки
PS Так... чисто гипотетически рассуждал, не принимайте во внимание :whistle:
Моё хобби стало моей проффесией
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Не в сети
- Модератор
Arhitektorius пишет: Интересно, а в каком случае не бывает возможности накатить новый движок, но при этом есть возможность отредактировать htaccess?
Это если старый php 5.3 не дает обновиться до актуальной версии движка. Такое бывает, судя по полученным сообщениям, так что актуально.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Arhitektorius
- Автор темы
- Не в сети
- Завсегдатай
- Сообщений: 236
- Спасибо получено: 18
Кто что думает по этому поводу?
Моё хобби стало моей проффесией
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Не в сети
- Модератор
Though, the session_decode uses the same principles and wasn’t fixed. In september 2015, the exploit CVE-2015-6835 was filled. This made it possible to inject some data into the session array by carefully crafting your decoding string.
This bug is already fixed and released in PHP 5.4.45, PHP 5.5.29, PHP 5.6.13, in all supported Ubuntu, Debian and RedHat channels. And it was all released by end september. This exploit is critical for the Joomla! exploit to work, so everybody that installs the security releases of PHP was already save! High five for all those awesome people using automatic updaters!
Advice: Make sure you always use the latest version of your software.
Имеется в виду вот эта самая, уже пофиксенная осенью бага, CVE-2015-6835 . Также рекомендую обратить внимание на блог Remi , "главного по тарелочкам", то есть по php, специалиста проекта Fedora, утверждающего практически то же самое:
PHP version 5.4 have reached its end of life and is no longer maintained by the project. Given the very important number of downloads by the users of my repository (~47%) the version is still available in remi repository for Enterprise Linux (RHEL, CentOS...) and includes the latest security fix. The upgrade to a maintained version is strongly recommended.
These versions are also available as Software Collections.
These versions fix some security bugs, so update is strongly recommended.
Ok, in two words и на русском, резюме: php v.5.4 уже в прошлом, обновляться необходимо срочно.
Да, срочно... но в репах CentOS/RHEL на момент написания этой статьи данные пакеты отсутствуют. Почему - бог весть, не берусь судить. Вероятнее всего, мейнтейнеры считают новый пых сыроватым, или какая-то иная причина. Если кто знает, отпишитесь. А я сейчас просто порекомендую всем, у кого RedHat, не дожидаясь официальных обновлений - спешно обновить php до актуальной версии. Как? - у нас с вами, в общем, два способа: использовать репозитории того же Remi или Webtatic. В принципе, все равно. Решение непростое, все же это неофициальные репы... но выхода нет, разве что собирать и затем мейнтейнить пакеты самому. Ничего такого, в общем, страшного; после выхода официальных релизов можно будет попробовать сменить поставщика пакетов. Подробная и очень простая инструкция приведена в разделе форума. посвященного Linux.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- serge
- Не в сети
- Модератор
- Сообщений: 988
- Спасибо получено: 146
Aleksej пишет: Имеется в виду вот эта самая, уже пофиксенная осенью бага, CVE-2015-6835. Также рекомендую обратить внимание на блог Remi, "главного по тарелочкам", то есть по php, специалиста проекта Fedora, утверждающего практически то же самое
В яблочко. Сегодняшние события и Joomla team это подтвердили, открытым текстом:
What's in 3.4.7
Version 3.4.7 is released to address two reported security vulnerabilities and includes security hardening of the MySQLi driver to help prevent object injection attacks.
The Joomla Security Strike team has been following up on the critical security vulnerability patched last week. Since the recent update it has become clear that the root cause is a bug in PHP itself. This was fixed by PHP in September of 2015 with the releases of PHP 5.4.45, 5.5.29, 5.6.13 (Note that this is fixed in all versions of PHP 7 and has been back-ported in some specific Linux LTS versions of PHP 5.3). The only Joomla sites affected by this bug are those which are hosted on vulnerable versions of PHP. We are aware that not all hosts keep their PHP installations up to date so we are making this release to deal with this issue on vulnerable PHP versions.
А я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.