Собственно взломали сайт. Хацкер оказался более менее грамотным и трет логи, меняет время создания и редактирования файла. В связи с че даже пока не получается понять, то ли он через шел меняет права на файлы и потом редактирует, или всеже ломанул серв и имеет доступ админа, т.к пароли все меняли и не помогло. Права на папки тоже меняли, но он может их менять.
Какие методы отлова есть?
#1
1 декабря 2012 в 00:02
#3
1 декабря 2012 в 08:21
AndroS, это надо первым делом делать, так же как и админку сайта под маску ip подгонять..
Дальше, на чем бы я заострил внимание — это если вы не уверенны в хостере или у вас свой vpn, то не советовал бы ставить на поддомен icms2.0, там откровенные дырки, через которые при неправильном распределении прав хакер может получить контроль на только над поддомене, а еще на домене и других сайтах находящиеся на этом сервере..
Не буду рассказывать всех фишек, но советую присмотреться… причем в файлы движка можно вставить код который абсолютно не привлечет к себе внимания, но при этом который позволитт выполнить любой php
Дальше, на чем бы я заострил внимание — это если вы не уверенны в хостере или у вас свой vpn, то не советовал бы ставить на поддомен icms2.0, там откровенные дырки, через которые при неправильном распределении прав хакер может получить контроль на только над поддомене, а еще на домене и других сайтах находящиеся на этом сервере..
Не буду рассказывать всех фишек, но советую присмотреться… причем в файлы движка можно вставить код который абсолютно не привлечет к себе внимания, но при этом который позволитт выполнить любой php
Сегодня в 04:43
#4
1 декабря 2012 в 10:32
а если поддомен под отдельным пользователем сервера это как то поспособствует улучшению безопасности?не советовал бы ставить на поддомен
#5
1 декабря 2012 в 12:36
а если поддомен под отдельным пользователем сервера
поставь себя на место хакера, просто ради самообразования скачай шелл, залей на свой хост и посмотри что он может…
#6
1 декабря 2012 в 13:01
yury, меняйте хостера, CMS здесь не при чем — вас взломали другим способом.
#7
1 декабря 2012 в 13:05
Fuze, могу опровергнуть утверждение что icms2.0 тут не причем…
icms2.0 нет, а то, что выложено — выложено для ознакомления, не вижу даже смысла говорить. Не ищи в ней баги, не трать время и уж тем более "блеснуть" на эту тему бессмысленно.Fuze, могу опровергнуть утверждение что icms2.0 тут не причем..
Я говорю про icms1.10. Но даже смысл не в этом. Здесь явно владеют самим сервером.
#9
1 декабря 2012 в 13:43
Максим Шорин, могу точно сказать, что 2,0 там и близко нет. Fuze скорей всего прав, дело там в хостинге. Чего-то там в настройках сервера не то… Права на файлы правильные, но тем не менее их каким-то образом хакают. В админку и на FTP посторонние судя по логам не заходили.
А насчет 2.0 — никто ведь и не утверждает, что она супер безопасная. Это вообще бета версия только для ознакомления, а не для установки на рабочие проекты… Но даже если она супер дырявая, то будучи на поддомене с правильной настройкой прав ничего плохого от нее не будет.
А насчет 2.0 — никто ведь и не утверждает, что она супер безопасная. Это вообще бета версия только для ознакомления, а не для установки на рабочие проекты… Но даже если она супер дырявая, то будучи на поддомене с правильной настройкой прав ничего плохого от нее не будет.
#10
1 декабря 2012 в 13:45
Игорь, я прекрасно понимаю что 2.0 выложенно только для ознакомления, но!!! Многие пользователи поставили ее для ознакомления, а это — полный разгул для хакера… я не ищу баги, но они просто саи в глаза бросаются…
#11
1 декабря 2012 в 13:49
SJen, я не спорю, но могу показать как воспользоваться бспечностью админов… =)) а это одна из самых опасных уязвимостей…
#12
1 декабря 2012 в 20:16
Да блин, ну о чем вы тут спорите. При чем тут 2.0? Как описывает топикстартер, то это точно не права полученные из под web юзера. А вот причины поломки никому не известны.
А топик стартеру посоветую проверить все на наличие всяких неприятных аддонов.
А топик стартеру посоветую проверить все на наличие всяких неприятных аддонов.
#13
4 декабря 2012 в 14:42
да, хочу, посветуй плиз какой шел — надо протестить пару серваков
а если поддомен под отдельным пользователем сервера
поставь себя на место хакера, просто ради самообразования скачай шелл, залей на свой хост и посмотри что он может..