Я у мамы хакир (Что делать с трухацкером, есть IP)

tcpdump'ом снять трафик с этим IP. Посмотреть как именно он это делает. Починить говнокод/нормально настроить сервер/etc.

Всегда забавляли такие темы. Один яумамыкакер хочет нагнуть второго такого же. Второй вероятно просто часть ботнета, но кого это волнует?

Пояс шахида и к нему, два зайца одним взрывом.

заливается произвольный php файл с base64

А чего оно делает не пробовал узнать?

а вдруг хакир твой сосед? :)

мм, ок

С ноги ему TCP-пакетом

ну не то чтобы нагнуть, хочу понять good practice в данном случае

та спам пытается рассылать, че еще то

эта бабка? :)

мм, вероятно, кстате! ботнет на линсерваках? )

лол!

За распространение и хранение PHP пора сажать как за наркоту.

Надо об этом разрабам сказать и клиентам, которые разрабов выбирают )

Это не говнохакер, это говновирус. Ты сейчас пытаешся набить морду робату. Успехов.

Напиши абузу в СБУ, скажи, что по данному IP живёт матерый тоталитарный ватник, который рассылает антицеевропный спам и не любит президента.

Нет, не надо. Чем больше сядет - тем лучше.

а потом его ФСБ повяжет, за сотрудничество с СБУ :)

ну ок, вирус на лине, лады!

во, точно!

Пока iptables запретил коннект ему на сервер

ну ок, вирус на лине, лады!

Там система массового роботизированого взлома, даже не обязательно червь.

Стыдно о таких вещах не знать ставя всякие modx - такие системы живут с дыр в массовом php софте.

Повадился через какую-то дыру

а пароль у тебя не в стиле 12345?

http://www.vesti.ru/doc.html?id=2656413
Учись.

Говорю же, на моде разраб делал сайт, у меня на сервере просто живет, вместе с другими сайтами этого же клиента.

лол, надо поменять, как ты догадался

вот если бы его не поймали, тогда бы стоило поучиться

У ТС в условиях не указано шоб не поймали.

Говорю же, на моде разраб делал сайт, у меня на сервере просто живет, вместе с другими сайтами этого же клиента.

Да блин КАК АДМИН ты должен быть в курсе такой **йни. Серьезно. Разраб понятно дурак, и клиент дурак. Они дураки , а крайний - ты.

Эт понятно, конкретные предложения? Послать подальше с хоста?

так они же там все президента не любят же, и песни поют

Если это то, что я думаю то дыра была эта:

http://forums.modx.com/thread/91266/modx-evolution-1-0-13-and-prior-ajaxsearc...

А сейчас просто на сервере где-то шелл. Либо в PHP файлах (Наиболее вероятно), либо если сервер понравился, то возможно и где-то глубже.

В нашем случае, массово взламывали сайты с этой узвимостью (Определяли версию по размеру CSS файла) и отправляли данные о сервере. Вероятно смотрели, что за сервер и если виртуальный хостинг то просто слали скрипты для спама, а если сервер,то что-то поинтереснее.

Везде был reverse TCP на всякие VDS на разных хостерах. В основном украинских (Более абузоустойчивые). На серверах только SSH и по сертификату.

Жаль не удалось посмотреть как у них там все устроено, т.к выяснить как это работает, кроме пересылки данных и файлов в обратном направлении не удалось.

Файлы кстати кодировались прямо с комментариями и комментарии были на русском %)

С чего ты решил, что именно эта дыра?

Report Date: 2014-May-29

Как бы далече уже это все, не?

А сейчас просто на сервере где-то шелл. Либо в PHP файлах (Наиболее вероятно)

Скорее всего. Смотрел айболитом, все что нашел — поудалял

С чего ты решил, что именно эта дыра?

Эксплотировать легко. А обновляют сайты очень редко. Год это ерунда на фоне того, что дыры которые появились 2-3 года назад актуальны на тысячах сайтов. А если не дай бог уязвим распространный модуль...

Тем более взломать могли давно, известно просто стало только сейчас.

Скорее всего. Смотрел айболитом, все что нашел — поудалял

Ха-ха-ха. Ну понятно тогда почему они появляются снова. Многие можно найти только вручную. В случае взлома помогает только ручное обновление до последней версии с заменой всех файлов и проверкой тех файлов, что переносишь.

Эт понятно, конкретные предложения? Послать подальше с хоста?

Сами думайте. Может вам столько денег платят что это не проблема.

Просто учитывайте что это будет повторятся. А что бы это не приводило к неприятным последствиям, надо делать всякие там меры безопасности. Как например запрет на исходящие соединения из под юзера где крутятся данные сайты (белый список), держать сайт в системе контроля версий, разделять юзера сайта и юзера под которым сайт проинсталлирован(что бы вирус не мог править php код), постоянный суппорт сайта: апдейты, переносы на новые версии, чтение релевантных новостей про дырки, частые бакапы за длительный период времени и так далее. Если вам за все это не платят... короче приводите объем работ с объемом зарплат теми или иными методами.

А так то понятно что клиенты и разрабы привыкли слабать говносайт на популярной cms - а то что ее ломать будут и это прямые расходы никого не волнует. Неправильно стоимость сайта и его эксплуатации считают в общем.

Тем более взломать могли давно, известно просто стало только сейчас.

Не, слежу за железом, в принципе ясно когда был взлом — тогда сразу стали двиг обновлять. Но не сильно помогло

Многие можно найти только вручную. В случае взлома помогает только ручное обновление до последней версии с заменой всех файлов и проверкой тех файлов, что переносишь

Думаю, пускай сами занимаются данным сексом :) Это в контракт не входит.

Может вам столько денег платят что это не проблема

:) Не данный конкретный вариант

Просто учитывайте что это будет повторятся

Поэтому то и хочу найти решение на будущее

белый список

с точки зрения ИБ, вроде все ок, каждый проект под своим юзером, права у всех только на хомяк с html, права закручены. По ИБ сейчас и читаю, прокачиваю )

постоянный суппорт сайта

не все за это платят, так что думаю, как контракты у жадин кончатся — переведу их на шаред какой, подальше от себя )

Неправильно стоимость сайта и его эксплуатации считают в общем

2 чая вам :)

Поэтому то и хочу найти решение на будущее

Универсального решения нет, только балансировать условные прибыль-убытки.

белый список

с точки зрения ИБ, вроде все ок, каждый проект под своим юзером, права у всех только на хомяк с html, права закручены.

Ну очевидно же что схема безопасности которая используется в шаред хостингах имеет свои проблемы. В которые вы и уперлись. Я вам предложил «что делать» если вы хотите эти проблемы преодолеть :D

Но так то да - если проще избавится, то надо избавятся.

не все за это платят, так что думаю, как контракты у жадин кончатся — переведу их на шаред какой, подальше от себя )

Ясно. Ваши неприятности будут продолжатся. :D

тогда сразу стали двиг обновлять.

А кстати непонятно, если у вас за сайт отвечает клиент - что вы тогда полезли ему сайт девелопить? :)

если у вас за сайт отвечает клиент - что вы тогда полезли ему сайт девелопить?

девелопил один из его проектов, на хосте — все, которые были + до меня

балансировать условные прибыль-убытки

классика :)

Ваши неприятности будут продолжатся

Думаю, ограниченное время )

Спасибо!

Все мы в каком-то смысле часть ботнета..

Да, но Linux тут не виноват. Атака происходит либо путём перебора root-пароля при разрешённом логине по паролю по ssh, либо через уязвимость в движке сайта. Либо, как недавно писали, через письма счастья от имени роскомназдора.

Сетевой провод в розетку воткни!

не хочешь тратить время - пиши абузу и всё.
а то в жж работника касперского была интересная статья, как один такой вычислятор-по-айпи всё вычислил, сунулся в ментовку и чуть не присел. особенности законодательства: местные правоохранительные органы не могут собственно ничего сделать нарушителем в другом субъекте, а тут даже государстве. зато за процесс вычисления-по-айпи можно оформить 272ю, и палку за это получить, тем-более какир местный, вот тут сидит и рассказывает как это у него получилось.

теперь и послать кого то страшно, главное на понты не вестись и не называть свой адрес

Да ты сам такой-же кулхацкер ведь.

И вообще, с вероятностью 90% ты с мельницей ботом бороться собрался.

С такими вопросами ты точно кулхацкир. Иди аську ему сломай, лол.

Да, этого и следовало ожидать, у нас органы такие )

Я не прошу советов по взлому, я спрашиваю, что адекватные люди в таком случае делают. Сидеть ломать ботов особо времени нет.