URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5005
[ Назад ]

Исходное сообщение
"Вирус на сервере"
Отправлено ostin654 , 11-Мрт-12 11:29

На сервере поселилась бяка, которая постоянно внедряет в index.php всех сайтов определенного пользователя вирусный JavaScript. Пароли уже пробовали менять, но все бесполезно. Пока решил проблему изменением атрибутов index.php на только чтение. Но так оставлять нельзя.
Как найти засранца и замочить его?!!
ОС - CentOS.
Вот сам вирус, запаковал в архив с паролем 12345
http://alekseykostin.ru/BADCODE.zip

Содержание

Вирус на сервере,parad, 14:53 , 11-Мрт-12
- Вирус на сервере,ostin654, 15:01 , 11-Мрт-12
  - Вирус на сервере,parad, 15:07 , 11-Мрт-12
    - Вирус на сервере,ostin654, 15:29 , 11-Мрт-12
      - Вирус на сервере,parad, 16:05 , 11-Мрт-12
Вирус на сервере,ostin654, 17:11 , 11-Мрт-12
- Вирус на сервере,parad, 18:13 , 11-Мрт-12

Сообщения в этом обсуждении

"Вирус на сервере"
Отправлено parad , 11-Мрт-12 14:53

дай угадаю пароль - sukazef*?

"Вирус на сервере"
Отправлено ostin654 , 11-Мрт-12 15:01

> дай угадаю пароль - sukazef*?
Не совсем. Но это пароль от другого сервера.
Может поделитесь?

"Вирус на сервере"
Отправлено parad , 11-Мрт-12 15:07

http://alekseykostin.ru/wp1.zip - в конфиге.
рекомендую переустановться с новыми паролями.

"Вирус на сервере"
Отправлено ostin654 , 11-Мрт-12 15:29

> http://alekseykostin.ru/wp1.zip - в конфиге.
> рекомендую переустановться с новыми паролями.
фуф)) я уж думал, что конкретно облажался. Этот архив не имеет к моим серверам никакого отношения и лежит на другом хостинге. Разве что пароль такой же использовал. Но сейчас уже сменил его.
Переустанавливать не хочется, потому что тогда сайты не будут работать какое-то время, а это критично. Есть ли способ без переустановки вылечиться?

"Вирус на сервере"
Отправлено parad , 11-Мрт-12 16:05

если эксплуатации локальных уязвимостей не было - смотри даты изменения файлов (включая в домашней директории пользователя - .profile .bashrc и пр) и крон. часто в /tmp есть следы.
если смогли повысить привилегии - тут тебе кучу народу насоветуют... но рецепт один - найти точку проникновения и переустановиться. читай логи вебсервера, читай листы рассылки безопасности к установленному на странице.
пс. ты зря счетаешь что не облажался. )

"Вирус на сервере"
Отправлено ostin654 , 11-Мрт-12 17:11

> На сервере поселилась бяка, которая постоянно внедряет в index.php всех сайтов определенного
> пользователя вирусный JavaScript. Пароли уже пробовали менять, но все бесполезно. Пока
> решил проблему изменением атрибутов index.php на только чтение. Но так оставлять
> нельзя.
> Как найти засранца и замочить его?!!
> ОС - CentOS.
> Вот сам вирус, запаковал в архив с паролем 12345
> http://alekseykostin.ru/BADCODE.zip
Нашел гадину. С помощью find по дате создания. Замаскировалась под плагин WordPress.
Вообще есть какой-то способ универсальный, чтобы обезопасить себя от вирусов на сервере? На что стоит обратить внимание?

"Вирус на сервере"
Отправлено parad , 11-Мрт-12 18:13

ты палец с опой путаешь.
вирус - это следствие взлома. дыру могут и по-другому поэксплуатировать: поспамить, например, поддосить. никаким вирусом центос не заражался. выбрось виндусовые шаблоны, садясь за консоль.
дыры в 99 процентах обычно находят боты, перебирающие урлы с попыткой эксплуатации известной уязвимости. смотри логи сервера, - там все далжно быть.
никогда не ставь по стандартным путям: site.com/wordpress/ site.com/wp/ - хреновые пути.
всегда актуализируй по. боты помимо того что пытаются взломать, также ведут индексацию установленного. в случае появления дыры - они уже будут знать куда идти.
старайся скрывать версии установленного.
то что стоял плагин - говорит о том, что шелл врядли получили.
для полноты истории скить плагин сюда.