Был у нас сайт. Лежал он у хостеров. Работал под апачем. И вот его подломали (но я об этом пока не знаю). Звонят нам хостеры и говорят, мол вскрыли ваш сайт, закинули подкидыша, а он давай размножаться (то есть добавили модуль почтовой рассылки и это модуль начал активно рассылать спам). Закрыли мы доступ, говорят. И пока не выставите за дверь подкидыша, не откроем доступ. А самое главное - пока "форточку" не закроете, тоже не откроем доступ. В "квартиру" (на сайт) не пускают. Слили нам видеозаписи с камер (всё что было на сайте: само содержание сайта, логи, временные системные файлы. Короче всю корневую папку "var".
История:
Как теперь мне посмотреть:
1. Почтовое сообщение спама, которое отсылалось. Куда ушло, когда, что там было в письме.
2. Какую "форточку" я забыл закрыть
3. Может они воспользовались фомкой?
4. Где же этот модуль спамерский лежит
Спустя 47 минут, 12 секунд (1.11.2008 - 16:51) md5 написал(а):
среди всей этой "псевдо-воровской-грабительской" терминологии я ничего не понял 
Спустя 37 минут, 30 секунд (1.11.2008 - 17:28) Gandjubas написал(а):
Мы пользуемся услугой хостинга одной компании. Виртуальный хостинг крутится вот на этом: CentOS-4, apache-2.0.52, php-4.3.9, mysql-4.1.20. На выходных его взломали: каким образом непонятно и хостеры сами не знают (или им просто лень разбираться, как это произошло). Взлом заключался в получении доступа к содержимому сервера и настройки некого модуля по рассылке спама. Хостеры закрыли доступ к сайту по всем каналам. Сказали, что пока не разберемся что произошло и не устраним это, они не откроют.
Мне нужно знать куда смотреть, чтобы понять что произошло, как это произошло. Ну а как это устранять это потом буду разбираться.
Что известно:
1. что рассылали спам. значит в логах почты должны быть записи. Где эти логи и как мне посмотреть на то, что рассылалось - я не знаю.
2. хостеры говорят, что, вероятно, взлом произошел с помощью самого сайта. То есть через сайт был загружен некий скрипт, который и устроил весь этот шухер. На сайте действительно есть форма для загрузки файлов. Но всё содержимое сайта доступно только после авторизации (IPI-Manager - поиск рулит).
Мне нужно знать куда смотреть, чтобы понять что произошло, как это произошло. Ну а как это устранять это потом буду разбираться.
Что известно:
1. что рассылали спам. значит в логах почты должны быть записи. Где эти логи и как мне посмотреть на то, что рассылалось - я не знаю.
2. хостеры говорят, что, вероятно, взлом произошел с помощью самого сайта. То есть через сайт был загружен некий скрипт, который и устроил весь этот шухер. На сайте действительно есть форма для загрузки файлов. Но всё содержимое сайта доступно только после авторизации (IPI-Manager - поиск рулит).
Спустя 2 минуты, 13 секунд (1.11.2008 - 17:30) md5 написал(а):
что значит куда смотреть? — в логи!
кто заходил, с каких IP, куда заходили, какие документы запрашивали
1. где логи и как их посмотреть — знают только хостеры
2. опять же в логах надо искать, через какую дырку в сайте залез юзер (sql инъекция, xss и т.д.) и закрывать их
кто заходил, с каких IP, куда заходили, какие документы запрашивали
1. где логи и как их посмотреть — знают только хостеры
2. опять же в логах надо искать, через какую дырку в сайте залез юзер (sql инъекция, xss и т.д.) и закрывать их
Спустя 12 минут, 28 секунд (1.11.2008 - 17:43) Gandjubas написал(а):
а поподробнее про эти самые инъекции xss запросы, где можно посмотреть?
кто заходил, с каких IP, куда заходили, какие документы запрашивали
Значит в каких именно логах это всё смотреть - знают хостеры только?
кто заходил, с каких IP, куда заходили, какие документы запрашивали
Значит в каких именно логах это всё смотреть - знают хостеры только?
Спустя 2 дня, 20 часов, 19 минут, 48 секунд (4.11.2008 - 14:03) Gsmit написал(а):
Цитата(md5 @ 1.11.2008, 14:30) [snapback]53377[/snapback]
2. опять же в логах надо искать, через какую дырку в сайте залез юзер (sql инъекция, xss и т.д.) и закрывать их
вы из 90-ых годов? каков ваш уровень знаний php? базовые понятия?
Спустя 2 дня, 29 минут, 9 секунд (6.11.2008 - 14:32) Gandjubas написал(а):
Gsmit, а вы что посоветуете?
_____________