Skocz do zawartości
Zaloguj się, aby obserwować  
cezary188

Odparcie Phishingu z Debiana

Polecane posty

Mam od kilku dni problem. Na jedna z moich domen na serwerze przez Wordpressa wgrywaja pliki z falszywymi plikami stron bankow. Dostaje w zwiazku z tym z kilku stron zajmujacych sie tropieniem takowych tzw abuse message co skutkuje potem przykrymi mailami i akcjami z serwerowni. Oczywiscie usuwam zaraz te pliki jako ze strony pod ktore sie podpinaja sa dosc stare i nie potrzebne, natomiast problem zdaje sie pozostal bo wczoraj udalo im sie wgrac pliki swojej fake strony banku pod forum takie najprostsze jakie tylko jest. Oczywiscie usunelem wszystko i dodatkowo przekierowalem domene na randomowy adres jako iz to jest domena w sumie robocza dla mnie.

 

I teraz poszukuje kogos kto by mi sprawdzil doglebnie caly system oparty na debianie a jest plikow od cholery. Czy to tylko poprostu wykorzystywanie exploitow w starych dziurwych skryptach czy musze sie bac bo zaraz na jakas aktulna strone na serwerze cos mi wgraja ?

 

Poprosze tylko doswiadczonych ludzi ktorzy moga sie pochwalic swoim portoflio.

 

Kontakt na PW.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Rafiki

usuniecie plików nic nie da.... takie wirusy/exploity zaszywają się gdzies w kodzie standardowych plikach wordpressa czy innych skryptów i uruchamiają cyklicznie lub z każdym wywolaniem strony aby znowu "wgrać" swoje "dzieło" gdyby przypadkiem ktoś je usunął.

Najprawdopodobniej masz dziurawe wtyczki lub jakies inne stare i dziurawe skrypty php, sposobów jest kilka aby to naprawić i podejrzewam ,że sam dasz sobie rade jak przeszukasz dobrze google.... można napisac prosty skrypt który zakomentuje / usunie wszystkie evale w plikach php i prawdopodobnie to pomoże (ponad 90% tych gówien korzysta z funkcji eval której raczej na codzień żaden skrypt ani normalny programista nie wykorzystuje do celów "webowych")

Jeśli folder z domena jest dobrze zabezpieczony (odseparowany od innych stron) to ten wir nie powinień sie rozprzestrzeniac na inne domeny.... jak trzymasz wszystko na jednym uzytkowniku i wszyscy korzystają z tych samych procesów php i uprawnień to może być gorzej :).

Edytowano przez Rafiki (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzieki za odpowiedz. Pliki usunelem nie te co sie wgraly tylko cala strone z wordpresem itd. Takze juz nic tam w ten sposob wgrac nie mozna. Co do samych ustawien to racja jest troche inaczej. Zobaczymy czy uda sie im przebic na inna domene :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok kto mi wytlumaczy w jaki sposob to sie odbywa ? Ze przez wadliwy skrypt mozna nagle uzyskac kontorle nad procesami php danego usera ? Ma ktos jakies linki ? Chcialbym zrozumiec jak do tego doszlo i co moge zrobic

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość l3szcz

Jeżeli masz strony umieszczone na tym samym koncie FTP to się nie dziwię.
Masz zainstalowany na serwerze clamd?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Rafiki

ale zapewne php korzysta dla wszystkich domen z tego samego procesu jeśli nie ustawiałeś inaczej... pewnie za pomocą php'a można wylistować i nawet edytować sobie katalogi z lokalizacji "nieupowaznionych"

 

Co do skanowania i poszukiwaniu skryptów typu mailware to polecam pod linuxa: https://www.rfxn.com/projects/linux-malware-detect/

 

Po za tym wyłącz sobie usługe ftp i inne tego typu a przekonasz się ,że te złośliwe oprogramowanie dalej i tak będzie sie rozprzestrzeniać.

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak odbierzesz prawa do zapisu, to nie będzie możliwości modyfikacji skryptów i wgrywania nowych. Izolacja domen jest wskazana (różni użytkownicy, PHP-FPM).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak odbierzesz prawa do zapisu, to nie będzie możliwości modyfikacji skryptów i wgrywania nowych. Izolacja domen jest wskazana (różni użytkownicy, PHP-FPM).

No to wlasnie troche problem moze byc. Bo zdaje sie tak jak mowicie ze dostep do php dla glownego usera zostal uzyskany przez to. Pytanie co ja w gotowej konfiguracji opartej na DA moge zrobic zeby nie popsuc tego co jest?

 

Jest ktos w stanie pomoc ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dla każdej domeny stwórz nowego użytkownika. Odseparujesz dzięki temu domeny od siebie, więc nawet jeśli podmienią Ci stronę, to tylko jedną.

I tak, jak Bartosz pisał, przesiadka na php-fpm'a (z CB 2.0).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×