Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
Mich@ł

Odczytanie Logow Serwera Access_log

Przez Mich@ł, w Forum Główne

Polecane posty

Mich@ł    0

Mich@ł
Napisano

Wczoraj w logach access_log znalazłem takie info:

 

127.0.0.1 - - [30/Oct/2006:21:42:47 +0100]"GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:43:02 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:43:23 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:44:08 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:45:09 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:45:30 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:46:41 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:47:07 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:49:06 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:49:23 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:49:34 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

127.0.0.1 - - [30/Oct/2006:21:50:58 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

 

Zapewne było to włamanie na jakieś forum phpBB by Przemo które stoi na moim serwerze. Tylko czy z tych logów da się wyczytać na ktorym koncie bylo wlamanie?

 

mam panel Direct Admin.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Mich@ł    0

Mich@ł
Napisano
find /home -name r57shell -print

hmmm nic nie znalazło. Dziwne bo jak pojawiło się w tych logach to musiało gdzies byc włamanie...

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrick   

Gość patrick
Napisano

Niekoniecznie, ale uważaj na skrypty typu phpbb bo możesz zobaczyć "hacked" któregoś pięknego dnia. Jak masz sensownie zabezpieczony serwer to włamanie na pojedyncze konto nie będzie groźne dla innych.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

ertcap    0

ertcap
Napisano
Wczoraj w logach access_log znalazłem takie info:
127.0.0.1 - - [30/Oct/2006:21:42:47 +0100] "GET /r57shell/version.php?version=classix HTTP/1.0" 404 284 "-" "-"

Hm, zapytanie poszlo z localhosta, odpowiada za to ten fragment kodu:

@print "<img src=\"http://127.0.0.1/r57shell/version.php?img=1&version=".$current_version."\" border=0 height=0 width=0>";
@readfile ("http://127.0.0.1/r57shell/version.php?version=".$current_version."");}}

Czyli w teorii na serwerze powinien byc juz ten skrypt lub istnieje mozliwosc (przez jakas dziure w jakims skrypcie php) odpalenia wlasnego kodu php.

Zobacz czy masz w /tmp jakis plik z tej listy: bdpl, back, bd, bd.c, dp, dpc, dpc.c.

Koniecznie w php.ini zablokuj funkcje: exec, shell_exec, system, passthru, popen (r57shell z nich korzysta).

 

pzdr.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Mich@ł    0

Mich@ł
Napisano

w katalogu tmp/ jest taki plik:

 

back sess_7758c991f13872e8aff888cedceefada

 

jest jeszcze cplik botek.txt

 

W którym jest jakis skrypt... wywalic te pliki ?

 

Hmmm w php.ini nie znalazłem takich funkcji:

exec, shell_exec, system, passthru, popen

 

Czyli domyslam sie ze mam dopisac je poprostu:

exec = off

shell_exec = off

 

itd?

 

Niekoniecznie, ale uważaj na skrypty typu phpbb bo możesz zobaczyć "hacked" któregoś pięknego dnia. Jak masz sensownie zabezpieczony serwer to włamanie na pojedyncze konto nie będzie groźne dla innych.

A według ciebie jaki soft powinienem dobrac aby zabezpieczyć serwer? Mógłbyś mi wypisac jakieś dobre programy zabezpieczajace?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrick   

Gość patrick
Napisano
Hmmm w php.ini nie znalazłem takich funkcji:

exec, shell_exec, system, passthru, popen

disable_functions exec, shell_exec, system, passthru, popen
A według ciebie jaki soft powinienem dobrac aby zabezpieczyć serwer? Mógłbyś mi wypisac jakieś dobre programy zabezpieczajace?

poczytaj w google o bezpieczeństwie serwerów unixowych.

Szczególnie chodzi o to by zabezpieczyć/sprawdzić każdego deamona/program otwierającego port. Musisz znać swój system co w nim pracuje i jak. Odpowiednie logowanie blędów etc.

Wynajmij jakąś dobrą osobę znająca się na fachu a będziesz miał spokój.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Forum Główne
×