Пред исотрия..
Был человек, скрипт у него был.. однажды туда кто-то залез.
Мне заплатили не мало денег за его полную проверку, приведения в порядок, закрытие дырок
приведение в читабельный и пару доработок.
Скрипт жил очень долго спокойно.
На прошлой неделе объявился человек, сообщивший мне содержимое баз, отписался пару раз в новостях
и натворил еще пару милых дел.
Два дня я переписывал по новой всё вдоль и поперек, проискал все возможные инъекции , XSS , бэкдоры
и что только не искал. Пересмотрел каждый из сотни файлов построчно, включил magic_quotes наконец,
поменял все пароли от всех баз, от всех ФТП, от всех контрольных панелей, поменял названия всем файлам, изменил расширения, переписал mod_rewrite .
на следующий день повторилось всё по новой..
Причём ново испеченный хакер выходил в открытый контакт по асе, не ставил никаких требований,
иногда бесполезно коммантировал некоторые участки кода..
Сообщил мне какие домены припаркованны на том же аккаунте и новые пароли от базы.
решил проверить все логи - ничего особенного в них не нашёл. Решил заманить его.
Создал на сервере файл phpinfo предложил посмотреть под предлогом "проверить конфигурацию сервера" , а потом найти его п в логах и дальше фильтровать по ним.
В ответ получил сообщения вида "Яяя ? Нет.. я их уже давно видел phpinfo иначе я бы не залез"..
Чуть позже он решил снизойти до того, чтобы зарегистрироваться на этом сайте.. наконец то я получил его йп.. и опять ничего подозрительного в логах не нашёл. Не в посещениях своих "бэкдоров", ни в логах ошибок.. Через 10 минут странствий по сайту, он сообщил что ему хватит и он удаляется..
Через минуту записи о нём в базе не было..
Ну я обрадовался.. полетел смотреть логи .. сейчас то я точно его поймаю..
На этот раз, там не только ничего подозрительно не было, но там вообще ничего не было..
На следующий день он мне сообщил уже все доммены припаркованные к другому аккаунту, моему персональному и показал содержимое нескольких скриптов. Сказал что виноват вообщем то хостер.
на вопросы что да как не отвечал
А я тем не менее пришёл я к выводу что действительно виноват хостер.
Потому что как минимум open_basedir стоит на директорию моего аккаунта .
Одного из его сообщений было следуюзего содержания:
<<
только скажу сразу что в логах меня нигде нет а если и как-то найдут то файлы закодированы и без ключа не смогут раскодировать. так что писать хостеру нет смысла
>>
Разумеется я попробовал получить доступ к файлам выше своей домашней, в ответ на все попытки разумеется получал access denied ,кроме папки /tmp
содержимое которой я досконально на всякий случай изучил.
остаётся теперь такой важный вопрос, что же такого он увидел в этом phpinfo() , или сказал он это просто так, но тем не менее получил контроль над содержимым файлов на сервере.
Менять содержимое он сказал не может, а вот читать он может, и я в этом вполне убедился..
Я даже не буду спрашивать как, но вопрос в том, как теперь выбрать правильно хостера
с которым я не буду подвержен такой фигне..
--
Просто мысли
что он мог увидеть в phpinfo ? Неправильно настроенный open_basedir ?
Чем могла быть вызвана проблема ? Направильными правами на папки ?
На запись прав у него нет, есть на чтение..
По моим эскпериментам делается это не из другого пользовательского аккаунта, а значит он как то внедрил что на сервер.
Пока писал абзац выше, он признался что это не программа, а самописный скрипт..
Запустить его он мог либо через дырку в чьём то аккаунте, которую ему еще нужно было найти.
Судя по гуглу его аси - он рнр программист. Активности по другим языкам у него не заметил.
Возможно он запускал какуюто системную комманду, доступ к которой разрешил себе каким то образом. Есть у кого идеи ?
phpinfo прикладываю(Отредактировано автором: 12 Февраля, 2009 - 18:26:26)