Tema: Re: kaip sugauti bot'a
Autorius: Nerijus Kislauskas
Data: 2011-12-22 16:09:17
On 12/21/2011 03:01 PM, NicMC wrote:
> Pradėt nuo to, kad pasidaryt normaliai - SuExec+SuPHP. Tada pagal userį
> ir pamatysi

Sveiki,

	Kažkaip keistai patariate ieškoti pažeidžiamos svetainės. Nežinau kiek
temos autorius išprusęs *nix'istas, bet jei neišeina naudotis paprastais
įrankiais (ir galva), tai net "SuExec+SuPHP" nepadės. Ir to net nereikia.

Mano gairės būtų tokios:

a) Neskubėti trinti failų
Naudingos Access/Modify/Change datos iš stat įrankio

b) Susitvarkyti web serviso loginimą (jei tai dar nepadaryta)
apache2 atveju labai naudingi %h,%p %{remote}p, %r raktai

c) Susitvarkyti serverio laiką

Šiaip b) ir c) turėtų būti padaryta prieš paleidžiant servisą.

d) Iš mail.log logo (jei spaminimas vykdomas per localhostą) užfiksuoti
laiką, kada prasidėjo spaminimas.

e) pagal stat (ir/arba mail.log) parodymus galima pradėti kažką graibyti
webo loguose su +/- viena ar dviejų sekundžių paklaida (max iki 5). Jei
saitų nedaug, logų nedaug, rasti tai ko ieškai - nesunku. O ieškoti
reikia užloginto requesto į svetainę, kuris sutampa/beveik sutampa su
anksčiau gautais datos/laiko parodymais.

f) Jei nerandama nieko panašaus web loguose, gal failas atkeliavo kitais
būdais. Tuomet reiktų knistis po FTP/SSH/auth logus. Bet tai jau kita
pasaka, kurią papasakosiu kitą kartą.

Radus pažeidžiamą svetainę (pažeidžiamą failą), galima žiūrėti kas ten
per svetainė. Jei tai TVS'as, greičiausiai jam bus pataisymas. Jei
svetainė "custom made in lithuania", galbūt galima PHP nuostatomis
išjungti failų uploadinimą (jei to svetainei nereikia). Pastaruoju
atveju pažeidžiamumo problema nebūtų išspręsta, bet bent jau sumažinama
rizika. Kitu atveju kontaktuoti su kūrėjais. Jei kūrėjai
išnykę/mirę/bankrutavę/išvykę į kitą šalį užsidirbti/pakeitę verslo
kryptį - disablinti svetainę.

Et, prirašiau daug, tik klausimas ar bus naudos.
--
Pagarbiai,