Web siteme php_remote_view programı yerleştirmişler!!!

Hiç böylesine rastlamadım,
sitemin log kayıtlarını incelediğimde gözüme bişey çarptı.
7 martta ana dizine img klasörü oluşturulmuş vede içinde fl.php,img.php bide core diye bi dosya var.

Sonra bende giriyim dedim bide baktım benim dosyaları gösteren bir script.
/home/benim dizin/
homeyi tıkladım o da ne tüm reseller kullananların listesi.

php_remote_view diye bi program bunu yapıyor fakat bunu benim siteye nasıl yollamış olabilirler.

Bide programda dizini sil gibi tehlikeli komutlar var vede şifresiz giriliyor.

Bu konuda bilgisi olanlar var mı?
Şimdiden teşekkürler.

http://php.spb.ru/remview sitesinde screenshot var.

php de ki sömürülebilicek fonksiyonları kapa dl exec shell_exec popen pclose passthru allow_url_fopen gibi ve sonra open basedir korumasını açarak scriptleri kendi home dizinlerine hapset genelde o tarz scriptleri sunucuya perl yada cgi betikleri çekmek için kullanıyorlar perlde bir kısıtlama olmadığı için istediği yere ulaşabilir perl üde grsecurity ile chroot layabilirsin

root'a kadar iniyor fakat sadece benim dizine girebiliyor.Sanırım dediğiniz fonksiyonların kapalı olmasından dolayı olsa gerek.php info dan baktım o fonksiyonlar kapalı.

Ama benim siteye nasıl girdiklerini nerden bulabilirim?

http://trexcore.com/index11.html adresinden bayağı bağlanılmış.Ama sayfa da ilginç.

bütün dizinlere girer chmodları 711 yapmadıysan sadece ls çekemez dosyaadını biliyorsa girer
dediğim gibi open basedir korumasını açmalısın yapamam diyorsan bana bilgileri at yapayım 2 dakikalık işi var

okan23' Alıntı:

bütün dizinlere girer chmodları 711 yapmadıysan sadece ls çekemez dosyaadını biliyorsa girer
dediğim gibi open basedir korumasını açmalısın yapamam diyorsan bana bilgileri at yapayım 2 dakikalık işi var

Genişletmek için tıkla ...

phpinfo'da open basedir=/home:/tmp:/usr değeri var. Böyle olduğu zaman koruma açık olmuş oluyor mu?

Teşekkürler.

httpd.conf a bak asıl önemli yer orası

scripti inceledim senin sitende image upload edilen bi yer mutlaka ve bu php kendini image olarak gösteriyo.


header("Content-type: image/gif");
header("Cache-control: public");
// /*
header("Expires: ".date("r",mktime(0,0,0,1,1,2030)));
header("Cache-control: max-age=".(60*60*24*7));
header("Last-Modified: ".date("r",filemtime(__FILE__)));
// */
echo base64_decode($img[$name]);

break;

bunu sitelerin %90ı yer gibi geldi bana. burdan da patlatırlar siteni gerizekalı lamerler.

bunu sitenin yemesiyle alakası yok egrekli önlemleri alırsan hiç bir şey olmaz

okan23' Alıntı:

httpd.conf a bak asıl önemli yer orası

Genişletmek için tıkla ...

Sanırım bu dosyaya ulaşamam.çünkü reseller kullanıyorum.Tabi benim gibi aynı makinede reselleri olanların kullanıcı adları da görünüyor.Fakat diğer kullanıcılara ve sistem dosyalarına erişilemiyor.

Bu arada ana dizinimde img klasörü içinde buldum bu dosyaları.

eğin hiç bir şey yok snucu sahibini uyarmaktan başka 777 vermemeye çalış hiçbirşeye sana index atmamaları için

server yetkilerinin full acık oomasıdnan kaynaklanıyor yanai bazı uyanıkalr sitenin o full yetkili alanalrının yetkileirni kullanıp sızıyor FSO

Artık chmod ayarlarına dikkat edecem.

Bilgilerinizi paylaştığınız için çok teşekkür ederim.

There is an exploit circulating currently which takes advantage of dl() to inject code into Apache which causes all requests to all virtual hosts to be redirected to a page of the attackers choice.

All operators of shared web hosting servers with Apache and PHP should disable dl() by setting enable_dl to off otherwise your servers are vulnerable to this exploit.

This exploit is generally known as flame.so (the object that is loaded into Apache) and flame.php (the php script that loads it).

ingilizce ama cözüyor sorunu:
Login via SSH root,

slocate *flame.so
slocate *flame.php
slocate *flame.html

Normaly these will be in the /tmp

Find all the files and remove them, you can quartine them to look at the code if you like.

If they are in your /tmp, you need to secure tmp with
/scripts/securetmp (this is not 100% perfect, but helps)

Now that you have removed the infecting files, edit your PHP.ini file, either in
/usr/lib/ or your zend location.

you need to change the DL function to OFF.
In the php.ini file, locate disable function = and type next to it dl
so it would look like this:
Disable Function = dl

Then save and exit the php.ini file. ( this will prevent them from using php memory attacks again).
{you can also search for enable_dl = on and change it to disable_dl = on}
[you can also use this: enable_dl = Off ]

Now, you should look at /usr/local/apache/domlogs/

use:
grep flame. /usr/local/apache/domlogs/*

Now look to see who is trying to use this script and block them from you server:

Go to /etc/httpd/logs and find if any IP is triying to reach that file
type:
grep flame. err*

You will find an IP ( in my case there was 6)

Then drop that conections witn an iptables entry like this

iptables -I INPUT -s 64.246.62.105 -j DROP

(replacer the IP with the one at your logs)[although, that ip is one that many people with this problem find]

If you have APF installed you can also use:
./apf -d 185.14.157.123 comments here (like, using flame exploint)

NOW, you need to restart apache using:
service httpd restart
{if your like me, you may want to login to whm and do a Graceful Server Reboot to clear your memory aswell}

Hope this helps some of you guys with this issue, It took me and 5 guys on the cpanel forums a week to stop all the attacks on our servers back in july.

dl yi kaparsan ioncube loader çalışmaz yalnız

Merhaba,
"sadece" CHMOD'lar ile büyük ölçüde güvenlik sağlayabileceğinizi sanmıyorum. Probleminiz açıkça gösteriyor ki, sunucunun php.ini dosyasında disable_functions satırında engellenen hiçbir php komutu yok.

Hal böyle olunca sadece CHMOD hiçbir işe yaramaz, biri sizin reseller'dan 10 mb alan alsa bütün sunucuya erişebilir demek anlamına geliyor.

Saygılar.


N. Sinan GÜNAY
Reseller Merkezi
Dedicated Merkezi
10GBHosting
Portal Servisleri
RSM İnternet, Bilişim ve Telekomünikasyon hizm. LTD. ŞTİ.