Старый 14.04.2014, 14:03   #1
YoDa
 
Регистрация: 14.04.2014
Сообщений: 0
Репутация: 0
По умолчанию Отследить заливку шела WordPress

Пишу в оффтоп, ибо не уверен, что попал по адресу и задаю "правильный" вопрос.

Есть WordPress из коробки, установлен как есть без особых изменений в плане безопасности. На него периодически заливают вэб шел.

Хотел поинтересоваться, есть-ли возможность имея стандартные логи доступа апача, отследить как, когда заливка шела происходит?

Нашел в логах первое обращение и начал копаться выше, в поисках подозрительных запросов. Единственное, что удалось найти - это успешный запрос картинки из корня(этой картинки там не было никогда, и после обнаружения шела тоже). Предположительно это и есть шел, который в последствии переименовали.
Код:
88.149.201.70 - - [10/Apr/2014:20:58:11 +0300] 200 "GET /Z6cCXFmq.gif HTTP/1.0" 10 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8 rv:4.0) Gecko/20110511 Firefox/3.8" "-"
88.149.201.70 - - [10/Apr/2014:20:58:13 +0300] "GET / HTTP/1.0" 200 13963 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61"
88.149.201.70 - - [10/Apr/2014:20:58:13 +0300] 200 "GET / HTTP/1.1" 13736 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61" "-"
63.250.48.136 - - [10/Apr/2014:20:58:30 +0300] 200 "GET /RpMVfDzH.gif HTTP/1.0" 10 "-" "Mozilla/5.0 (iPod; U; CPU iPhone OS 4_1 like Mac OS X; us-US) AppleWebKit/534.25.1 (KHTML, like Gecko) Version/3.0.5 Mobile/8B113 Safari/6534.25.1" "-"
63.250.48.136 - - [10/Apr/2014:20:58:31 +0300] "GET / HTTP/1.0" 200 13963 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61"
63.250.48.136 - - [10/Apr/2014:20:58:31 +0300] 200 "GET / HTTP/1.1" 13736 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.10.229 Version/11.61" "-"
88.149.201.70 - - [10/Apr/2014:20:58:35 +0300] "GET /frDmXzBh.php HTTP/1.0" 200 182 "-" "Opera/9.49 (Windows NT 5.0; U; nl-Nl) Presto/2.9.172 Version/10.00"
88.149.201.70 - - [10/Apr/2014:20:58:35 +0300] 200 "GET /frDmXzBh.php HTTP/1.0" 4 "-" "Opera/9.49 (Windows NT 5.0; U; nl-Nl) Presto/2.9.172 Version/10.00" "-"
109.202.108.4 - - [10/Apr/2014:20:58:36 +0300] "GET /691937.html HTTP/1.0" 404 8165 "-" "-"
109.202.108.4 - - [10/Apr/2014:20:58:37 +0300] 404 "GET /691937.html HTTP/1.1" 7819 "-" "-" "-"
88.149.201.70 - - [10/Apr/2014:20:58:36 +0300] "GET /frDmXzBh.php?wenav=di HTTP/1.0" 200 7978 "-" "Opera/8.21 (X11; Linux i686; U; ru-RU) Presto/2.9.185 Version/11.00"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] 200 "GET /frDmXzBh.php?wenav=di HTTP/1.0" 7800 "-" "Opera/8.21 (X11; Linux i686; U; ru-RU) Presto/2.9.185 Version/11.00" "-"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] "GET /frDmXzBh.php HTTP/1.0" 200 6929 "-" "-"
88.149.201.70 - - [10/Apr/2014:20:58:37 +0300] 200 "GET /frDmXzBh.php HTTP/1.0" 6751 "-" "-" "-"
63.250.48.136 - - [10/Apr/2014:20:58:53 +0300] "GET /zZWpJYNB.php HTTP/1.0" 200 182 "-" "Mozilla/5.0 (compatible; MSIE 5.0; Windows NT 6.1; Trident/5.1)"
Собственно суть вопроса в том, что я хочу понять как это делают. Сканил исходники сайта всякими "вэб антивирусами" - вроде чисто.
YoDa вне форума   Ответить с цитированием
Старый 14.04.2014, 15:13   #2
madhatter
 
Регистрация: 11.01.2014
Сообщений: 86
Репутация: 1
По умолчанию

.htaccess и логи фтп проверьте. На шелл похоже, да. Вы не могли бы скинуть линк и логи в пм?
madhatter вне форума   Ответить с цитированием
Старый 14.04.2014, 16:37   #3
YoDa
 
Регистрация: 14.04.2014
Сообщений: 0
Репутация: 0
По умолчанию

В .htaccess чисто вроде. Нет ничего, кроме настроек хостера и цмс:
Код:
AddHandler x-httpd-php53 .php .php3 .php4 .php5 .phtml # phpvs v6

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On


RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
За фтп даже и не подумал, хостер логи по фтп не дает ((.
YoDa вне форума   Ответить с цитированием
Старый 14.04.2014, 17:10   #4
madhatter
 
Регистрация: 11.01.2014
Сообщений: 86
Репутация: 1
По умолчанию

Глянул ваши логи, в них подобная активность по сегодняшнее число. Нашел пару аналогично зараженных хостов. Какой-то ботнет или что-то сеошное, что вероятнее. Выбивайте xferlog из хостера.
madhatter вне форума   Ответить с цитированием
Старый 14.04.2014, 17:14   #5
YoDa
 
Регистрация: 14.04.2014
Сообщений: 0
Репутация: 0
По умолчанию

Ок, спасибо.

Уже написал хостеру в сапорт запрос на логи фтп.
YoDa вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot