взлом? постоянно появляется папка в логах сайта
123carter 8 февраля, 2013 - 22:30
вообщем ситуация такая, есть сайт с папкой logs внутри, туда падают логи сайта, здесь всё просто к примеру каждый день в папке logs создается папка sport.ru и там логи.... сегодня заметил что уже как неделю создались как то две другие папки mag.kz sort.ru (папки создаются с владельцем www)
обновлял сайт две недели назад, программеры сказали что проблемы точно не у них, типа ищи проблему у себя
собственно проверил всё что мог по логам, ничего не нашел, может кто подскажет как и что проверить? может есть у кого то рецепты
»
- Для комментирования войдите или зарегистрируйтесь
чем логи пишешь?Проверь
чем/kak логи пишешь?
Проверь конфиги прокси и виртуальных хостов.
логи пишутся на php бэкендах
логи пишутся на php бэкендах ... сайты пишут логи
всё уже проверил и конфиги тоже, там всё нормально, nmap rootkit . просмотрел логи
но смущает что левые папки создаются раз в день к примеру, как бы смысл даже если меня ломанули такое вытворять?
взлом тут не причем - глюки
взлом тут не причем - глюки софта явно! пусть девы свое д..мо разгребают, - в РНР такое порой бывает... ;)
Еще идея - случайно сислог сервер там не поднят/открыт?
взлом на самом деле больше
взлом на самом деле больше всего напрягает)
ну к примеру создается sport.ru , но почему тогда рядом создаются сайты с названиями kira.ru к примеру?? ну чистой воды какая ересь же?
дело в том что рядом такой же сайт лежит только с другим интерфейсом, как бы исходники одинаковые, но у того всё отлично в логах
сислог есть, а зачем?
сислог есть, а зачем? Только
Только одному мне кажется, что архитектура проекта писана пыхкодером, а не архитектом ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
По Сеньке - шапка.
123carter
А затем, что он может создавать папки и писать в них, в том числе и с удаленных хостов... :)
Вы его конфиги смотрели?
Кто еще пишет и может создавать там папки?
Если:
- имена папок от ваших сайтов или вашего софта, который работает с этими сайтами? - проблема ваших сайтописцев;
- или вашего хостера? - проблема админов хостера
- или вообще с Марса? - включите полный мониторинг и протоколирование по максимуму, чтобы поймать момент кто-когда-откуда создал папку, или хотя бы отловите кто туда пишет (скорее всего веб-сервер, но локализуйте до виртуального хоста и скрипта).
имена папок появлются помимо
сислог просмотрел в конфигах, файл не менялся
имена папок появлются помимо sport.ru (правильного названия) появляются SPORT.RU или по ip 93.45.11.1 к примеру или просто левое название click.kz.
папки создаются от www а значит веб сервер скорее всего.
можете подсказать чем отслеживать этот файл?
Похоже на грязный код,
Похоже на грязный код, сделанный под Виндой (SPORT.RU), с остатками и/или копипастов старых/параллельных проектов (93.45.11.1 и click.kz).
Скорее всего grep -r по дереву сорсов и дампам баз поможет локализовать источник проблемы...
.
Только сначала есть смысл добыть поматериальнее простых слов свидетельство утверждения погромистов о том, что проблема не у них. :)
И прежде чем показывать результат анализа кода, озаботиться бэкапом...
:wq
--
Live free or die
+1 чувствуется опыт!.. :)
+1 чувствуется опыт!.. а то подчистят втихую и будешь в дураках ходить... :)