Interesanti, bet šitie visi laika gaitā atrasti PHP shelli ir skriptkidiju mēsli ar GUI. Botnetam jau vajag ko smalkāku. 18 atbildes
Kaspars Foigts (2014-04-02 22:07:00) |
Interesanti, bet šitie visi laika gaitā atrasti PHP shelli ir skriptkidiju mēsli ar GUI. Botnetam jau vajag ko smalkāku. | ||
E (2014-04-02 22:16:49) |
@laacz labāk pastāsti kā viņi pie tevis tiek iekšā/kā meklē. Daudziem no mums kaut kādi serverīši, kur varbūt tādi labumi. | ||
Kaspars Foigts (2014-04-02 22:19:25) |
@Endijs Šis konkrētais gadījums bija caur wordpresu (username/pass uzminēti, šķiet). | ||
Kaspars Foigts (2014-04-02 22:34:05) |
@Endijs a) Antivīruss. Izklausās smieklīgi, bet reizi 24h vismaz noskanē serveri pret vīrusiem. Piemēram, clamav. Čeko arī backdōrus utt. | ||
Kaspars Foigts (2014-04-02 22:35:11) |
@Endijs 2) Monitorē palaižamus failus (gan u+x, gan skriptus - php, inc, utt), kuru owneris ir www-data. Pietiek sūtīt Δ 1x24h uz meilu. | ||
Kaspars Foigts (2014-04-02 22:35:41) |
@Endijs 3) Monitorē skriptus, kuros overjūzoti base64_decode, utt. Tas ir populāri. | ||
Kaspars Foigts (2014-04-02 22:36:10) |
@Endijs 4) Domā par drošību (drošas paroles, maz iespēju kaut ko uzuploadēt, jaunākās webappu versijas, utt). | ||
Kaspars Foigts (2014-04-02 22:36:57) |
@Endijs 5) Ja ir breach, NOTEIKTI jāatrod - kas pie vainas. Pretējā gadījumā tas atkārtosies. | ||
Sergejs Bižāns (2014-04-02 22:40:29) |
@laacz @Endijs Klau, Lāci, tu kādus spraudņus bez Jetpack stādi virsū wordpresiem? Es nedomāju neko specifisku, in general. | ||
Kaspars Foigts (2014-04-02 22:42:45) |
@Endijs Un pirmais keiss bija https://t.co/XxSBSMsd4P, kuru devs pats bija uzlicis (owneris - ftp useris). | ||
E (2014-04-02 22:43:47) |
@laacz vajadzēs sākt kaut ko monitorēt. citādi pilnīgā pašplūsmā. cik tur ilgi līdz kāds kaut ko ieperinās. | ||
Kaspars Foigts (2014-04-02 22:44:23) |
@mrserge @Endijs Man jau vōrdpress principā viens :) | ||
E (2014-04-02 22:44:29) |
@laacz tas bija tas spama sūtītājs? | ||
Sergejs Bižāns (2014-04-02 22:45:21) |
@laacz @Endijs jautājuma būtību tu saprati, he he. | ||
Kaspars Foigts (2014-04-02 22:46:16) |
@Endijs Jep. Jamais principā execo jebko, ko viņam owneris padod. Proper botnets. | ||
Kaspars Foigts (2014-04-02 22:46:45) |
@mrserge @Endijs Nu, ja neskaita 'lcz stuff', tad vēl jetpack, akismet, pubsubhubbub, share a draft, subscribe to comments | ||
Sergejs Bižāns (2014-04-02 22:49:08) |
@laacz @Endijs tas viens jocīgais nosaukums būs jāpapēta, pārējie laikam zināmi. | ||
Kaspars Foigts (2014-04-02 22:50:51) |
@mrserge @Endijs Nu, man lielākā daļa stafa (ieskaitot markdown postēšanu) ir pašrakstīta. | ||
Sergejs Bižāns (2014-04-02 22:52:28) |
@laacz @Endijs to nevar nepamanīt, skatoties, kā tu ar lapas saturu žonglē. |