Сайт моего друга недавно был взломан, на нем была запущена старая версия IP.Board, в которой есть уязвимость локального внедрения кода (local file inclusion). Этот пост не будет посвящен IP.Board или другому php коду, он покажет, как найти потенциально вредоносный php код на ваших серверах. Наконец, покажу пример того, что злоумышленники могут загрузить на взломанный сайт.

Проверьте логи доступа

Что бы с чего-то начать, я бы хотел поделиться некоторыми записями из журнала доступа (access log) взломанного сайта моего друга.

IpreMOVED - - [01/Mar/2013:06:16:48 -0600] "POST /uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"
IpreMOVED - - [01/Mar/2013:06:12:58 -0600] "POST /public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"

Необходимо часто проверять журналы доступа на сервере, однако если вы не будете осторожны, URL такие как выше, которые на первый взгляд выглядят безобидно, могут пройти прямо мимо вас.

Два файла выше это загруженные взломщиком скрипты, как они туда попали, большой роли не играет, так как код на любых двух серверах, вероятно, будет различным. Тем не менее, в данном конкретном примере, уязвимость в устаревшей версии IP.Board была использована, и атакующие смогли добавить свои собственные скрипты в директории доступные для записи, такие как пользовательский каталог загрузки и каталог, в котором IP.Board хранит кэшированные изображения темы оформления. Это общий вектор атаки, много людей изменяют права на эти каталоги на 777 или дают им доступ на запись, подробнее об этом чуть позже.

Рассмотрим подробнее приведенные выше строки журнала, ничего не цепляет вас?

Обратите внимание, что в журнале доступа POST запросы, а не GET запросы.
Скорее всего, злоумышленники хотели сделать журнал доступа более неприметным, так как большинство журналов не сохраняют post данные. Читать дальше →

http://hardingush.livejournal.com/96823.html

Пока было 1247 комментариев.
Бывает и больше, но реже...

читать дальше

Одна из новостей: cегодня (01-08-2013)
в России вступает в силу антипиратский закон.
Повод ли это для PR-кампании?

читать дальше

Когда PR-профессионал (а работают ли в Ъ другие?) "валит", и когда "подталкивает" (даже по мелочи), то даёт возможность исков!
Пусть и о клевете, о чём угодно, потому что PR for ever?

В 9-ом классе школы мы с соседом по парте на уроках географии играли в игру: открываешь любую страницу атласа, находишь на карте нас.пункт и пишешь его на листок, подвигаешь соседу. Сосед должен найти и показать его пальцем на карте. Из этого родилась моя любовь к путешествиям.

Въезжаешь в старинный российский город Ярославаль и видишь...

фото sunlit_gem

читать дальше

Тинатин (Тину) Гивиевну Канделаки я решил оставить в покое. :-))
Но беседа по поводу событий вокруг этой замечательной во всех смыслах женщины дала мне интересную ссылку: Признание ЦРУ. Развал СССР.
Спасибо В.Н. Павленко.

По ссылке посмотрел видео.
Информация уже разошлась в текстовом формате (для убедительности).
И уже давно. Одна из ссылок в Пнд, 24/09/2012 - 23:12

Мне наиболее понятен (своей очевидной достоверностью) только один фрагмент из этого видео:

Филипп Эйджи, офицер ЦРУ 1957-1968:
"У крушения СССР и восточного блока было много внутренних причин, но ЦРУ годами выращивало внутренние движения для подрыва соцблока. Нестабильность, которую они создали там в 90-ые годы, США использовали для окружения России военными базами. Потому что они понимают: Россия - это по-прежнему единственная страна, которая может уничтожить США."

Об остальных интервьюерах моё мнение намного хуже.
Они врут.

Как и "криминалист из Самары" - посмотрите. Улыбнётесь...

Почему и зачем врут?
На это есть целая теория.
Я называю её теорией "перевёртышей". Была тут у меня даже такая рубрика.
Писал об этом и в журнале "Советник", показывая как из ошибки можно получить пользу.
Но уточняя методику применения этой теории я сменил название и рубрики и методику знакомства с теорией "переворачивания".
Действительно - из ошибки можно получить пользу, правда эта польза лишь прикрывает ошибку, делая её мало заметной.
Да и степень маскировки зависит от проницательности аудитории.
Или её информированности о "скелетах в вашем шкафу", как говорят англичане.

читать дальше