Подозрительные файлы на ФТП

[Maxchen]

Всем доброго времени суток!
Ситуация сложилась так, что мой сайт хотят "похоронить" на веки вечные. Началось всё с того, нашел на ФТП странную папку .log с разными нехорошими файлами, в основном хтмл и в корне директории неизвестный доселе файлик php с содержимым в base 64 кодировке. По-моему, идет речь об эксплойте.
Ну я-то закрыл запросы к подозрительным файлам через REQUEST_URI, поставил на директорию домена chmod 751, на папку .log chmod 000, но через день повторилась та же история с добавлением "левого" пхп файла. Я его внутренности подтер и chmod 000 влепил не удаляя.
Но вся проблема в том, что гугл меня уже успел проиндексировать с этой парашей, что мне вылили на фтп запрос в гугле
Сейчас поставил сканер директории домена на сторонние файлы, но этого мало...

Сайт не на хостинге никс, с серверными настройками играть не могу (
Меня интересует как можно это остановить и предупредить? Вообще со мной такая незадача впервой произошла =(

 

[BaNru]

Начать со смены всех паролей.

 

[Maxchen]

Начать со смены всех паролей.

Это пройдено давно, да и пароли храню в голове )

 

[BaNru]

А движок наверное нулленый, да и шаблоны наверное такие же?!

 

[Maxchen]

А движок наверное нулленый, да и шаблоны наверное такие же?!

Движок самописный, вероятность sql-инъекций предусмотрена.
Вопрос-то скорее не по движку, а как предотвратить попадание левых нежелательных файлов на ФТП...

 

[hackee]

Ограничь вход на фтп по ip

 

[Snickers]

файлы льются не через sql инъекции. а дырки в формах, в которых предусмотрены отправки файлов. а ты уверен что эту папку лог и файлик не сам хостер создает? может он логирует там ошибки, а вывод их в браузере просто отключен. так многие делают

 

[BaNru]

Я вот тоже читая думал, а папка лог случаем не за пределами папки домена?
Если за пределами, то тут однозначно или фтп "проникновение" или хостер оставляет служебные скрипты.

Если папка внутри доменной папки, то тут или как сказали выше - заливка через формы, или уже давно тебе положили shell, о существование которого ты не подразумеваешь.

 

[Maxchen]

Папка и левые файлы в пределах директории домена, а загрузка файлов на сайте только в виде аватарок. Но проект новый, пока участники только знакомые мне люди.
Насчет shell - как это выглядит или обнаруживается? И читал, что обнаружить можно поиском по своим файлам функций с base64 кодированным текстом, но у меня такого нет

 

[BaNru]

А может шелл и в аватарке?!
При загрузке файлов на серв, проверяй их MIME
Вот интересная тема, тока пока сам не осилил прочитать.

Шел может быть как зашитый код в base, так и просто файлик, через который получается полный доступ к текстам файлов.
Хотя я в этом не силен.

Для начала проверь файлы аватарок, все ли они действительно картинки?!

файлик php с содержимым в base 64 кодировке

Кстати,а ты не пробовал расшифровать что там?
Ты б выложил тут архив с файлом может кто расшифрует. Хотя не знаю, есть ли тут кто сможет расшифровать, на нуледе знаю что расшифровывают.
Может в нем ответы на все вопросы?

 

[Maxchen]

файлик php с содержимым в base 64 кодировке

Кстати,а ты не пробовал расшифровать что там?
Ты б выложил тут архив с файлом может кто расшифрует. Хотя не знаю, есть ли тут кто сможет расшифровать, на нуледе знаю что расшифровывают.
Может в нем ответы на все вопросы?

При раскодировке генерировал файл ***.bin который тут же скачивается. Изначальный файл php к сожалению уже удалил.

Спасибо за ответы, думаю проблема в большей степени решена, нужно только теперь следить за фтп, написал скрипт мониторинга :blink: