PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : راهنمايي در مورد Suspicious File Alert


alireza88
October 6th, 2010, 16:08
دوستان سرور همش اين ايميل رو ارسال ميكنه ميشه راهنمايي كنيد كه چيكار بايد كنم؟

File: /tmp/.wapi
Reason: Suspicious directory
Owner: nobody:nobody (99:99)
Action: Moved into /etc/csf/suspicious.tar
Online24
October 6th, 2010, 16:28
Suspicious files reporting یکی از امکانات csf هست !

اینها اسکریپت های اجرایی مشکوک (عموما exploit ها) زیر دایرکتوری tmp/ هستند که توسط csf شناسایی میشند !
همینطور منبع پروسه های مشکوک و یا اصطلاحا "بی صاحب " که در سرور اجرا میشوند .

کار خاصی نمیخواد بکنید ! با این اطلاعات مدیریت کنید . ( فایل هایی رو که report میده رو بررسی کنید ، در صورت لزوم اونها رو حذف کنید )
alireza88
October 6th, 2010, 21:59
ممنون. خوب الان توي اين ايميل من بايد فايل suspicious.tar رو از چه نظر و چطور بررسي كنم كه ببينم مجاز هست يا خير؟؟؟؟
vPsPersia.COM
October 6th, 2010, 22:45
این به صورت قرنطینه کار می کنه . یعنی اون فایل ها رو به suspicious.tar تبدیل کرده .

میشه گفت دیگه کار نمی کنند

اما پیشنهاد میشه با ClamAV سرور رو اسکن کنید


cd /home
freshclam
clamscan -i -r --remove


درستورات بالا تنها فایل هایی که ویروسی هستند رو نشون میده و با remove-- اونا رو پاک می کنه
alireza88
October 6th, 2010, 23:30
اما اخه اين ايميل و از صبح چيزي بالاي 30 بار برام سند كرده. همشونم يه ادرسه:-?
Talahost.Com
October 7th, 2010, 00:05
رو سرور شما شل آپلود شده.
alireza88
October 7th, 2010, 00:32
چي كارش بايد كنم خوب دوست عزيز؟؟؟؟
vPsPersia.COM
October 7th, 2010, 02:08
چي كارش بايد كنم خوب دوست عزيز؟؟؟؟

کاری که در پست شماره 4 گفتم رو انجام بده
alireza88
October 7th, 2010, 07:00
اون كاري كه گفتيد و كه اتفاقا انجام دادم و چند تا موردم پيدا كرد .. ولي اين ايميلها هنوز ادامه دارن... من php.ini رو تازگي غير فعال كردم ولي قبلا باز بوداين شلا هم از قبلا هستش . نظرشما در مورد ConfigServer eXploit Scanner چيه؟
vPsPersia.COM
October 7th, 2010, 11:01
نظرشما در مورد ConfigServer eXploit Scanner چيه؟

گزینه مناسبی هست ، اما هزینه داره + شنیدم که نصب خالیش کافی نیست باید کانفیگ بشه توسط خود شرکت سازنده .

و یا افرادی که وارد هستند بهش !
alireza88
October 7th, 2010, 12:38
هزينش كه 100 دلاره كه خودش شامل تنظيماتشم ميشه. ميخوام ببينم كسي استفاده كرده؟ و ميتونه برامون پرداخت كنه؟؟
بعد گزينه ي ديگه اي هم شما ميشناسيد نو اين زمينه؟
حالا رايگان يا غير رايگان
Talahost.Com
October 7th, 2010, 15:26
نیازی به exploit scanner نیست. چون فقط exploit های شناخته شده رو پیدا می کنه. یه چیزی مثل آنتی ویروس که طبق فایل ها و دیتابیسی که داره ویروس رو پیدا می کنه.
جای این برنامه ها باید سرورتون رو امن کنید.
اگه پنل سی پنل هست و نیاز به امنیت دارید می تونیم براتون انجام بدیم.
alireza88
October 7th, 2010, 16:28
بله ممنون . سيپنل هست . در حال حاظر scf و انتي ويروس خود سيپنل فعاله . چند تا فانكشن هاي پي اچ پي هم بستم تا اونجا كه مطالبش بوده و ميشه گفت يه امنيت بيسيك ايجاد شده. ميخواستم بدونم شما ميخوايد چه موارد ي رو انجام بدين و هزينه اش رو هم بفرماييد البته

---------- Post added at 03:28 PM ---------- Previous post was at 03:24 PM ----------



اضافه کردن به mod security
این خیلی کمک میکنه و بیشتر شل ها رو بلاک میکنه

SecRule RESPONSE_BODY "r57shell - http-shell by RST/GHC"
SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
SecRule RESPONSE_BODY "/* RST/GHC http"
SecRule RESPONSE_BODY "x2300 Locus7Shell"
SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
SecRule RESPONSE_BODY "C99 Modified"
SecRule RESPONSE_BODY "c999shell v."
SecRule RESPONSE_BODY "RootShell Security Group"
SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
SecRule RESPONSE_BODY "Owned by hacker




دوستان اينارم پيدا كردم اما دقيقا نميدونم كجا بايد قرار بدم در Mod Security؟؟؟؟
Talahost.Com
October 8th, 2010, 13:11
نصب آنتی ویرویس و csf هیچ دردی رو دوا نمی کنه. باید تنظیم باشند.
آنتی ویروس که کلا بی خیال! چون با یه base64 و eval می شه اونو دور زد!!

تنظیماتی که ما انجام می دیم، تنظیم دسترسی های کاربران و پوشه ها و فایل های سرور (که این از همه چیز مهم تره)، تنظیماتی برای کاهش ddos، امن کردن php و perl، (البته لزوما php.ini غیرفعال نمی شه!)، rebuild آپاچی برای تنظیمات بهتر و کارهای جزئی و غیرجزئی دیگر.
هزینه هم 50 تومن هست.

اگه مایل هستید کلیک کنید! (http://www.talahost.com/contact.htm)
secure_host
October 10th, 2010, 15:28
اون كاري كه گفتيد و كه اتفاقا انجام دادم و چند تا موردم پيدا كرد .. ولي اين ايميلها هنوز ادامه دارن... من php.ini رو تازگي غير فعال كردم ولي قبلا باز بوداين شلا هم از قبلا هستش . نظرشما در مورد ConfigServer eXploit Scanner چيه؟

با سلام
بسیار عالی است و به مدیران هاستینگ پیشنهاد می شود.
به این صورت نیست که فقط webshell های شناخته شده را شناسایی کنه !!
با توجه به ساختار webshell ها شناسایی می کند .و همچنین اگر eval و base64 باشد fingerprint این فایل را با fingerprint وب شل ها بررسی می کند و در صورت تطبیق report را ارسال میکند .
alireza88
October 10th, 2010, 16:03
ممنونم در مورد پست قسمت دوم پست 13 هم راهنمايي ميفرماييد؟. <):)
secure_host
October 10th, 2010, 18:11
با سلام
این چند تا rule برای mod_security است که باید این مقادیر را در قسمت Default Configuration مربوط به Mod_Security اضافه کنید.
عکس ضمیمه شده است.
alireza88
October 14th, 2010, 17:01
Time: Thu Oct 14 16:12:21 2010 +0400
File: /tmp/.wapi
Reason: Suspicious directory
Owner: nobody:nobody (99:99)
Action: Moved into /etc/csf/suspicious.tar

اين ايميل متاوبا همچنان براي من ارسال ميشه .. كسي پيشنهادي نداره؟؟؟:-s
vPsPersia.COM
October 14th, 2010, 17:06
یک آنتی ویروس دیگه نصب کن ، به اسم AVG

بعد با اون هم SCAN کن ،ببینیم شاید اون چیزی پیدا کرد


شما لاگ های MOD_SEcuri ty رو بخون ببنی چیزی خاصی پیدا نمی کنی؟
alireza88
October 14th, 2010, 18:19
اقا ممنون avg رو من نصب و آپديت كردم وگذاشتم با دستوراي avgscan -H / يا avgscan --heur اسكن كرد اما جز به خود فايلهاي clamav كه پيغام زيرو داد


/usr/local/cpanel/modules-install/clamavconnector-Linux-i686/clamav-0.96.3/test/clam-aspack.exe Trojan horse Generic12.BRVU
و تروجان شناخت بقيه رو


Object scan failed; Specified file was not found.

اين پيغام و داد...


لاگهاي MOD_SEcuri ty رئ بايد از كجا ببينم؟
اگر منظورتون تو سيپنل و قسمت Mod Security اون جدول پايين هست . اونجا هيچي ننوشته.. :63:
vPsPersia.COM
October 14th, 2010, 18:24
اون تروجان نیست ، فایل تست clamav هست
alireza88
October 15th, 2010, 16:50
جديدا اينم برام سند شده...

lfd on ******: Suspicious proces....

پروسز واسه يكي از يوزراست. بدبخت كاري نميكنه. سايتش وردپرسه چيكارش كنم؟؟؟

/usr/local/bin/perl


Command Line (often faked in exploits):

/usr/bin/perl /usr/local/cpanel/3rdparty/bin/awstats.pl -config=*** -LogFile=/usr/local/apache/domlogs/***.ir.bkup -update


Network connections by the process (if any):

udp: 178.63.103.45:36149 -> 213.133.99.99:53


Files open by the process (if any):

/usr/local/lib/perl5/site_perl/5.8.8/Geo/IPfree.pm
/var/cpanel/locale/en.gdbm
/usr/local/lib/perl5/site_perl/5.8.8/Geo/ipscountry.dat
/home/****i/tmp/awstats
/usr/local/apache/domlogs/****.ir.bkup


Memory maps by the process (if any):

08048000-0804a000 r-xp 00000000 fe:02 34923547 /usr/local/bin/perl
0804a000-0804b000 rwxp 00001000 fe:02 34923547 /usr/local/bin/perl
09ec2000-0a5fe000 rwxp 00000000 00:00 0 [heap]
b749b000-b74ab000 r-xp 00000000 fe:02 34881768 /lib/libresolv-2.5.so
b74ab000-b74ac000 r-xp 0000f000 fe:02 34881768 /lib/libresolv-2.5.so
b74ac000-b74ad000 rwxp 00010000 fe:02 34881768 /lib/libresolv-2.5.so
b74ad000-b74af000 rwxp 00000000 00:00 0
b74af000-b74b3000 r-xp 00000000 fe:02 34881853 /lib/libnss_dns-2.5.so
b74b3000-b74b4000 r-xp 00003000 fe:02 34881853 /lib/libnss_dns-2.5.so
b74b4000-b74b5000 rwxp 00004000 fe:02 34881853 /lib/libnss_dns-2.5.so
b74b5000-b74bf000 r-xp 00000000 fe:02 34881767 /lib/libnss_files-2.5.so
b74bf000-b74c0000 r-xp 00009000 fe:02 34881767 /lib/libnss_files-2.5.so
b74c0000-b74c1000 rwxp 0000a000 fe:02 34881767 /lib/libnss_files-2.5.so
b74c9000-b74cf000 r-xp 00000000 fe:02 35161117 /usr/local/lib/perl5/5.8.8/i686-linux/auto/Encode/Encode.so
b74cf000-b74d0000 rwxp 00005000 fe:02 35161117 /usr/local/lib/perl5/5.8.8/i686-linux/auto/Encode/Encode.so
b74d0000-b74d1000 rwxp 00000000 00:00 0
b74d1000-b7623000 r-xp 00000000 fe:02 34881783 /lib/libc-2.5.so
b7623000-b7625000 r-xp 00152000 fe:02 34881783 /lib/libc-2.5.so
b7625000-b7626000 rwxp 00154000 fe:02 34881783 /lib/libc-2.5.so
b7626000-b762a000 rwxp 00000000 00:00 0
b762a000-b762c000 r-xp 00000000 fe:02 34881858 /lib/libutil-2.5.so
b762c000-b762d000 r-xp 00001000 fe:02 34881858 /lib/libutil-2.5.so
b762d000-b762e000 rwxp 00002000 fe:02 34881858 /lib/libutil-2.5.so
b762e000-b7637000 r-xp 00000000 fe:02 34881848 /lib/libcrypt-2.5.so
b7637000-b7638000 r-xp 00008000 fe:02 34881848 /lib/libcrypt-2.5.so
b7638000-b7639000 rwxp 00009000 fe:02 34881848 /lib/libcrypt-2.5.so
b7639000-b7660000 rwxp 00000000 00:00 0
b7660000-b7687000 r-xp 00000000 fe:02 34881782 /lib/libm-2.5.so
b7687000-b7688000 r-xp 00026000 fe:02 34881782 /lib/libm-2.5.so
b7688000-b7689000 rwxp 00027000 fe:02 34881782 /lib/libm-2.5.so
b7689000-b768c000 r-xp 00000000 fe:02 34881875 /lib/libdl-2.5.so
b768c000-b768d000 r-xp 00002000 fe:02 34881875 /lib/libdl-2.5.so
b768d000-b768e000 rwxp 00003000 fe:02 34881875 /lib/libdl-2.5.so
b768e000-b76a3000 r-xp 00000000 fe:02 34881841 /lib/libnsl-2.5.so
b76a3000-b76a4000 r-xp 00014000 fe:02 34881841 /lib/libnsl-2.5.so
b76a4000-b76a5000 rwxp 00015000 fe:02 34881841 /lib/libnsl-2.5.so
b76a5000-b76a7000 rwxp 00000000 00:00 0
b76aa000-b76ae000 r-xp 00000000 fe:02 35161225 /usr/local/lib/perl5/5.8.8/i686-linux/auto/Socket/Socket.so
b76ae000-b76af000 rwxp 00003000 fe:02 35161225 /usr/local/lib/perl5/5.8.8/i686-linux/auto/Socket/Socket.so
b76af000-b7780000 r-xp 00000000 fe:02 35161582 /usr/local/lib/perl5/5.8.8/i686-linux/CORE/libperl.so
b7780000-b7785000 rwxp 000d0000 fe:02 35161582 /usr/local/lib/perl5/5.8.8/i686-linux/CORE/libperl.so
b7785000-b7789000 rwxp 00000000 00:00 0
b7789000-b77a4000 r-xp 00000000 fe:02 34881828 /lib/ld-2.5.so
b77a4000-b77a5000 r-xp 0001a000 fe:02 34881828 /lib/ld-2.5.so
b77a5000-b77a6000 rwxp 0001b000 fe:02 34881828 /lib/ld-2.5.so
bfc57000-bfc85000 rw-p 00000000 00:00 0 [stack]