Разное

Здравствуйте.

В агентстве недвижимости уволили сисадмина за разглашение конфиденциальной информации (базы клиентов).

Нас попросили поменять пароли (ftp, mysql, хостинг, почта, пароли пользователей сайта), что мы и сделали.

На следующий день сайт стал частично нерабоспособен из-за того, что кто-то удалил db_connect.php и еще пару файлов.

В бэкапе сайта мы нашли удаленные файлы (почему-то там были только они, а не весь сайт), а также файл spy.php, который позволяет получить php-код любого файла.

* Как найти вредителя?
* Можно ли его привлечь к ответственности?

Посмотрел access log апача, там нет записей о том, что кто-то пользовался spy.php

Причем лог за 2 февраля последний раз менялся 3 февраля.

Следов не оставил.

Как же это он умудрился? Хостер логи редактировать не дает.

Нет, все же нашел, когда был загружен spy.php, 6 января, в этот же день с того же ip грузились другие безобидные файлы...

рузились другие безобидные файлы...

Как это - на Ваш сервер кем-то грузились файлы? Каким способом шла загрузка?

>Как это - на Ваш сервер кем-то грузились файлы? Каким способом шла загрузка?

Имеется в виду загружались другие скрипты, которые относятся к сайту, причем совершенно безобидные. Это наводит на подозрение, что админ работал с сайтом и попутно загрузил туда spy.php (в аттаче)

Этот файл был удален вчера.

А что можно с ним сделать? Он позволяет смотреть список файлов, а также их содержимое (в том числе и код php-скриптов).

PS В сайте я не ориентируюсь.

* Вредоносные действия имели место между 17:00 вчерашнего дня (2 февраля) и 9:00 сегодняшнего.

* Запуск этого spy.php нигде в access-логах не зафиксирован.

* Статистика фтп-доступа хостера указывает на то, что spy.php был загружен 6 января этого года. Вместе с ним с того же ip загружались другие файлы сайта. Админ получил расчет 1 февраля.

* Хостер в бэкапы помещает только удаленные или измененные файлы. Я нашел spy.php в бэкапе за 2 февраля.

Только мне показалось, что файл с таким содержимым и именем spy.php сильно смахивает на обманку?

В каком смысле? Он позволяет смотреть php-код скриптов в директории, куда он был загружен. Сам пробовал на сервере. Работает при register_globals = on

Хотя снести файлы этим скриптом конечно же нельзя.

Короче, большая такая картонная коробка с будильником внутри и надписью БОМБА снаружи.
Вы ж понимаете, зачем такие могут оставить? :)

И ежу понятно, что это эксплоит, вот только удалить файлы с помощью его нельзя.

Ну ежу, может и понятно, что эксплойт.
А я не еж - мне представляется, что файл оставлен, чтобы внимание отвлечь от реального трояна, запрятанного поукромнее.
Хотя и этим тоже можно понаблюдать за.

Вам-то зачем эта боль? Вы сисадмин чтоли новый?

Интересно. К тому же я вчера сайт поправил, а какой-то гад его снес :((

Ух ты, что еще нашел!

А в логах сохранились следы того, кто его запускал.

В том файле, код которого Вы привели в Приложении 03.02.2010 в 14:10, лично я не усматриваю никакой опасности. Сомневаюсь, что его вообще можно считать вредоносным.

ИМХО.

с помощью него можно читать файлы, которые снаружи не видны.
Например, файлы с паролями. Или с локальными защитными решениями.