Как шелл попал на сервер?

Question

Вячеслав Шевченко @WebDev2030

Битриксоид до мозга и костей

Как шелл попал на сервер?

Всем привет.
У нас на сервер попал шелл, который подключил во все файлы index php какой-то файл. Сайт сделан на bitrix и подключаемый файл лежал в папке upload.
Я предполагаю что файл был загружен просто напросто формой.

Вопрос задан более трёх лет назад
475 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

1С-Битрикс

Средний
Как сгенерировать URL для фильтра в списке пользователей (админка)?
- 1 подписчик
- 10 часов назад
- 18 просмотров
1

ответ
1С-Битрикс

Простой
Что за файл index@.html в Битрикс?
- 1 подписчик
- 14 часов назад
- 30 просмотров
1

ответ
1С-Битрикс

Простой
Как правильно добавить файл в агенты?
- 1 подписчик
- 16 часов назад
- 13 просмотров
0

ответов
1С-Битрикс

Простой
Почему Loader::includeModule() не видит модуль?
- 1 подписчик
- 18 часов назад
- 33 просмотра
1

ответ
1С-Битрикс

Простой
Почему не дергает с массива перевод месяца в битриксе?
- 1 подписчик
- 18 часов назад
- 17 просмотров
1

ответ
1С-Битрикс

Простой
Как сделать следующую структуру URL в битрикс?
- 1 подписчик
- 23 часа назад
- 27 просмотров
1

ответ
1С-Битрикс

Простой
Почему страницы раздела перенаправляет на 404?
- 1 подписчик
- вчера
- 31 просмотр
1

ответ
Python

+2 ещё

Простой
Срабатывает антивирус на скомпилированный файл python, как исправить?
- 1 подписчик
- 22 апр.
- 202 просмотра
1

ответ
1С-Битрикс

+1 ещё

Простой
Внёс изменения в шаблон компонента, но изменения отображаются только когда проверяю их через админку, как это исправить?
- 1 подписчик
- 19 апр.
- 46 просмотров
1

ответ
1С-Битрикс

Простой
Как вывести основной раздел инфоблока и его элементы?
- 1 подписчик
- 18 апр.
- 51 просмотр
1

ответ
Показать ещё Загружается…

Инженер-программист 1С

Ай-Пласт

от 170 000 ₽

Аналитик 1С / Системный аналитик 1С / Функциональный аналитик 1С

Максавит • Нижний Новгород

До 250 000 ₽

Разработчик 1С

CRAFTER

от 190 000 ₽

Разработать HLTV HUD для стрима CS 1.6

25 апр. 2024, в 08:02

2500 руб./за проект

Вычислить размер объекта по карте глубин

25 апр. 2024, в 07:37

5000 руб./за проект

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Answer 1 · 2018-02-10 09:57:45

Проверить установлен ли и работает корректно fail2ban
Добавить нового пользователя с правами root, пользователю root заблокировать доступ
Изменить все пароли.
Проверить права на директории.
В директории с файлами картинок добавить файл .htaccess с правилами отключающими PHP в данном каталоге, а все скрипты отображающими как HTML.

Например:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Установить mod_security и активировать необходимые правила. (попутно можно добавить mod_evasive - лишним не будет)

Answer 2 · 2018-02-10 08:31:40

Неправильно предполагаете. Скорее всего:
1) Подобран пароль к ФТП
2) Подобран пароль к SSH
3) Подобрали пароль к админке
4) Загрузили файл в папку загрузки картинок например

Answer 3 · 2020-12-16 21:47:42

Использовать auditd, чтобы знать откуда появился Шелл и кто модифицирует файлы. Логи аудита хранить как можно дольше.
В данной ситуации, чтобы узнать откуда шелл, скорее всего придется гадать на кофейной гуще и искать по логам веб-сервера по дате модификации файла шелла.

Как шелл попал на сервер?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт