Ситуация такая, шаред хостинг. В папках сайтов - как по расписанию появляться каждое утро по 10 шеллов - от Shell by oRb. Интересно то что они даже появляються в папках где у сайта домена - 1 страница php Просто на автомате закачиваются - судя по логам секунд за 10. я их конечно удаляю сразу. Но причину найти не могу. Есть доступ к php.ini и к .htaccess в php.ini поставил safe_mode = On disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname allow_url_fopen = Off В скриптах дыр не было, есть подозрение - все началось как php.ini вынес в директорию одного сайта. Вот думаю может кто просто информацию узнал и как то ломает. Как можно запретить шеллу создавать файлы во всех папках сайта кроме например одной cache (в которой запретить php) Так же читал что можно через mysql как то создавать файлы. Как закрыть эту возможность? В оригинале хотелось бы чтобы те файлы что залиты через фтп нельзя было редактировать ничем кроме как от имени ftp клиента. Панель Cpanel Просто странная беда, аналогичные хостинги при прочих равных условиях никогда не были взломаны. А тут прям беда какая то. Вот думаю может что с настройками php.ini не так. Помогите советом пожалуйста что можно сделать еще для профилактики.
; Magic quotes for incoming GET/POST/Cookie data. ;magic_quotes_gpc = Off ; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. ;magic_quotes_runtime = Off ; Use Sybase-style magic quotes (escape ' with '' instead of \'). ;magic_quotes_sybase = Off и Magic quotes лучше включить?
Выставить права на файлы и папки должным образом. Сменить пароль от FTP. Поискать уязвимость самому. Посмотреть задания добавленные в крон. На шаред хостингах обычно прав для работы с файлами через MySQL нет.
Вы так же можете установить mod_security тогда половина хакерских примочек отвалиться но все равно если кому сильно захочется он сможет найти решение.
вообще если всё настроено правильно, то на apache2-mpm-itk + mod_security, даже без chroot, шелы не дают ничего путного.. пробовал по ftp заливать wso, r57shell, c99madshell.. кстати wso в отличии от r57 вообще отказался работать =))
