PDA

Bekijk Volledige Versie : Public_html folder na een tijdje automatisch op permissie 411 gezet, oorzaak?



rinus82
03/01/11, 12:37
Ik heb een paar websites draaien op een dedicated server met direct admin.

Alle public_html folders van mijn websites hebben standaard de permission 750Bij een enkele website wordt na een tijdje de public_html folder voortdurend naar 411 gezet, waardoor de website niet meer te bereiken is.

Heeft iemand een idee wat de oorzaak hiervan kan zijn?
Ik ben bang dat de oorzaak van een hacker afkomstig is, zoja zou ik deze dan
kunnen opsporen of zijn acties voorkomen.

Bij voorbaat dank voor reacties

Piwi-Web
03/01/11, 12:43
Heb je de logs al bekeken?

rinus82
03/01/11, 14:26
Ja ik heb de logs net bekeken.Ik heb er niet heel veel verstand van maar:
het ip startend met 207.46.13 vertrouw ik niet helemaal

65.55.3.136 - - [01/Jan/2011:15:47:28 +0100] "GET /robots.txt HTTP/1.1" 404 491 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:28 +0100] "GET / HTTP/1.1" 500 233 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:30 +0100] "GET /robots.txt HTTP/1.1" 404 491 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:30 +0100] "GET / HTTP/1.1" 500 233 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
123.125.71.97 - - [01/Jan/2011:17:10:29 +0100] "GET /images/headerImage.jpg HTTP/1.1" 404 507 "-" "Baiduspider-image+(+http://www.baidu.com/search/spider.htm)"
207.46.199.39 - - [01/Jan/2011:20:24:01 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:20:28:12 +0100] "GET / HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:20:45:42 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
95.108.154.252 - - [01/Jan/2011:21:10:25 +0100] "GET /backend/upload/viewimages.php HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
207.46.199.39 - - [01/Jan/2011:21:45:43 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:21:46 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:22:43 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:27:41 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:23:30:43 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:23:45:47 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"



Ik hou sinds vandaag ook een eigen logfile op ip adresse bij

De eerste vreemde is:
January 3, 2011, 12:12 pm: 207.46.13.95

Piwi-Web
03/01/11, 14:29
'bingbot' is de zoekmachine van Microsoft. Niets vreemds aan ;)

Aan die logs hebben we in ieder geval niets. Als je permissies zijn gewijzigd zou je daar een log entry van moeten vinden. Zoek op chmod binnen je logs

rinus82
03/01/11, 14:29
ik heb ook het idee dat mijn deleteimages en deletefiles phpfiles misschien worden gemanipuleerd omdat daar een chmod en unlink wordt uitgevoerd naar een specifiek bestand of plaatje om deze van de server te veranderen. Is dat mogelijk?

Piwi-Web
03/01/11, 14:33
ik heb ook het idee dat mijn deleteimages en deletefiles phpfiles misschien worden gemanipuleerd omdat daar een chmod en unlink wordt uitgevoerd naar een specifiek bestand of plaatje om deze van de server te veranderen. Is dat mogelijk?

Of het script is gewoon niet goed ;)
Wil je het zeker weten moet je dat gedeelte hier even posten

rinus82
03/01/11, 14:38
Ja het is misschien wat te simpel opgezet en kwetsbaar...

$file = $_GET[name];
chmod ("../../" . $file, 777);
unlink("../../" . $file);

tjvb
03/01/11, 14:42
Gebruik bij je chmod eens 0777. Je moet octaal gebruiken. Al is het wel raar om je public_html te chmodden.

rinus82
03/01/11, 14:45
ook ga ik doen , er komt nog even een klant weer tussen en zet dit stukje script even tussen comments, bedankt alvast! ik hoop dat dat het is

Aar
03/01/11, 15:31
Gebruik bij je chmod eens 0777. Je moet octaal gebruiken. Al is het wel raar om je public_html te chmodden.

Wat is het verschil tussen 0777 en 777 dan?
het feit dat het 'evil' is is mij wel duidelijk, maar die voorloopnul dan?

Daan__
03/01/11, 15:40
http://nl2.php.net/manual/en/function.chmod.php

Staat alles op :)

Piwi-Web
03/01/11, 16:03
Als $file leeg is denk ik dat je een probleem hebt... Al kan ik dat niet met 100 % zekerheid zeggen. Zo'n scripts zijn uit den boze en wil je echt niet hebben! Komen enkel problemen van ...

Yourwebhoster
03/01/11, 16:50
Waarom installeer je niet mod_ruid? Dan hoef je niet met permissies te klooien en heb je niet dat eigen chmod script nodig. Overigens kan ik dit reproduceren als ik "777" (string) invoer en niet 777 (int) bij de chmod functie. Maar, enkel bij het bestand dat ik bewerk.
Wat er gebeurt is dat het script uitgevoerd word op de public_html als je de name leeg laat, voeg controle toe aan het script, zoals


if(isset($_GET['name']) && $_GET['name'] != ''){
$file = $_GET[name];
if(file_exists($file)){
chmod ("../../" . $file, 0777);
unlink("../../" . $file);
}
}


@piwi, een chmod zal je niet in de logs terug vinden.

Exit: waarom trouwens een file chmodden en vervolgens verwijderen?

tjvb
03/01/11, 17:01
Wat is het verschil tussen 0777 en 777 dan?
het feit dat het 'evil' is is mij wel duidelijk, maar die voorloopnul dan?
bron: http://php.net/chmod
Note that mode is not automatically assumed to be an octal value, so strings (such as "g+w") will not work properly. To ensure the expected operation, you need to prefix mode with a zero (0):

chmod("/somedir/somefile", 755); // decimal; probably incorrect
chmod("/somedir/somefile", "u+rwx,go+rx"); // string; incorrect
chmod("/somedir/somefile", 0755); // octal; correct value of mode