Bekijk Volledige Versie : Public_html folder na een tijdje automatisch op permissie 411 gezet, oorzaak?
Ik heb een paar websites draaien op een dedicated server met direct admin.
Alle public_html folders van mijn websites hebben standaard de permission 750Bij een enkele website wordt na een tijdje de public_html folder voortdurend naar 411 gezet, waardoor de website niet meer te bereiken is.
Heeft iemand een idee wat de oorzaak hiervan kan zijn?
Ik ben bang dat de oorzaak van een hacker afkomstig is, zoja zou ik deze dan
kunnen opsporen of zijn acties voorkomen.
Bij voorbaat dank voor reacties
Heb je de logs al bekeken?
Ja ik heb de logs net bekeken.Ik heb er niet heel veel verstand van maar:
het ip startend met 207.46.13 vertrouw ik niet helemaal
65.55.3.136 - - [01/Jan/2011:15:47:28 +0100] "GET /robots.txt HTTP/1.1" 404 491 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:28 +0100] "GET / HTTP/1.1" 500 233 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:30 +0100] "GET /robots.txt HTTP/1.1" 404 491 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
65.55.3.136 - - [01/Jan/2011:15:47:30 +0100] "GET / HTTP/1.1" 500 233 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)._"
123.125.71.97 - - [01/Jan/2011:17:10:29 +0100] "GET /images/headerImage.jpg HTTP/1.1" 404 507 "-" "Baiduspider-image+(+http://www.baidu.com/search/spider.htm)"
207.46.199.39 - - [01/Jan/2011:20:24:01 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:20:28:12 +0100] "GET / HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:20:45:42 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
95.108.154.252 - - [01/Jan/2011:21:10:25 +0100] "GET /backend/upload/viewimages.php HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
207.46.199.39 - - [01/Jan/2011:21:45:43 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:21:46 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:22:43 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.1" 500 233 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:22:27:41 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.13.133 - - [01/Jan/2011:23:30:43 +0100] "GET /adminwerkgever/voorwaardenwva HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
207.46.199.39 - - [01/Jan/2011:23:45:47 +0100] "GET / HTTP/1.0" 500 188 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
Ik hou sinds vandaag ook een eigen logfile op ip adresse bij
De eerste vreemde is:
January 3, 2011, 12:12 pm: 207.46.13.95
'bingbot' is de zoekmachine van Microsoft. Niets vreemds aan ;)
Aan die logs hebben we in ieder geval niets. Als je permissies zijn gewijzigd zou je daar een log entry van moeten vinden. Zoek op chmod binnen je logs
ik heb ook het idee dat mijn deleteimages en deletefiles phpfiles misschien worden gemanipuleerd omdat daar een chmod en unlink wordt uitgevoerd naar een specifiek bestand of plaatje om deze van de server te veranderen. Is dat mogelijk?
ik heb ook het idee dat mijn deleteimages en deletefiles phpfiles misschien worden gemanipuleerd omdat daar een chmod en unlink wordt uitgevoerd naar een specifiek bestand of plaatje om deze van de server te veranderen. Is dat mogelijk?
Of het script is gewoon niet goed ;)
Wil je het zeker weten moet je dat gedeelte hier even posten
Ja het is misschien wat te simpel opgezet en kwetsbaar...
$file = $_GET[name];
chmod ("../../" . $file, 777);
unlink("../../" . $file);
Gebruik bij je chmod eens 0777. Je moet octaal gebruiken. Al is het wel raar om je public_html te chmodden.
ook ga ik doen , er komt nog even een klant weer tussen en zet dit stukje script even tussen comments, bedankt alvast! ik hoop dat dat het is
Gebruik bij je chmod eens 0777. Je moet octaal gebruiken. Al is het wel raar om je public_html te chmodden.
Wat is het verschil tussen 0777 en 777 dan?
het feit dat het 'evil' is is mij wel duidelijk, maar die voorloopnul dan?
http://nl2.php.net/manual/en/function.chmod.php
Staat alles op :)
Als $file leeg is denk ik dat je een probleem hebt... Al kan ik dat niet met 100 % zekerheid zeggen. Zo'n scripts zijn uit den boze en wil je echt niet hebben! Komen enkel problemen van ...
Yourwebhoster
03/01/11, 15:50
Waarom installeer je niet mod_ruid? Dan hoef je niet met permissies te klooien en heb je niet dat eigen chmod script nodig. Overigens kan ik dit reproduceren als ik "777" (string) invoer en niet 777 (int) bij de chmod functie. Maar, enkel bij het bestand dat ik bewerk.
Wat er gebeurt is dat het script uitgevoerd word op de public_html als je de name leeg laat, voeg controle toe aan het script, zoals
if(isset($_GET['name']) && $_GET['name'] != ''){
$file = $_GET[name];
if(file_exists($file)){
chmod ("../../" . $file, 0777);
unlink("../../" . $file);
}
}
@piwi, een chmod zal je niet in de logs terug vinden.
Exit: waarom trouwens een file chmodden en vervolgens verwijderen?
Wat is het verschil tussen 0777 en 777 dan?
het feit dat het 'evil' is is mij wel duidelijk, maar die voorloopnul dan?
bron: http://php.net/chmod
Note that mode is not automatically assumed to be an octal value, so strings (such as "g+w") will not work properly. To ensure the expected operation, you need to prefix mode with a zero (0):
chmod("/somedir/somefile", 755); // decimal; probably incorrect
chmod("/somedir/somefile", "u+rwx,go+rx"); // string; incorrect
chmod("/somedir/somefile", 0755); // octal; correct value of mode