@laacz tvītu arhīvs

Interesanti, bet šitie visi laika gaitā atrasti PHP shelli ir skriptkidiju mēsli ar GUI. Botnetam jau vajag ko smalkāku.

@laacz labāk pastāsti kā viņi pie tevis tiek iekšā/kā meklē. Daudziem no mums kaut kādi serverīši, kur varbūt tādi labumi.

@Endijs Šis konkrētais gadījums bija caur wordpresu (username/pass uzminēti, šķiet).

@Endijs a) Antivīruss. Izklausās smieklīgi, bet reizi 24h vismaz noskanē serveri pret vīrusiem. Piemēram, clamav. Čeko arī backdōrus utt.

@Endijs 2) Monitorē palaižamus failus (gan u+x, gan skriptus - php, inc, utt), kuru owneris ir www-data. Pietiek sūtīt Δ 1x24h uz meilu.

@Endijs 3) Monitorē skriptus, kuros overjūzoti base64_decode, utt. Tas ir populāri.

@Endijs 4) Domā par drošību (drošas paroles, maz iespēju kaut ko uzuploadēt, jaunākās webappu versijas, utt).

@Endijs 5) Ja ir breach, NOTEIKTI jāatrod - kas pie vainas. Pretējā gadījumā tas atkārtosies.

@laacz @Endijs Klau, Lāci, tu kādus spraudņus bez Jetpack stādi virsū wordpresiem? Es nedomāju neko specifisku, in general.

@Endijs Un pirmais keiss bija https://gist.github.com/laacz/5387180, kuru devs pats bija uzlicis (owneris - ftp useris).

@mrserge @Endijs Man jau vōrdpress principā viens :)

@laacz tas bija tas spama sūtītājs?

@laacz @Endijs jautājuma būtību tu saprati, he he.

@Endijs Jep. Jamais principā execo jebko, ko viņam owneris padod. Proper botnets.

@mrserge @Endijs Nu, ja neskaita 'lcz stuff', tad vēl jetpack, akismet, pubsubhubbub, share a draft, subscribe to comments

@laacz @Endijs tas viens jocīgais nosaukums būs jāpapēta, pārējie laikam zināmi.

@mrserge @Endijs Nu, man lielākā daļa stafa (ieskaitot markdown postēšanu) ir pašrakstīta.

@emilslv @Endijs Jāpārraksta, lai nav kauns :) Tad jā.