Query w eval (debug: /*check query*/ ): UPDATE traders SET similarweb_info

[admin]

те на серваке лежит сам файл с шелом на каком то из доменов?

Да, нашел в /scj/cgi -т.к. это единственная папка которая не закрыта htaccess
только не знаю когда пролили, не трогал сайты и админки вообще с конца прошлого года. Дата файла январь 22, но сам знаешь, что через touch можно все что угодно сделать. А логов нет за то время, так что сказать о том, что через смарт залили или нет, не могу, но юзер и группа файла - чисто те, что под смарт используются. Хрен знает короче, гемора прибыло ))

в home написало ж что есть левые файлы?
может это стоит сделать что б слало на емыл?

плюс если от юзера созданы = это не с веба создан файл
или настроено что веб работает от имени юзера?

[darkover]

те на серваке лежит сам файл с шелом на каком то из доменов?

Да, нашел в /scj/cgi -т.к. это единственная папка которая не закрыта htaccess
только не знаю когда пролили, не трогал сайты и админки вообще с конца прошлого года. Дата файла январь 22, но сам знаешь, что через touch можно все что угодно сделать. А логов нет за то время, так что сказать о том, что через смарт залили или нет, не могу, но юзер и группа файла - чисто те, что под смарт используются. Хрен знает короче, гемора прибыло ))

в home написало ж что есть левые файлы?
может это стоит сделать что б слало на емыл?

плюс если от юзера созданы = это не с веба создан файл
или настроено что веб работает от имени юзера?

Да, в home написало, что есть левый файл, так и обнаружил.
группа www:мой_юзер, это создано с веба.

[admin]

те мой юзер в группе www?

те суть в том что cgi открыт на запись только для овнера (755)
если там появился - значит процесс был запущен от юзера

те или не 755 стояло (тогда писало бы про это)
или настроено так что юзер и www в оной группе, что конечно криво

и как всегда оставляю %% на то что я что то не понял

[darkover]

те мой юзер в группе www?

те суть в том что cgi открыт на запись только для овнера (755)
если там появился - значит процесс был запущен от юзера

те или не 755 стояло (тогда писало бы про это)
или настроено так что юзер и www в оной группе, что конечно криво

и как всегда оставляю %% на то что я что то не понял

вот смотрю сейчас, /scj/cgi 755
user_name:user_name

файл шела
064
www-data( nginx ):user_name

смотрю конфиг nginx, там прописано работать от www-data.

смотрю конфиг php
user = user_name
group = www-data

listen.owner = user_name
listen.group = www-data
listen.mode = 0660

Короче фиг знает
на /scj/ стоят права 0775

Если будут какие-то рекомендации, то я внимательно выслушаю, админов нет.

[admin]

если реально стояло 755 на каталоге cgi то туда мог писать только юзер

и файл создан от юзера значит и выполнялся от него

если нету $config['allow_eval'] то вариантов от скрипта выполниться нет, значит сломали какой то доступ на сервак

[darkover]

если реально стояло 755 на каталоге cgi то туда мог писать только юзер

и файл создан от юзера значит и выполнялся от него

если нету $config['allow_eval'] то вариантов от скрипта выполниться нет, значит сломали какой то доступ на сервак

Да стоит реально 755 на /scj/cgi и user_name:user_name, пролитый файл www-data:user_name
$config['allow_eval'] нету, не пользовался никогда вообще. Доступ до серверов только через ключи, логинов каких-то и ftp нет.
Ладно, буду искать дырку, найду отпишу.
ps смарт не обвиняю )

[Axcel]

Вопрос, как правильно закрыть /scj/cgi/ htaccess-ом?
Ну и, может, по умолчанию это сделать в новых инсталлах?

[admin]

если реально стояло 755 на каталоге cgi то туда мог писать только юзер

и файл создан от юзера значит и выполнялся от него

если нету $config['allow_eval'] то вариантов от скрипта выполниться нет, значит сломали какой то доступ на сервак

Да стоит реально 755 на /scj/cgi и user_name:user_name, пролитый файл www-data:user_name
$config['allow_eval'] нету, не пользовался никогда вообще. Доступ до серверов только через ключи, логинов каких-то и ftp нет.
Ладно, буду искать дырку, найду отпишу.
ps смарт не обвиняю )

ок, если будут идеи что я могу со своей стороны добавить то дайте знать

[admin]

Вопрос, как правильно закрыть /scj/cgi/ htaccess-ом?
Ну и, может, по умолчанию это сделать в новых инсталлах?

закрыть от чего?

просто от всех запросов

deny from all

только не ясно чего вы хотите этим добиться ...

[Axcel]

отлично, спасибо, это просто пытаются ломать через подскановку разного в строку поиска, если у вас в темпелйте нет вывода переменных без эскейпа то никаких проблем не будет.

если будут еще такого плана сообщения то дайте знать плз

а можно подробнее, что такое "вывода переменных без эскейпа"?
потому что ко мне сейчас такие ошибки приходят.