Per chi ha accesso al server, ecco lo script per disattivare il dominio prima che succedano dei casini e per così chiudere la porta in faccia a chi prova così "gentilmente" ad entrare.
Con lo script installato in ajax.php o cron.php riescono poi a registrarsi e fare altre modifiche. Stavolta il trucco con la data dei file non funziona, perché loro impostano la data all'originale. Però, chi fa dei backup regolari trova comunque molto in fretta tutte le modifiche
Codice:
#!/bin/sh
domain=vbulletin.it
function control_c
{
exit 0
}
# Trap keyboard interrupt (control-c)
trap control_c SIGINT
while [ 1 ]
do
/usr/bin/inotifywait -e close_write -qq /var/www/$domain/htdocs/ajax.php
# Check if file was modified
if [ $? -eq 0 ]
then
# disable site
a2dissite $domain
/etc/init.d/apache2 reload
# email me
emailfile=/tmp/myemail.email
echo "Subject: $domain hacked" > $emailfile
echo "From: bounce@$domain" >> $emailfile
echo "To: info@$domain" >> $emailfile
echo "" >> $emailfile
echo "Automated message. An important file was changed. The site was put down to avoid further damage." >> $emailfile
sendmail -f bounce@$domain < $emailfile
rm $emailfile
fi
done
exit 0
Codice:
#!/bin/sh dst=/tmp/spammers.lst # List spammer IP's mysql -uroot -ppassword -Ddatabase -e "SELECT DISTINCT s.host FROM session s LEFT JOIN user u ON s.userid=u.userid WHERE u.usergroupid=15" > $dst for i in `cat $dst` do [ "$i" = "host" ] && continue /sbin/shorewall drop $i mysql -uroot -ppassword -Ddatabase -e "DELETE FROM session WHERE host='$i'" done rm $dst exit 0
Sezioni
Messaggio vBulletin