php-cgi.exe переименовывает файлы

[SergKl]

Такая ситуация:
Купили сервер, поставили 2008r2+iis+php+mysql
залили базу и сайт (на joomla + oscommerce)

сначала всё было ничего, но через некоторое время начались ошибки (не найден файл и типа того)
поставили StaffCop
мониторинг показал, что php меняет имена файлов
например:
11:24:36 php-cgi.exe user D:\WWW\***\components\com_oscommerce\includes\configure.php Переименование Новое имя: .configure.po

что делать?
кто сталкивался с таким?
как можно выловить скрипт, который инициирует изменение имени?

 

[baev]

filemon

 

[prolis]

1. Незакрытые дыры в опенсорсных решениях
2. Вирусня на клиентских машинах с доступом к серверу/на самом сервере

 

[Активист]

Не правда.

 

[craz]

.configure.po - расширение то языковое, скорее всего чето хочет погрузить перевод configure

Как выловить... Дебаг чеж еще

 

[SergKl]

.configure.po - это пример. таких файлов набирается иногда с десяток
я и сам думал про дебагер и дырки, но незнаю какой лучше прогой это отловить
впечатление такое, что в какомто файле код прописан, который случайным образом всё это делает

 

[Активист]

Снимите права на запись для пользователя веб сервера, только чтение, в чем проблема та?

Если проблема сохраниться - обновите ОС, проверьте пользователей, AD. Поищите в папках веб сервера всякие страшные файлы в виде rshell и т.п., закройте все папки кроме нужных от веб. доступа (ограничения по IP), отследите коннекты, посмотрите логи доступа веб сервера, get и post запросы.

Не забудте настроить open_base_dir, или вообще запустите PHP в safe_mode

 

[craz]

.configure.po - это пример. таких файлов набирается иногда с десяток
я и сам думал про дебагер и дырки, но незнаю какой лучше прогой это отловить
впечатление такое, что в какомто файле код прописан, который случайным образом всё это делает

есть не офигительная прога!.!.!.! var_dump($WhatThisShit);die();

 

[SergKl]

есть не офигительная прога!.!.!.! var_dump($WhatThisShit);die();

Как Вы это себе представляете?
Сайт работает, формы заказа, поиск ...
но в один прекрастный момент в StaffCop вижу:
19:00:44 php-cgi.exe user D:\WWW\***\components\com_oscommerce\includes\application_bottom.php Переименование Новое имя: .application_bottom.po

 

[Активист]

SergKl
http://phpclub.ru/talk/threads/php-cgi-exe-переименовывает-файлы.66029/#post-585952

 

[SergKl]

Снимите права на запись для пользователя веб сервера, только чтение, в чем проблема та?

права на запись только у Администратор и система
эффекта не дало сейчас оставил только Администратору

 

[SergKl]

SergKl
http://phpclub.ru/talk/threads/php-cgi-exe-переименовывает-файлы.66029/#post-585952

ОС новая, переставляли, все обновления
Пользователей винндос не создавали, АД нет
подозрительных файлов нет, кав_6.0.4.1424 ничего не находит
открыта только папка самого сайта, ограничение по IP невозможно, но по логам - достаточно было мне зайти на сайт и по кнопкам по щёлкать ...

 

[SergKl]

Не забудте настроить open_base_dir, или вообще запустите PHP в safe_mode

про это не уверен ...
работать будет вообще?

 

[Активист]

> права на запись только у Администратор и система
Я дебил что-ли? Если у процессов (System, HTTPD, IIS и етс) нет прав на запись файла/директории, как они могут
а. Менять файлы
б. Переименовывать их.
Этого не может быть по - определению.
Вывод - или вы не правильно делаете смену прав (хотя в виндусе это упрощено до безобразия), либо ваши скрипты меняются пользователем из группы "администраторы".

ЗЫ: KIS и анлогичные не созданы для отлова дыр в скриптах и контролю безопасности.

> работать будет вообще?
Я то откуда знаю? Телепат моде выключен.

 

[fixxxer]

А зачем для джумлы и оскоммерца винда и иис? Если нет навыков администрирования оных, лучше взять линуксовый сервер с панелькой, типа cpanel, и не мучаться.

 

[Активист]

fixxxer
GUI

 

[craz]

Я вам точно говорю там работает какой-то инструмент локализации

19:00:44 php-cgi.exe user D:\WWW\***\components\com_oscommerce\includes\application_bottom.php Переименование Новое имя: .application_bottom.po

Это чушь полная, а не лог.
Почему-то никто не думает, что там логирование через жопу может быть

 

[fixxxer]

Активист
По-моему, современные веб-интерфейсы панелей управления сервером намного проще для понимания. Ладно cpanel, она долбанутая, но чем тот же Plesk не GUI?

 

[Активист]

fixxxer
Plesk - не спорю.
Но я делаю вывод, что автор сделал хостинг сервер на домашней машине из того что было, а то что было - ани кей, что не прокатит с Unix, к тому же плеск денег стоит, и ос поставить надо.

 

[SergKl]

комп брали специально под сервер.
на win -т.к. давно работаю с ними, у меня стоит сервер на нём уже 3 года (сначала 2003 потом 2008r2) работают несколько сайтов и форумов, но такое впервые
kavfs не для отлова дыр, а для защиты от вирусов

Главный вопрос - чем и как логировать работу PHP
тут речь не о тестировании одного скрипта, а полное логирование действий (когда, какой скрипт запущен, что выполнено, какая ошибка и т.д.), чтобы просмотреть "весь список" и исправить.