Удалить майнер

arround, Радость не php файл, всё больше не скажу:)

Я помню, что четвертый ломали через файл-менеджер

как насчет, просто пока не дождался своей очереди? (ну, чисто как один из вариантов)

Ну не исключаю и такого. Отчасти поэтому собсно и хотелось узнать признаки - чтобы быстрее среагировать, если что.

Но, при всём уважении к kxk, пока эти заявления выглядят просто голословными. Ладно методы взлома раскрывать не нужно - тут я согласен полностью. Но скрывать результат взлома.. Смешно как-то, чесслово.

SeVlad, Я незанимаюсь обучением безопасности серверов, на тех серверах что я видел вирус работал в приделах домашней директории и нетолько, но это не php файлы.

Как они работают и что они делают, а тем более как они пролезли мне понятно, но раскрывать эту информацию я небуду ибо с большой долей вероятности взломщики среднего уровня не вчера включившие компьютер смогут это повторить и может пойти волна взломов.

Вообще-то второе утверждение довольно сильно дополняет то, что сказано в первом утверждении. Если есть полная ясность в путях проникновения, то дырка уже не "какая-то", а вполне конкретная. И Вам нужно срочно бежать за премией от разрабов ISP. ☝

Sitealert, Во всех случаях что ко мне обращались за удалением майнера была 5я исп и да у меня возникло не беспричинное беспокойство на этот счёт, в плане её взлома, с другими панелями таких майнеров гостей я невидел, не исключаю что возможно каким то магическим образом настроить сервер с исп чтобы его небрали майнеры, но это время и закрытие одной дыры в продукте с закрытым кодом неможет гарантировать что нет другой дыры в коде самого продукта.

Также ко мне неоднократно обращался постоянный клиент что его сайты на весьма защищённом Yii2 также ломали при использовании панели исп5 я так понимаю с заливкой бекдора, правда конкретно выяснить в его случае неудалось, сервера без ipkvm (уточню что его сервера без поддержки и мониторинга).

После перехода на иную панель его сайты как отшептали, уточню что у него очень высоко конкурентная ниша и да, он игнорирует любые "мешатели работы сайтов" вроде OTP и тп, так зачем платить лишние деньги и тратить время на ввод "бессмысленных кодов".

На своих серверах я давно неиспользую Isp Manager и несоветую этого делать клиентам, пользуюсь vm manager их, пока каких-либо массовых проблем с ней мне неизвестно, станет известно сменю панель.

Ну блин. Ну что ты за детсад тут развёл? Или за школьников держишь?

По признакам (результатам работы) никакие "взломщики" ни "среднего уровня", ни даже супер профи НЕ "смогут это повторить". Зато помогут юзерам своевременно обнаружить взлом.

Насколько я помню по прошлым уязвимостям ISP, проблемы там возникали из-за того, что панель работает с правами рута, полно файлов с правами rws, и что внутри этих файлов - никто не знает. Для эксплуатации уязвимостей запускалась командная строка с определёнными параметрами - и вуаля, дверцы открываются. Выявить скрытые возможности программы можно путём скрупулёзного дебаггинга бинарных файлов библиотеки этой панели, чем взломщики средней руки едва ли будут заниматься. А людям посерьёзней открытия типа "я обнаружил bash-файл в каталоге /tmp" едва ли помогут или помешают.

Я многое понимаю, но НЕ понимаю как можно ломануть пользователя в котором только пустая папка домена ??? ( нет ни вп, ничего ( пусто))

И залить туда майнинг скрипт ? как так ?

склоняюсь к любителю тайн, что дырка в исп...

сегодня снова обнаружил скрипт на втором сервере у сайта на хтмл... у него нет плагинов и тем... как так ?

kxk можно хостеру предъявить вину что он подсунул дырявую исп и я щас мучаюсь чищу 1000+ сайтов ?