- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем добрый день!
Взломали 2 сайта на MODx. По разным папкам cms накидали вирусов и шеллов. Удаляю их.
Но в папке assets/cache они сразу восстанавливаются. Достаточно перейти ftp клиентом в другую директорию и вернуться, они снова здесь.
Может кто подскажет, откуда у них могут ноги расти?
and2005, скорее всего по крону восстанавливаются. Проверьте crontab'ы пользователей:
for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
Если будет что подозрительное, то:
su пользователь
crontab -e
Ещё вариант: где-то есть инъект в файлах сайтах. Стоит пользователю войти на сайт, он дергает код, который проверяет присутствие файлов и восстанавливает их, если их нет.
В качестве временного фикса можете сами создать эти файлы пустыми и выставить запрещающие права. Вирус не сможет их пересоздать.
Если есть доступ к логам, смотрите в логах, кто их создает.
Спасибо, буду разбираться
Спасибо, буду разбираться
Для начала нужно закрыть доступ к сайту для всех, кроме себя.
Стоит пользователю войти на сайт, он дергает код, который проверяет присутствие файлов и восстанавливает их, если их нет.
...
Если есть доступ к логам, смотрите в логах, кто их создает.
Из первой части вытекает ответ на вторую часть: их создаёт сам сайт (точнее, юзер, с правами которого работает веб-сервер).
Если я не ошибаюсь, то в папке assets/cache в MODx лежат файлы, которые MODx генерит из базы данных.
Соответственно, если прописать вредоносный код в базу, то он и будет автоматом попадать в эти файлы. Так что стоит проверить такой вариант.
Если я не ошибаюсь, то в папке assets/cache в MODx лежат файлы, которые MODx генерит из базы данных.
Соответственно, если прописать вредоносный код в базу, то он и будет автоматом попадать в эти файлы. Так что стоит проверить такой вариант.
Сейчас вроде бы не появляются, Айболит не находит, и никаких проявлений зараженности не замечаю.
Надеюсь, что дело не в базе, а в каком-то файле, который удалил.
Надо было ещё и причину взлома найти. На всякий случай проверьте, пишутся ли логи на сервере. Понадобятся, когда в следующий раз взломают.
Посмотрите под каким юзером созданы, будет первый ключ к разгадке, что сломали
Надо было ещё и причину взлома найти. На всякий случай проверьте, пишутся ли логи на сервере. Понадобятся, когда в следующий раз взломают.
Думаю на плагин Ajax Search, в нем как раз недавно была обнаружена уязвимость.
Посмотрите под каким юзером созданы, будет первый ключ к разгадке, что сломали
Не знаю, можно ли это посмотреть, ведь создавались файлы в системных каталогах cms . Правда, был файл img со вставкой в середине, но я его уже изменил сам.