Где искать заразу?

NM
На сайте с 18.02.2011
Offline
184
1292

Всем привет.

Пришла жалоба от хостера на вредоносную активность с сервера. Отчет с логами по ссылке.

http://bitninja.io/incidentReport.php?details=21ebad09e6aa946cf8?utm_source=incident&utm_content=publicpage

По данным логам, как я понял, нельзя определить какой из сайтов (на сервере их более 20) является источником. Кстати, что именно делают через эту  "дыру". И откуда логичнее было бы начать поиски? Возможно есть какие-то второстепенные признаки. Например, похоже, что заражен сайт на определенной CMS или что-то еще... 

Буду благодарен любым подсказкам.

 

https://clck.ru/37jxNm пытаюсь здесь отбить просадку в РСЯ Распродажа сайтов https://docs.google.com/spreadsheets/d/1m63GJQUZMrrhTxT2aoAQBX_722Kte2PfvTQEON_SgGE/
SeVlad
На сайте с 03.11.2008
Offline
1609
#1
NewMoneyMaker :
По данным логам, как я понял, нельзя определить какой из сайтов (на сервере их более 20) является источником.

Если сайты не изолированы, то скорее всего все.

NewMoneyMaker :
И откуда логичнее было бы начать поиски?
С закреплённого в разделе топика. В частности пост №9. Но никакое лечение не поможет, если сайты используют дырявые компоненты и/или хостинг дырявый.


NewMoneyMaker :
Отчет с логами по ссылке.

Данунафик эти капчи разгадывать...

Общая тема о борьбе с шеллами и вирусами на сайте - Безопасность - Сайтостроение - Форум об интернет-маркетинге
Общая тема о борьбе с шеллами и вирусами на сайте - Безопасность - Сайтостроение - Форум об интернет-маркетинге
  • 2020.11.27
  • searchengines.guru
Еще раз коротко - что делать для защиты ваших сайтов: 1. изоляция сайтов (один сайт - один эккаунт) 2...
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
S
На сайте с 30.09.2016
Offline
469
#2
NewMoneyMaker :

Пришла жалоба от хостера на вредоносную активность с сервера.

Со сторонего сервера.

NewMoneyMaker :

По данным логам, как я понял, нельзя определить какой из сайтов (на сервере их более 20) является источником. 

Тот IP, который указан в заголовке соообщения.

NewMoneyMaker :

Кстати, что именно делают через эту  "дыру".

Пытаются  взломать сайты.  И не факт, что там есть дыра.

NewMoneyMaker :

И откуда логичнее было бы начать поиски?

С проверки ответов на соответствующие запросы и анализа запрашиваемых файлов.

И забанить этот IP.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Delysid
На сайте с 27.05.2019
Offline
207
#3
NewMoneyMaker :

Всем привет.

Пришла жалоба от хостера на вредоносную активность с сервера. Отчет с логами по ссылке.

http://bitninja.io/incidentReport.php?details=21ebad09e6aa946cf8?utm_source=incident&utm_content=publicpage

По данным логам, как я понял, нельзя определить какой из сайтов (на сервере их более 20) является источником. Кстати, что именно делают через эту  "дыру". И откуда логичнее было бы начать поиски? Возможно есть какие-то второстепенные признаки. Например, похоже, что заражен сайт на определенной CMS или что-то еще... 

Буду благодарен любым подсказкам.

Да это видать спамер пробовал зарегистрироваться через zennoposter.. Судя по этой строке: 

'Content-Type' => 'application/x-www-form-urlencoded',

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий