- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Какая-то гнида ломанула сервер и прописала в index.php всех сайтов, что лежат на сервере вот такую штуку:
Причем по некоторым файлам было видно, что это явно сделано руками.
Когда я первый раз это увидел - поменял все пароли. Не помогло.
Второй раз - увидел в логах что по ssh и по ftp долбятся очень сильно с перебором огромного количества логинов. Но успешных входов вроде бы не было. От греха подальше отключил пока фтп и перенастроил ссш так, чтобы работал только 2й протокол, только для одного юзера только по одному хосту и порту и только с RSA ключом в 2k длинной. И всёравно не помогло. Но уже изгадили не все сайты, а только два.
Кто-то про это что-то знает? Как с этим бороться?
ОС FreeBSD 6.2, ссш - openssh, ftp - proftpd, сервера - апач и nginx сверху, панель - webmin
Смотрите логи апатча, наверное где-то валяется шелл.
Никаких подозрительных файлов не появилось?
в логах апача что именно искать?
Пока подозрительных файлов не находил.
Когда я первый раз это увидел - поменял все пароли. Не помогло.
Второй раз - увидел в логах что по ssh и по ftp долбятся очень сильно с перебором огромного количества логинов. Но успешных входов вроде бы не было.
Раз разломали после отключения ftp/ssh - дыра в веб-скриптах. Внимательно смотреть в лог nginx, причем я бы пожалуй начал с изучения метода POST. Посмотрев предварительно mtime заломаных скриптов, и изучал бы именно это промежуток времени.
Хотя замечу, что несколько раз видел вирус, собирающий с клиентских машин параметры ftp и вкрячивающий везде, куда дотянется, похожий iframe.
Это было первой мыслью. К серверу есть доступ только у меня и у партнера. У нас у обоих в фтп клиентах чертова прорва площадок. Все проверили сразу же - везде пусто. На компьютерах тоже.
PAB, смотрите время изменения файлов, в которые код вносится, после чего смотрите логи апача в этот промежуток времени.
PAB, смотрите время изменения файлов, в которые код вносится, после чего смотрите логи апача в этот промежуток времени.
как-то ничего подозрительного
Подобное скорее не скрипты, а уязвимость в самом сервере, он хоть в обновлённом состоянии поддерживается?
Подобное скорее не скрипты, а уязвимость в самом сервере, он хоть в обновлённом состоянии поддерживается?
весь софт обновляется регулярно, саму ось не обновлял
весь софт обновляется регулярно, саму ось не обновлял
В 6.2 достаточно давно нашли дырку в бинде, но она вообще говоря очень уж сферическая и в ваккуме.
proftpd авторизуется от системных паролей? Если нет - в нем был (и есть?) жук, при некоторых сочетаниях uid и gid оно не заворачивает пользователей в чрут.
И вообще, посмотрите, кто и что у вас там сокеты слушает, может быть уже закладка живет.
Хотя все-таки более вероятна дыра в каком-нибудь вебмине.
В 6.2 достаточно давно нашли дырку в бинде, но она вообще говоря очень уж сферическая и в ваккуме.
proftpd авторизуется от системных паролей? Если нет - в нем был (и есть?) жук, при некоторых сочетаниях uid и gid оно не заворачивает пользователей в чрут.
И вообще, посмотрите, кто и что у вас там сокеты слушает, может быть уже закладка живет.
Хотя все-таки более вероятна дыра в каком-нибудь вебмине.
proftpd я вообще отключил, после этого систему ламали опять
как сокеты посмотреть?