McHost отковали или необъяснимое и невероятное :)

по-моему вы простого факта не поняли - им тыкнули в лицо фактом взлома самого сервера, они заявляют - всё зашибись, это у вас трояны! про то, чтобы разбираться и слов не было. Лень одолела админов.

Васисуалий добавил 16.01.2010 в 21:42

я про рута сразу написал, и файл сам показал, который от рута изменён. Реакция - следов взлома не обнаружено, у вас единичный случай.

Бодаться не стал, быстрее перенести.

Ну а вы перенесите и потом уже "эскалируйте". вот там на mchost.ru даже написано как :

разумеется, без указания номеров тикетов и прочих данных эти письма не имеют магической силы.

у меня там такое было)) они меня еще заблочили... Типа мои сайты заражены итд... Свалил от них

Блин, только сегодня заметил вирусняк на сайтах! МЦХОСТ, у меня даже ПХП скриптов на сайте нет, чистый ХТМЛ, проблема 100% с вашей стороны, ну что за позорище?!

Я ошибаюсь или у них в 2009 году уже взлом сайтов таким образом

происходил не один раз?

если да, то жаль :( хотел к ним переходить

Те же яйца, сегодня в один прекрасный день захожу - одни редиректы и iframe

Сапорт только мажется "проблемы в ваших php скриптах"

😡

Не успел свалить :(

на самом деле кому-то на сервере через ВЕБ . дыру какую нить в СMS залили трояна (обычно это делается методом POST) если разрешно влаживать урлы в пхп.

и просто у всех всё одновременно изменили . так как лили через веб. и вероятно апач работает от суперюзера, то доступ есть ко всем папкам и файлам сервера (соотвественно юзеров)

выход из ситуации - попросить саппорт sed-ом или rpl -ом пройтись по всем файликам типа index.php, login.php, admin.php, index.html и заменить вредноносный код, который седит у вас на страничках на пустую строку - а так же отискать в логах время, когад был изменён файл и посмотреть кто был в гостях в это время.

Так же максимально ограничить вероятность выполнения exec через переменную, доступную через веб (сорри если не ясно изъяснил - это самый распространённый способ подкинуть веб-шел - т оесть рут доступ к серверу через веб)

забыл сказать, что вредноносный код антивирус серверный не найдёт, а веб-шел найдёт.

А вообще, одно из назначений ВДС - это, простыми словами - защитить ваши проекты от кривых скриптов соседий по хостингу.

В последнее время наблюдаю что у многих хостеров появились проблемы с безопасностью.

Мда, товарищи. Одни пишут, другие дро.. пока их клиенты не запинают проблемой с вирусом.

На днях у одного из моих хостеров тоже появились проблемы. Долго искали, кстати проблема почти идентичная как в первом посте, только без ифрейма.

Вирус нашли все таки. Запускался раз в два дня по крону

Принцип работы: http://ru.wikipedia.org/wiki/Rootkit

Клиенты виноваты, а не хостеры.

Если все перестанут ставить всякие joomla, mamba, WP и т.п. на хостинги, а тем более левые модули с загрузкой файлов, то и взломы станут редкостью.

У всех этих движков одна проблема: предлагается установка прав на запись на очень многие директории, которые не защены "умными" разрабами от загрузки в них и запуска скриптов. И поэтому для хакеров не составляет труда загрузить шел в такую директорию, через него загрузить еще кучу гадости, а дальше при особом желании угнать рут от сервера.

вот это вот дальше не должно случаться на хостинге где регулярно обновляют ядро или отключен запуск программ в разделе с пользовательскими данными.

В чем, собственно, и суть темы.