- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, уважаемые форумчане.
Столнулся с серьезной проблемой. Может кто поделится советом, что делать.
Есть сайт.
Движок: Danneo 053. Вообщем то стандартная сборка, в основном статьи, новости, фотогалерея.
Хостинг: hostingru.net, тариф Mini
Суть в том, вчера как-то обнаруживаю что сайт недступен, удален был походу индексный файл.
Доступы в cpanel и ftp не изменены.
Ладно обращаюсь в поддержку, сайт восстанавливают. Меняю пароли cpanel и ftp на другие.
Пароли сложные, генерируются.
Сегодня опять такая же история, но уже в папке public_html удалены все файлы.
IP злоумышленника, с которого был зафиксирован вход в cpanel в обоих случаях 80.239.243.104
С поддержкой общаюсь, мол, говорят два варианта:
1) у вас на компьютере возможно вирус.
У меня стоит Касперкий Internet Security 9.0.0.736 с официальным ключом, базы обновляются каждый день.
2) дыра в скриптах сайта.
Но хрен знает сборка вроде как стандартная, да какие-то обновления возможно если и были, я их не устанавливал и не следил за ними.
Вопросы:
1) Как вариант имеет ли смысл менять (винить) хостинг?
2) Имеет ли смысл устанавливать специальные дополнительные программы защиты от троянов и вирусов кроме Касперского?
3) имеет ли сейчас смысл сейчас обращаться к специалисту по Danneo, программисту, который смог бы проверить сайт на предмет дырявости скриптов?
Вообщем помогите советом, что же все-таки это может быть, что делать далее.
Буду благодарен за любые советы.
Если злоумышленник входит именно в cPanel, то маловероятно, что пароль для cPanel он получил через дыру в вашем сайте.
Если бы дыры были у хостера, то с такой проблемой мучались не только вы.
Галочки сохранить пароль нигде не стоят в браузере или фтп-клиенте?
Можно попробовать сменить пароли с другого компьютера и со своего в cPanel и по ftp с новыми паролями не заходить - так сказать эксперимент будет.
А еще лучше сделать свой бекап, чтобы не просить хостера восстанавливать каждый раз.
1) Не стоит винить хостера, как показывает практика зачастую проблема оказывается на стороне клиента, в первую очередь вам нужно попробовать разобраться в сложившейся ситуации.
2) Вы должны осознавать что иногда антивирусы просто отдыхают, вас не спасут не какие обновления! Не для кого не секрет что есть качественный софт (malware) и не надейтесь, что на этот раз вас пронесет... Рекомендую провести профилактику на предмет malware в своей системе, снифирите трафик не уходит ли он на лево?
3) Что то мне подсказывает что не сайт дырявый а комп, хотя тут могут быть только догадки. Возможно у вас мыло угнали и с помощью него восстанавливают пароль, но опять же таки это только вариант.
Ps Я всего лишь хотел сказать что не нужно думать сразу на хостера.
А никто не знает, можно ли заблокировать вход с левых IP в linux? думаю ТС поможет это=)
Большая вероятность, что баг в движке Danneo, думаю там очень много дырок... он же новый, малоизвестен...
А никто не знает, можно ли заблокировать вход с левых IP в linux? думаю ТС поможет это=)
Большая вероятность, что баг в движке Danneo, думаю там очень много дырок... он же новый, малоизвестен...
Это скорее всего как рекомендация по безопасности которую желательно соблюдать... но всеравно дырка то остается это не есть good. да и вдруг у тс ip динамический.
Не парься, у меня тоже сайт на том же хостинге. Вчера примерно в 19*45 был недоступен, по ftp все файлы на месте были, пароли никто не менял.. Написал им в ТП, через 20 минут всё заработало. Сбои какие-то у них.
Если злоумышленник входит именно в cPanel, то маловероятно, что пароль для cPanel он получил через дыру в вашем сайте.
Походу входит туда. Просто при входе в cpanel пишется "последний вход в систему с IP...". Но возможно сюда же учитываются доступ по ftp. Поэтому точно сказать не могу получает злоумышленник доступ к ftp или cpanel
вообще то да, пароль у меня к фтп хранится в far-менеджере. Вероятность есть, что в этом проблема. Но опять же как он получает оттуда информацию? Значит троян какой то у меня?
А еще лучше сделать свой бекап, чтобы не просить хостера восстанавливать каждый раз.
да, понял, спасибо за совет.
markovnik добавил 04.12.2010 в 09:35
1) Не стоит винить хостера, как показывает практика зачастую проблема оказывается на стороне клиента, в первую очередь вам нужно попробовать разобраться в сложившейся ситуации.
2) Вы должны осознавать что иногда антивирусы просто отдыхают, вас не спасут не какие обновления! Не для кого не секрет что есть качественный софт (malware) и не надейтесь, что на этот раз вас пронесет... Рекомендую провести профилактику на предмет malware в своей системе, снифирите трафик не уходит ли он на лево?
3) Что то мне подсказывает что не сайт дырявый а комп, хотя тут могут быть только догадки. Возможно у вас мыло угнали и с помощью него восстанавливают пароль, но опять же таки это только вариант.
Ps Я всего лишь хотел сказать что не нужно думать сразу на хостера.
возможно вы правы, проблема у меня на компьютере, походу действительно не нужно хранить пароль в фаре, сделаю - проверю, продолжатся ли взломы.
markovnik добавил 04.12.2010 в 09:37
Не парься, у меня тоже сайт на том же хостинге. Вчера примерно в 19*45 был недоступен, по ftp все файлы на месте были, пароли никто не менял..
в том то и дело, что у меня все файлы отсутствуют - стерты.
Если у хостинг-компании есть возможность выдать Вам доступ по SSH/SFTP на сервер, то воспользуйтесь данной опцией. Это намного безопаснее. Если выдадут SSH, перестаньте ходить по FTP, не сохраняйте пароли.
Если у хостинг-компании есть возможность выдать Вам доступ по SSH/SFTP на сервер, то воспользуйтесь данной опцией. Это намного безопаснее. Если выдадут SSH, перестаньте ходить по FTP, не сохраняйте пароли.
Да, переговорю с поддержкой насчет этого доступа.
Хостинг напрягает тем, что саппорт непонятный, отписал о проблеме ночью в форме обратной связи и в тикетах, ноль реакции. Такое впечатление что там ночью никого нет из поддержки. Хотя заявлено что у них 24/7/365
markovnik добавил 04.12.2010 в 10:01
Да и проблема видимо не в фаре толком, вспомнил...
поскольку я когда сменил пароль в cpanel (меняется автоматом и фтп), по фтп я так и не заходил и в фаре в соединении фтп даже не менял пароль на новый. Тем не менее сайт был взломан.
markovnik добавил 04.12.2010 в 10:14
Можно попробовать сменить пароли с другого компьютера и со своего в cPanel и по ftp с новыми паролями не заходить - так сказать эксперимент будет.
вообщем воспользовался этим советом, сменил пароль с почти девственного ноута с установленным Касперским.
Плюс сейчас делаю проверку Касперским полную на том компе старом, да понаходил каких-то пару троянов. Вообщем видимо все-таки проблема на моем компе.
markovnik добавил 04.12.2010 в 11:15
Вообщем менял пароль в cpanel с другого компьютера с другим IP все равно бесполезно, ломает сайт и все.
markovnik добавил 04.12.2010 в 11:17
Суть еще в том, что сайтов то у меня много, а ломают почему то только один сайт.
markovnik добавил 04.12.2010 в 12:02
Это скорее всего как рекомендация по безопасности которую желательно соблюдать... но всеравно дырка то остается это не есть good. да и вдруг у тс ip динамический.
нет, статичный. Было бы хорошо иметь возможность входить в сpanel и на фтп только с моего IP.
нет, статичный. Было бы хорошо иметь возможность входить в сpanel и на фтп только с моего IP.
Если у хостера на сервере стоит proftpd, то для ограничения доступа по ftp, используйте .ftpaccess
Если у хостера на сервере стоит proftpd, то для ограничения доступа по ftp, используйте .ftpaccess
ну это допустим да, однако еще бы такое ограничение распространялось бы на вход в cpanel.
Вообщем я честно говоря так и не разобрался в причинах взлома, поскольку менял пароль с другого компьютера, результат один - через несколько часов сайт взламывается. Проблема не в фар-менеджере точно, поскольку там даже и не настраивал соединение и не входил.
Еще не сказал, что пользуюсь оперой, она возможно очень много кэширует, может какой троян невидимый для касперского, удаленно следит за вводимыми паролями (но их никогда не сохраняю в опере), отправляемыми данными и т.д.
Однако терзает вопрос, почему если это вирус(троян) сидит на обоих компах, то из десятка сайтов, он ломает только один определенный? Причем я на этот сайт до взлома даже не помню когда в последний раз заходил в cpanel или фтп. В то время как на остальные сайты вхожу чуть ли не каждый день.
markovnik добавил 04.12.2010 в 20:45
Вообщем эта хрень проявилась у меня все-таки и на остальных сайтах.
Видимо тема в следующем. Злоумышленник получает доступ к файлам сайта, перекачивает их к себе или там же на месте вставляет вредоносный код на сайте, в результате которого при обращении к сайту начинают показываться всякие дополнительные страницы по типу секс-магазинов, секс-игрушек и т.п. всякий спам.