Сайт кем-то взламывается регулярно, помогите советом.

12
Apach47
На сайте с 28.10.2008
Offline
74
#11

На сервере:

1.Выставьте ограничения по ip на вход в панель/фтп

2.Ищите подозрительный, возможно зашифрованный, код в файлах Вашего сайта

На Вашем ПК:

ТС, запомните - на любой алгоритм вируса можно положить контралгоритм антивируса и на оборот. Ни факт что троян, засевший у Вас не обходит Касперского на раз-два)) Попробуйте для начала скачать пару других антивирей( к примеру drweb, nod32, norton ) и просканировать свой ПК ими. Затем можешь пройтись еще спец. утилитами для поиска spywere ПО.

После снифири трафик, смотри, не идет ли чего "налево".

Если ничего не помогло - обратитесь к специалисту.

И опыт - сын ошибок трудных... И гений - парадоксов труд... И случай бог изобретатель... (А.С.Пушкин)
M
На сайте с 01.12.2008
Offline
129
#12
Apach47:
На сервере:
1.Выставьте ограничения по ip на вход в панель/фтп

"нет такой возможности", отвечает мне хостинг на этот вопрос.

markovnik добавил 05.12.2010 в 05:36

Apach47:

2.Ищите подозрительный, возможно зашифрованный, код в файлах Вашего сайта

Ну это очень сложно мне как неспециалисту будет сделать, файлов очень же много. Пробую пока что через систему бэкапов восстановить прежнее состояние сайта.

markovnik добавил 05.12.2010 в 05:38

Apach47:
На сервере:
На Вашем ПК:
ТС, запомните - на любой алгоритм вируса можно положить контралгоритм антивируса и на оборот. Ни факт что троян, засевший у Вас не обходит Касперского на раз-два)) Попробуйте для начала скачать пару других антивирей( к примеру drweb, nod32, norton ) и просканировать свой ПК ими. Затем можешь пройтись еще спец. утилитами для поиска spywere ПО.
После снифири трафик, смотри, не идет ли чего "налево".

вообщем то да придется пробовать еще и другие антивирусы, спасибо за совет.

Сейчас кстати работаю только с другого компьютера (с ноута), вроде как взломы прекратились.

Юрий
На сайте с 04.01.2004
Offline
126
#13

ТС, попробуйте утилиту gmer (http://www.gmer.net), созданную для обнаружения руткитов. Возможно Касперский что-нибудь не замечает :-)

возможно на вашем сайте залита админка. Внимательно посмотрите логи обращения к сайту, возможно найдете подозрительные php-файлы, к которым чаще всего обращаются.

DigitalFixer.ru ( https://digitalfixer.ru )
Apach47
На сайте с 28.10.2008
Offline
74
#14
markovnik:
"нет такой возможности", отвечает мне хостинг на этот вопрос.

Хех... не знал что в cPanel нет функции ограничения доступа к аккаунту по ip

gedeon2k4:

возможно на вашем сайте залита админка. Внимательно посмотрите логи обращения к сайту, возможно найдете подозрительные php-файлы, к которым чаще всего обращаются.

Кроме этого дельного совета могу еще порекомендовать Вам полностью снести из ssh все файлы Вашего сайта(rm -f ~/site.ru) и восстановить 100% чистые(если таковые имеются)

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#15

прикольно , прочитал две старницы, а ни кто не думает, что надо бы заняться анализом логов сайта... ???? Я например слежу за развитием этой темы и мне все больше кажется что у вас какой-то дырявый двиг стоит на сайте который собственно и ломают по известному багу..... ну или у вашего хостера скомпрометирован сервер, хотя в таком случае страдали бы все сайты... и не только у вас.... Обновите свой софт (движок) до последней версии от разработчика... потому что перезаливание старых бекапов не даст никакого результата..... Выше верно было замечено что надо изучить (проанализировать) логи сайта.... там могут быть ответы на все ваши вопросы....

Кстати . читал читал , так и не понял до конца, злоумышленник узнает Ваш пароль и входит в cpanel ? или у вас просто меняется контент на сайте ??? Последнее как бы к паролю прямого отношения не имеет...

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
M
На сайте с 01.12.2008
Offline
129
#16
gedeon2k4:
ТС, попробуйте утилиту gmer (http://www.gmer.net), созданную для обнаружения руткитов. Возможно Касперский что-нибудь не замечает :-)

возможно на вашем сайте залита админка. Внимательно посмотрите логи обращения к сайту, возможно найдете подозрительные php-файлы, к которым чаще всего обращаются.

спасибо, программой проверил, ничего странного не обнаружено

markovnik добавил 05.12.2010 в 13:21

Romka_Kharkov:

Кстати . читал читал , так и не понял до конца, злоумышленник узнает Ваш пароль и входит в cpanel ? или у вас просто меняется контент на сайте ??? Последнее как бы к паролю прямого отношения не имеет...

злоумышленник входит в cpanel и меняет контент на сайте.

markovnik добавил 05.12.2010 в 14:11

Romka_Kharkov:
Выше верно было замечено что надо изучить (проанализировать) логи сайта.... там могут быть ответы на все ваши вопросы....

какие именно логи вы имеете ввиду?

markovnik добавил 05.12.2010 в 14:16

Apach47:
Хех... не знал что в cPanel нет функции ограничения доступа к аккаунту по ip

да, печально, очень было бы полезно ограничение доступа к аккаунту и фтп по IP

A2
На сайте с 05.12.2010
Offline
0
#17

Я совершенный чайник и понимаю малую часть того, о чем вы здесь говорите.🍾

У меня 5 сайтов на этом хостинге. Сайты на Джумле. В последние дни тоже проблемы: они по очереди исчезают из моего поля зрения. Яндекс пишет, что проблемы с доступностью сайтов. Но потом через некоторое время появляются снова. Неизмененные. Что это: взламываются мои сайты или хостинг? Дня три назад вместо сайта был черный фон и по-английски было написано что-то про типа haker...Спросила техподдержку, в чем дело, мне сказали перезалить бекап. Я не успела - все нормализовалось через несколько часов. Ради эксперимента на трех сайтах поменяла сгенерированные пароли на Спанели и убрала пароли в Файзилле. Сегодня Запрашиваемая страница не существует висит на этих сайтах. Что скажете, что это? Не исключено, что троян сидит в компьютере (счищаю их с флешек постоянно).

А в техподдержке, такое впечатление, сидит один парень. Отвечает в одном стиле. Ник - Александр. С задержкой, но отвечает всегда.

Посмотрела на последние заходы IP в Спанель- из четырех только один мой.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#18
markovnik:

злоумышленник входит в cpanel и меняет контент на сайте.

В таком случае, раз он заходит в панель он владеет вашим паролем, думаю снять его с самого хостинг сервера нет возможности, если конечно же:

1. Хостинг сервер не скомпрометирован хакерами.

2. Вы не используете пароли типа "123".

3. Вы не используете одинаковые пароли на cpanel, "админку своего сайта", "mysql базу"........

4. Вы не получаете "новый пароль на почту". Может ее кто-то читает\получает? :)

P.S: Поменять контент на сайте можно без входа в cPanel :) Если что.....

markovnik:

какие именно логи вы имеете ввиду?

Тут я имел ввиду access логи веб сервера, я предполагал , что взлом может проходить через веб сайт ваш, но раз вы говорите , что меняете пароль доступа к cpanel, а потом все равно кто-то входит с вашим паролем (кстати , кто и главное как это фиксирует???)..... то тут сайт я думаю не при чем, тут что-то интереснее, а может быть вас сниферят внутри вашей локальной сети? :)

M
На сайте с 01.12.2008
Offline
129
#19
1. Хостинг сервер не скомпрометирован хакерами.
2. Вы не используете пароли типа "123".
3. Вы не используете одинаковые пароли на cpanel, "админку своего сайта", "mysql базу"........
4. Вы не получаете "новый пароль на почту". Может ее кто-то читает\получает?

нет, этого нет ничего с моей стороны.

Вообщем, взломы прекратились, причина на мой взгляд банальна - трояны и вирусы на моем компе.

После работал только на ноуте, все было ок. Взломы прекратились. Ноут чистый был.

Сейчас с опаской перехожу на свой обычный комп. Все вирусы вычистил. Полную проверку делаю чуть ли не каждый день.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий