- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не так давно начали сыпаться обвинения в адрес хостера (VPS) относительно моих сайтов, размещенных у него. Некто создает веб формы, которые подозревают в фишинге.
Абузы уже присылали такие монстры, как PayPal, Visa и тп. Вот кусок из последнего:
website that is attempting to steal account information from customers of
Visa (Verified by Visa).
И в таком духе.
На всех сайтах стоит Drupal версии 6.20, 6.22 и 7.7. Всего 6 сайтов, некоторые пустые, совершенно разной направленности и посещаемости.
Незадолго до первой жалобы, поставил "продвинутый" код Teasernet на одном из сайтов, дав права 777 скрипту, как написано в инструкции. Не знаю, возможно совпало, но в панели управления обнаружил пользователя с shell доступом, которого сам не создавал. Естественно удалил его сразу же после обнаружения.
Пароли к root и всем пользователям поменял. После этого было затишье. Но вот сегодня очередная жалоба! Хостер говорит после очередной жалобы мой аккаунт заблокируют.
Свой комп регулярно проверяю антивирусом Comodo Internet Security Premium. Хостер говорит, что на моем VPS никаких вирусов так же не обнаружено.
Не хочу преждевременно никого обвинять, а лишь разобраться в ситуации. Известны ли кому-либо дыры в друпале с помощью которых возможно делать такое?
Если:
...то друпал не виноват, инфа 100% (экзотический вариант со взломом и эксплоитом privilege escalation до рутовских прав не рассматриваем, да?)
Так что смотрите как уплыл рутовский пароль или проверяйте что за панель (варезная? легальная но старая и с дырами? и т.п. вопросы). Смотрите что на вашем vps запущено под рутовыми правами что могли поломать.
хз что за скрипт, он же не под рутом был запущен? это надо глядеть специалисту.
Вам бы админ не помешал, хотя бы на время лечения и профилактики.
Так что смотрите как уплыл рутовский пароль или проверяйте что за панель (варезная? легальная но старая и с дырами? и т.п. вопросы)
Спасибо за ответ.
Пароль от рута пару раз хостер спрашивал для лечения некоторых технических вопросов, но я его всегда после решения проблемы менял.
Панель управления ISP 4.4 Lite.
---------- Добавлено 03.03.2012 в 05:31 ----------
Последний раз, когда пришла очередная жалоба, в панели не было никаких пользователей. Возможно научились заметать следы? Или все же стоит искать и дыру в CMS?
Спасибо за ответ.
Пароль от рута пару раз хостер спрашивал для лечения некоторых технических вопросов, но я его всегда после решения проблемы менял.
Панель управления ISP 4.4 Lite.
---------- Добавлено 03.03.2012 в 05:31 ----------
Последний раз, когда пришла очередная жалоба, в панели не было никаких пользователей. Возможно научились заметать следы? Или все же стоит искать и дыру в CMS?
Не дыры у cms искать надо - а Drupal апдейтить до последней версии, на днях было обновление, связанное с безопасностью. Хотя я не верю, что сломали Друпал (разве что по вине кривой настройки движка, но тут виноват админ).
Лучший вариант - переустановить полностью VPS, перед этим скачать логи, посидеть, по изучать их. И разумеется, проверить файлы сайтов на наличие php шеллов.
Кроме того, не забывать про обновление пакетов на VPS, и изменить стандартные пути к ispmanager.
Панель управления ISP 4.4 Lite.
4.4.2 уже есть.
Панелька была куплена или скачана на файлообменниках? Мне вот неохота шерстить варезники проверять выложена ли эта версия или нет...
Ну а для самопроверки инфу по лицензионному ключу можно глянуть здесь:
http:/my_vds_site/manager/ispmgr?startform=softinfo
Последний раз, когда пришла очередная жалоба, в панели не было никаких пользователей. Возможно научились заметать следы? Или все же стоит искать и дыру в CMS?
Это могли быть разные взломы. Штобы фишинговый сайт поднять в папке какого-то сайта - достаточно поломать сайт/CMS (php скрипт какой-нибудь), найти папку доступную на запись и не нужно добавлять никаких пользователей.
У вас сейчас судя по симптомам получили рутовский доступ, добавили нового пользователя чтобы добавить целиком новый сайт или запрятать бекдор поглубже или хз зачем им это было нужно.
Ну а на вопрос "Или все же стоит искать и дыру в CMS?" ответ нужно в первую очередь искать админа, вы реально не справитесь.
Админю все свои сайты сам. Просто с такой проблемой впервые столкнулся. И действительно тем пользователем могли сделать папок запрятанных одному богу известно куда и оттуда запускать свои скрипты уже удаленно. Вирусом это естественно считаться не будет, а эффект есть.
Прошло несколько дней, вроде тихо.
Сменил в очередной раз пароли, изменил стандартный путь к ISP, по тихоньку обновляю версии движков.
4.4.2 уже есть.
Панелька была куплена или скачана на файлообменниках? ...
Ну а для самопроверки инфу по лицензионному ключу можно глянуть здесь:
http:/my_vds_site/manager/ispmgr?startform=softinfo
Спасибо за линк, проверил, номер лицензии есть. ISP установлена в подарок от хостера, так что я думаю с ней все ок. Кстати версия ISPmanager-Lite 4.4.2.6.