- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Каким-то образом кто-то (что-то) продолжает пытаться вписать вирусы, хотя на сайте вообще файлов нет, просто пустая папка:
Если я правильно понял, под попыткой "вписать вирус" понимается вызов wp-cron.php? Часто такие вызовы делают "определялки" CMS (http://2ip.ru/cms/ вроде таких... которые определяют т.н. признаки наличия)
File does not exist: /home/domains/*****.ru/wp-content/themes/twentyeleven/js/;return
Это, похоже на ситуацию, когда кривой парсер обрабатывает JS-ссылки вроде
Referer в логе указан?5. А в БД эта гадость могла вписаться?
По идее не должна.. если есть сомненья - можно дамп выгрузить и поиском по подстроке пробежаться.. Только что искать планируется?
---------- Post added 07-11-2012 at 12:07 ----------
Если я правильно понял, под попыткой "вписать вирус" понимается вызов wp-cron.php?
Да.. а в wp-config вызов отключён? А то, может ещё и сам себя и вызывает?
1. Так заново все заливал, с государственного сайта, стирал все, кроме жипегов
2. плагины вообще все стер, темы тоже кроме государственной, самой простой
3. шаред
4. ...может
5. А в БД эта гадость могла вписаться?
Попробуйте сделать следующее:
1. закрыть доступ к админке через .htaccess (только для своего IP разрешать)
2. закройте в корневом .htaccess доступ к скриптам из wp-content, wp-include, чтобы нельзя было напрямую обращаться
3. попросите саппорт прописать настройки php
allow_url_fopen = Off
allow_url_include = Off
expose_php = Off
magic_quotes_gpc = On
register_globals = Off
disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,ini_set,putenv, extension_loaded,getmyuid, fsockopen,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,chdir, pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate
safe_mode = On
4. Еще раз обновите CMS и плагины (самые свежие версии)
5. попросите саппорт поставить срок ротации логов - 1 месяц, чтобы насобирать статистику
Думаю, после первых четырех пунктов вероятность взлома значительно уменьшится.
Но надо сделать все это быстро, одно за другим в течение нескольких часов.
С анализом логов обращайтесь если что в личку или на email.
Хороший скрипт. Много всего нашёл в коде. Разработчику спасибо!
allow_url_fopen = Off
allow_url_include = Off
expose_php = Off
magic_quotes_gpc = On
register_globals = Off
disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,ini_set,putenv, extension_loaded,getmyuid, fsockopen,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,chdir, pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate
safe_mode = On
САПА загнется.. :)
Потом это внешняя линия обороны. Хрень влезает в захитаксесенные папки и внутри них меняет права доступа к файлам и меняет права доступа у папок. Через хттп так не сделать, она где-то внутри сидит...
Ну да, внешняя, речь-то изначально про это была. Исходный посыл был такой:
Ну тут или сапа, или сайт :-)
Кстати, придумалась вот хитрая такая схема (если хостинг позволяет). Настроить запуск скрипта, выгребающего ссылки сапы по крону, причем настроить в .htaccess, чтобы он выполнялся другим php интерпретатором, из под php-cgi. В настройках этого php-cgi в php.ini разрешить внешний коннект. А сам сайт путь работает на PHP как модуль Apache Handler, у него надо "затянуть болты". У вас и ссылки будут, и наружу никто слать запросы не будет.
То, что "влезает", обычно детектится айболитом. Обычно, это обфусцированный код в .php файлах - в самом начале или в самом конце (бывает, по сотне файлов к ряду заражено): код проверяет наличие редиректов в .htaccess и, если нет, добавляет свой редирект.
Поставил max_execution_time = 18000 а все равно выдается 504 Gateway Time-out. Что еще может быть не так?
Запускайте из командной строки.
---------- Добавлено 07.11.2012 в 16:19 ----------
Нашел одну ошибку в скрипте - неправильно размеры файлов и время бралось, поправил и загрузил новый архив. Кто качал - возьмите новую. Спасибо.
http://revisium.com/ai/
6666
Надо все поставить по новой.
Как советовали выше, попросить ротацию логов сделать месяц.
Как только будет взлом - смотреть все логи. так 90% что дыра будет найдена.
to 6666 Вас ломают через соседей по шареду
есть скрипты при заливе на сервер позволяют видеть домены, ходить по папкам доменов, заглядывать в config файлы....
вот скрин как примерно это выглядит
смотреть все логи. так 90% что дыра будет найдена.
Да я смотрю все логи. Тех, кто пытается использовать скрипты извне, вычислить легко. А кто "подготавливает" для них файлы, меняет на них права доступа найти не представляется реальным. По крайней мере по логам.