Взлом сервера

visavi, ищите дыры в CMS и плагинах/модулях.....

А) обновить все цмс.

Б) убрать плагины с помощью которых могли проникнуть на сервак.

В) проверить все файлы.

Г) лучше всего обратиться к специалисту в этой области.

Пункты Б и В ввели меня в транс ))))) а пункт Г добил )))))

ищи шел. он как правило в находится в категории с картинками или файл типа google2342234 - несколько раз такое видел.

и закрой фтп если еще не закрыл.

Нормальные пункты.

Б следует из того, что основной код CMS как правило профессионально написан, а код дополнений скачивается с просторов интернета и вообще ниже качеством в массе.

В подразумевает, что нужно взять файлы из дистрибутива и проверить что они не изменены. Таким образом очень легко найти вставки.

Г следует из того, что вы этих пунктов не поняли.

Вы не меняетесь :D

Я думаю что если бы я знал через какие плагины ко мне на сервер могут проникнуть , они бы у меня в deny листе были по умолчанию ... Или вы может списочек какой-то опубликовать можете? По этому написанное выше вводит меня в транс :D

Тоже ниче так советик :) Из области фантастических фильмов, когда кто-то говорит "Cрочно проверить всю систему!" тут два чувака срываются и через 20 минут все проверено, только это космический корабль :D Специально для ответа придется чуток ждать (я пока продолжу мысль), пока "find / |wc -l" закончит свою работу..... что бы мне "все файлы" посчитало....

Ну а пункт Г, как раз таки и описывает специалиста к которому надо обратиться :D Это ж я не про Вас, а про того кого я цитировал, но вот раз вы за него заступаетесь то это и к вам в огород камушек тогда :D

Вы сравните то, что написали Вы и то что написал Noctes в своих пунктах Б и В, почувствуйте разницу, а лучше спросите у ТС-а, может быть он её почувствовал.

(Блин, еще не посчитало, я склонен полагать что число будет превышать отметку 1mln файлов.....)

Romka_Kharkov, если нет логов что делать будете?

например: http://forum.antichat.ru/showthread.php?t=50572 , - смотрите последние страницы.

Также можно проверить свой сайт на уязвимости с помощью Wordpress P&E - линк

вот вам для примера по WP

ПС: немного про файлы и их проверку:

А) проверить файлы, которые были изменены недавно.

Б) проверить сайты вот этим скриптом - http://revisium.com/ai/ - он покажет файлы, в которых есть шелы(к сожалению не все шелы может найти) + потенциально опасные файлы.(с зашифрованым кодом, вставками ифрейма и т.п.) - это значительно сужает круг поиска.

спасибо за советы. За комп вроде спокоен (удалил установленный нод, поставел касперского интернет секьюрити, запустил полную глубокую проверку всех дисков... в исполнительных вирусов не нашел, было несколько в архиве на диске d (система на c), но это архив - бекап за прошедшую неделю сервера, видимо уже с зараженными, почистил на сервере (посмотрел пути в архиве).

Но эта гадость лезет. На сервере 44 сайта, файл создается только в одном сайте с названием s25.php размером 66094 b и главное я его удаляю, через 2 минуты снова создается. Пароли все сменил, кеш почистил браузеров, убрал галочку запоминания паролей, на сервере полностью закрыл доступ по ftp. не помогает.

Вот часть кода с этого файла:

Ума не приложу где теперь копать

В журнале операций пусто, только мои операции по удалению этого файла, в логах сайта, в логах сервера во время создания этого файла - ничего...

поддержка ответила:

Разумеется, содержимое post запросов по умолчанию не логируется, а ответ возможно там. А может и нет, может саму ОС на серваке ломанули.

visavi, а пхп как подключен?

Я не силен в администрировании) Это мой первый сервер, не давно его взял.. как посмотреть?