- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
ТС сколько сайтов затронула проблема?
10. т.е. все сайты на аккаунте..
могу помочь за произвольное вознаграждение если нтересно в асю 935407
могу помочь за произвольное вознаграждение если нтересно в асю 935407
Благодарю за участие, постараюсь справиться сам - надо же прекращать быть нубом, хотя бы в области безопасности...
Буду рад нескольким (бесплатным) советам:
1. Скачал все сайты на комп, - антивирус нашел такую фигню:
18.10.2012 11:43:56 Защита в режиме реального времени файл C:\WebServers\home\TotallBackup\domains\site.info\public_html\wp-signout.php PHP/WebShell.NAH троянская программа очищен удалением - изолирован
18.10.2012 11:43:51 Защита в режиме реального времени файл C:\WebServers\home\TotallBackup\domains\site.info\public_html\wp-content\forum-includes\index.php PHP/WebShell.NAH троянская программа очищен удалением - изолирован
Причем именно на этом (единственном из 10) сайте я забыл поменять дефолтный логин/пароль доступа к админке (т.е. были admin/admin)/
Вопрос: мог ли злоумышленник воспользовавшись этой дырой засунуть на сайт эти нехороший файлы и управлять их посредством остальными 10 сайтами на аккаунте?
Иными словами -можно ли считать, что "дыра" найдена?
Конечно мог !
Так все и было. Залил шел через админку по дефолтному пассу. Права у шелла позволили, лазить по вашему аккаунту (т.е. на всех сайтах). В итоге все сайты и "редиректнули" .
Почистите те файлы, которые вам показал антивирус, пройдитесь Aibolitом еще по сайтам (мало ли, может еще что осталось).
И конечно поменяйте дефолтный пасс, впредь следите за такими "мелочами" -)
Вопрос: мог ли злоумышленник воспользовавшись этой дырой засунуть на сайт эти нехороший файлы и управлять их посредством остальными 10 сайтами на аккаунте?
Иными словами - можно ли считать, что "дыра" найдена?
Конечно мог. То, что "дыра" найдена - это безусловно факт. Только не осталось ли там еще "плюшек", оставленных злоумышленником?.. Это нужно более подробно копать все файлы...
Ну получит он логи. Итак не найдет кто и что изменил. Вообще не понятна цель со стороны злоумышленников?
Меня тоже удивило что сделали редирект и все,если бы пакостили то уже пакостили по полной. ТС может еще кто-то имеет доступ к панели управления вашими сайтами?
доступ был у тех, кто делал и ставил на хост сии сайты (вроде уважаемые товарисчи с Сёрча).
больше ни у кого.
Пароли все поменял (и фтп, и от сайтов).
Поменял/поудалял все .htaccess. Новые .htaccess взял с официальных сборок движков.
Щас займусь обновлением сатойв на хосте и мерами защиты средствами прав доступа и т.п.
Пара сайтов из пачки -на Joomla. Этот двиг я знаю хуже всего. Кто в курсе -подскажите - такие вот хитрые плагины стоит ставить или от лукавого это?
замените все файлы на всякий случай одна строка и сайт опять вскрыт, такие методы тоже могут помочь но не всегда и не всем