- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Есть обратная информация и она равна появлению непонятных файлов ... с шелами
Список всех плагинов можете показать?
-----------
Произвел поиск вредоносного скрипта на серверах, нашел еще один взлом. Понизил права на скрипт и запретил удаление - чтобы повторно не залили.
Romka_Kharkov, вы меня заинтриговали. Попробую изучить данный вопрос.
Весьма забавно, похоже уязвимость не новая.
Папка wp-content/uploads/2013/06 создана 7 Jun
А файл в корень залит только 24-го
вот и аналогичный случай к месту:
wp 3.3.1
в корне шелл 404.php, 7c334.php
папка плагинов: левые папки - wp_add (class-wp-importer-cron.php, b, mod_system.php, tumblr-importer.php, logs.txt, aBs0.html, /temp/), wp_404 (содержимое повторяется), wp_api (содержимое повторяется), zbtmteinbje (gg.php, gsm.php)
wp-content: вставка в пустой index.php
папка темы: 7c334.php 404.php
и мелкие пакостные index.php с POST-запросами в разных местах
даты редактирования старые начало июня
Понизил права на скрипт и запретил удаление - чтобы повторно не залили.
Погорячился, я видимо похвалить.
Господа хостеры! Ну пожалуйста, не лезьте вы в файлы юзеров без их на то ведома\согласия. Даже если вам кажется, что там какая-то "бяка".
SeVlad, уважаемый, если из шела идет спам здесь только два решения: заблокировать клиентский аккаунт либо "придушить" сам вредоносный файл до решения клиента.
Полагаю что все клиенты будут за второй вариант.
Если разница между изучениями клиентских файлов и блокировкой работы зловредного кода.
Полагаю что все клиенты будут за второй вариант.
У вас в условия предоставления хостинга сказано, что хостер может заблокировать\удалить\изменить любой файл на своё усмотрение? Полагаю, что нет.
Хотя в таком конкретном случае как спам (или тп действия, а не потенциальная угроза) - я пожалуй соглашусь - лучше лок одного файла, чем всего акка ;).
Если разница между изучениями клиентских файлов и блокировкой работы зловредного кода.
WapGraf, я неоднократно сталкивался с жалобами типа "не работает функция" или того хуже - "не могу попасть в админку", где причиной был недохостер, которому показалось, что некий файл представляет потенциальную опасность и он тупо заблокировал к нему доступ (или даже удалил его).
И кто думает, что клиенты радовались возникшими на пустом месте проблемам, с которые по нескольку дней мучились?
Ну вариантов может быть множество, согласен.
У нас если обнаруживается, например спам, стараемся заблокировать этот файл и естественно сразу уведомляем клиента.
По условиям вы конечно правы. Но считаю нужно вникать немного и в состояние клиента, которых вложил в сайт душу, а тут из-за уязвимости в КМС он теряет.
Моя практика говорит что после блокировки аккаунта идет негатив, а после блокировки файла и уведомлении наоборот.
-------
А по теме: есть у кого новости?
К сожалению в своих логах не смог найти откуда ноги растут.
p.s. кстати этим летом какое то наводнение по спаму на шареде. Зафиксированных случаев больше в десятки раз чем за предыдущие 5 мес.
Господа хостеры! Ну пожалуйста, не лезьте вы в файлы юзеров без их на то ведома\согласия. Даже если вам кажется, что там какая-то "бяка".
Господа НЕДОклиенты, сперва изучайте что вы заливаете и не создавайте проблем остальным на сервере и будет вам счастье.
---------- Добавлено 07.07.2013 в 06:18 ----------
И кто думает, что клиенты радовались возникшими на пустом месте проблемам, с которые по нескольку дней мучились?
А они наверное думали что хостер тащился от радости выгребая сотни спама из очереди?
WapGraf, 7c334.php уже довольно давно используется и скорее всего проблема в версии вордпресса.
у меня другой вопрос: посмотрите у своих клиентов, которые на вордпрессе, папку /wp-content/uploads/любой_год/ - есть в ней файлы небольшого размера, имена - md5 хэши, jpg, но не картинки - спам - появляются или пока нет???
несколько сайтов уже видел с таким спамом, появился видимо новый способ испортить людям жизнь...
WapGraf, 7c334.php уже довольно давно используется и скорее всего проблема в версии вордпресса.
у меня другой вопрос: посмотрите у своих клиентов, которые на вордпрессе, папку /wp-content/uploads/любой_год/ - есть в ней файлы небольшого размера, имена - md5 хэши, jpg, но не картинки - спам - появляются или пока нет???
несколько сайтов уже видел с таким спамом, появился видимо новый способ испортить людям жизнь...
Подтверждаю наличие следующих файлов, после "чистки"
Однако все они нулевого размера. При этом POST запросы зафиксированы только на wp-login, никаких бяк туда не передавалось, POST содержит банальные брутфорсы.... изучать GET ? :D
Но есть одно НО, они почему-то создаются в коре года, а обычно WP раскладывает еще и на месяцы....
Еще есть POST-ы от крона...
Но их количество не соответствует кол-ву файлов, стало быть в кроне чисто... а то теоретически и оттуда может уже поступать что-то :D
Зафиксировал несколько попыток обращения на файлы якобы залитые еще месяц назад.... ))) точечные, не от ботов :D
---------- Добавлено 07.07.2013 в 07:26 ----------
/// Добавлено
Изучив логи согласно времени появления непонятных JPG наткнулся на то, что в это время обычный "Ezooms/1.0" посещает сайт... причем на произвольный урл.... Немного поковырялся, потестировал, оказалось, что файл создается в момент посещения любого сокращенного урла, типа www.domain.com/gde-kupit-kartowku
Стало быть надо смотреть в "темы" или "шаблоны" ??? Такой пустой файлик носит уникальный характер, скорее всего завязан на IP.... надо изучать дальше, потому что при удалении файла .... и нажатии F5 в браузере ... файлик появляется точно с таким же именем.....
Возможно это какой-то суперкеш нулевой длинны ))) не уверен я в WP Не особый знаток.... ;)
WapGraf, 7c334.php уже довольно давно используется и скорее всего проблема в версии вордпресса.
у меня другой вопрос: посмотрите у своих клиентов, которые на вордпрессе, папку /wp-content/uploads/любой_год/ - есть в ней файлы небольшого размера, имена - md5 хэши, jpg, но не картинки - спам - появляются или пока нет???
несколько сайтов уже видел с таким спамом, появился видимо новый способ испортить людям жизнь...
Нет, таких файлов после чистки и апгрейда нету.
---------- Добавлено 07.07.2013 в 10:25 ----------
Запросов от "Ezooms/1.0" много, но это обычный бот, который начинает свой путь как и положено из /robots.txt. Кроме этого количество запросов к 1 домену довольно невысокое, чтобы говорить о том что это не обычный поисковый бот.
p.s. subnet 208.115.113/24, 208.115.111/24