- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
кто шарит, гляньте код, который я выложил, что он значит?
вот в этом посте /ru/forum/comment/12072918
похоже, что ломают cpanel и используют папки tmp, .cpanel
Нашел у себя точно такой же лог, в си панели у себя видел, что последний вход был не с моего ай пи, это был второй взлом после полностью замененных паролей, установок заплаток и поиска шеллов.
Столкнулся с данной проблемой на своем сервере.
ПРИЧИНУ НАШЕЛ! Но обо всем по-порядку.
У меня сервер разбит на несколько учеток, на каждой 2-3 сайта. Впервые обнаружил код в начале августа. На всех(!) своих сайтах.
Сперва подумал о мощной волне брута на популярные cms, и решил, что причина в этом.
Проверка на вирусы, изменение паролей, доп. аунтентификация к админке ничего не дали. Код снова был добавлен в те же файлы. Дата изменения файлов при этом оставалась прежней.
Затем мои админы выяснили (за что им спасибо), что источником изменения стали файлы "sysmetvpn.php", которые временно создавались в корневых папках и удалялись. Этот файл создавался и удалялся под учеткой Администратора 😮
Сообщение dendav об исчезновении проблемы после смены сервера подтверждает то, что код мог добавляться под учеткой админа.
ОК, я проверил комп на трояны - ничего не нашел. Чуть погуглил, нашел эту тему и заметил, что все хостеры, обсуждаемые в этой ветке, в качестве биллинга используют рутпанель.
31.07.13 вышло критическое обновление биллинга, закрывающее "возможность выполнения злоумышленником SQL-инъекции". Странное совпадение, что все беды начались примерно с начала августа.
Возможно это и было причиной получения доступа к учетке админа. Может причина в другом, но факт в том, что изменения производятся из-под Админа.
Таким образом, изменения паролей, прав доступа и пр. ни к чему не приведет. Тормошите хостеров, чтобы обновили рутпанель, если они еще этого не сделали, и сменили пароли админа сервера.
еще: хостлайф (спанель), сначала в вордпрессе, через несколько дней в друпале в js прописали...
seomaniac, что и требовалось доказать, ломают хостинг, это по моему логу было понятно...просто бесит, что саппорт никак не реагирует..
Тоже ломают сайт постоянно, так же на хост лайфе
У меня первое заражение было 23 июля. Отключенные сайты (были перенесены на другой хостинг, но сохранялись в папках) не трогало. Движки DLE, Joomla,один сайт на самописном, практически везде заражалась библиотека jquery. Два хостинга, на каждом было по два аккаунта, все на ispmanager. грешил на ftp, но еще 3 хостинга, от которых были сохранены пароли не тронуло. Саппорт морозился в обоих случаях, несмотря на то, что на том же сервере куча других зараженных сайтов (смотрел по ip, кидал ссылки в тикет).
Первоначально находил файлы по свежей дате изменения, потом видимо усовершенствовали код, и дата не изменялась.
Приятно осознавать что проблема не только у меня и что виноват хостер а не файлы движка и их плагины.
Первые вредоносные файлы вписались в JS 7 и 10 августа, после 10 августа проставил на большинство папок 555 права а на файлы 444. Зловредов больше нет.
Друзья, когда первый раз обнаружили вредоносный код на сайте? У меня 6 августа. Напишите хотя бы приблизительно.
Пишу дату точно: первое письмо от Яндекса с сообщением о вирусе пришло 6 августа примерно в 22-00
мда... саппорт ничем помочь не может, стандартные отписки... я сваливаю с Хостлайф...
отписывайтесь в саппорт с проблемой + ссылку на этот топик кидайте