- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В общем ситуация в следующем. Есть сервер с plesk 8.6.0 на centos . По некоторым причинам вот так взять и обновить - возможности нет. И в ближайшие пару недель не будет. Но в принципе панелью никто не пользуется. Т.е. как запустили сайты, так и работает.
Проблема в том, что сервер троянят регулярно. В /tmp директорию заливают то выполняемые файлы, то еще всякую лабуду. Все делается и имеет права юзера apache. Один раз такую же гадость находил в /usr/local/psa/tmp директории, так же с правами апача. Отсюда и подозрение на панель.
Собственно в чем вопрос - можно ли как то это пофиксить ? Т.е. подойдет даже вариант заблокирования извне доступа к панели. Или каким то образом определить, как же эта гадость попадает.
Всё зависит от того, насколько запущена болезнь и какими ресурсами располагают злоумышленники.
Если всё делается только через веб, через какие-то уязвимости в панели, изучайте логи на момент всплеска "активности".
Что у вас входит в понятие "сервер троянят"?
Если вариант с ограничением доступа к панели вам подходит, вы можете установить Plesk Firewall Module и ограничить доступ к панели по IP.
Если этот модуль установить не получается, вы можете ограничить доступ к панели используя правила iptables. Обычно Plesk работает на портах 8880 и 8843, тоесть вам нужно ограничить доступ к этим портам. Еще можно прикрыть порт 8447 - plesk autoinstaller.
--
И конечно, быстрее переносите сайты на сервер с последней версией Plesk (а лучше и вовсе на cPanel). Обновлять Plesk я бы не советовал, ничем хорошим это обычно не заканчивается.
В /tmp директорию записываются файлы с правами апача, которые являются скриптами или бинарниками. Боты в основном для рассылки спама и сканирования других серверов.
Обычно такие дела делаются через уязвимости в скриптах сайтов. Если бы ломали через панель и получили бы доступ к руту то наворотили бы куда больше дел, да и оставлять следы в /tmp не стали бы. Шеллы закачивают на сайты и потом подкачивают полный набор.
дело не в панели, а в сайтах, обновите им движки, модули-плагины.
директории, на которых стоит stickey-bit (/tmp,/var/tmp и прочие)примонтируйте как -o bind, noexec . на этом форуме в ветке "безопасность" есть прикрепленная тема "если сайты троянят" или как то так - с кучей хороших советов - как бороться
дело не в панели, а в сайтах, обновите им движки, модули-плагины.
Я бы не был столь категоричен. Не обновленные Плески ломали пачками.
Начать можно с http://kb.parallels.com/en/113424
---------- Добавлено 18.10.2013 в 08:08 ----------
http://kb.parallels.com/ru/113321
Проверьте, что у вас стоит 8.6.0 MU#2
Там от сайтов, наружу только одна форма авторизации торчит. Да и движки все самописные, с кодом ядра не доступным вэб директории.
V(o)ViK, спасибо, пойду по ссылкам искать у похожие симптомы.