Помогите найти проблему - взломали все сайты на одном сервере под разными юзерами

Тоже второй раз ломают сервер именно на firstds, тех поддержка предлагает платные услуги, мол дырявая у меня cms...

На сервере пару доменов где простая html страница с приветсвием! Смехота! Самое интересное что у всех моих знакомых кто юзает firstvds возникло тоже самое. Есть подозрение что со стороны тп был какой то массовый слив.

---------- Добавлено 08.12.2017 в 17:38 ----------

Первый взлом был месяц назад, был тот же файл что и сейчас xml.php

А сегодня пришло писемцо о том что у меня майнер стоит...

Так же - Firstvds, Centos.

CMS - MODx REVO, Joomla.

Сегодня также взломали сайт на firstvds, чтобы подключить virusdie требуется обновление панели(стоит 250 рублей) плюс потом за вирусдай плати.

Centos - wordpress, также обнаружен xml.php

Буду искать дальше

по ходу это теперь глобальная проблема будет. :(

Согласен с мнением, что неправильно настроены права доступа. И open_basedir не всегда спасёт.

нашел кто нибудь уязвимость? а то думаю переезжать от firstvds?

Нет, но тоже думаю съехать от них.

Аналогичная ситуация, впс на firstvds, поломали все сайты на вордпрессе. Был файл xml.php в корне и помимо этого куча других файлов в разных папках, плюс некоторые системные файлы движка изменены. Прислали тикет о том, что на сервере по для майнинга, также я еще заметил, если перейти на сайт с поисковика, то редиректит на сайт казино.

Уязвимость у них в настройках серверов. Например плагины и темы для вордпресса можно поставить прямо из админки в 1 клик, тогда как на других серверах просит ввести доступы фтп. В 1 клик все конечно удобно ставить, но вот с безопасностью беда.

Советую посмотреть в базу данных скрытых пользователей. Возможно один из пользователей не ваш. На данный момент чищу сайт с похожими симптомами, а база это то место где ищут редко и сканерами особо не проанализируешь, только свои скрипты и ручная работа.

измените апач префорк на mpm_itk