blacks

Рейтинг
69
Регистрация
04.12.2008
Вирус на хостинге - а хостинг молчит!
seocore:

и еще момент, допустим open_basedir не даст r57 выйти "выше" пользовательского уровня, однако есть же perl, на худой конец php -n можно забацать и проигнорировать mod_php директивы и php.ini файл :D

- прочел первый раз и подумал что вы про защиту

- перечитал и понял что про атаку :)

- если у вас есть опыт не подскажете по защите тех же самых php 🙄 ?

2 seohnik

- согласен

Вирус на хостинге - а хостинг молчит!

2 Brim.ru

вот время изменения файлов я и не посмотрел 🙄

Прихожу к выводу что лучше "тестилкой дырок" и не пользоваться...

Хотя у хостера есть 3 дня теста - моно зарегиться и проверить :o - дело ;) ?

Вирус на хостинге - а хостинг молчит!
Brim.ru:

- если сайт заражен с сервера, то в FTP-логах данных о зараженных файлах не будет

Спасибо.

Утончю - по фтп логам кто-то был в момент инфиуирования значит что хостинг не виноват :) ?

Brim.ru добавил 04.07.2009 в 00:10

- если хостер заметит использование программ такого рода у него будут весомые основания залочить Ваш аккаунт или прислать Вам предупреждение, так как этот скрипт относится к категории malware приложений.

- тогда не стоит пробовать?

- или один "тест" такой программой еще не очень плохо :o

Вирус на хостинге - а хостинг молчит!
acdel:
Вы в этом уверены?

Не исключено что у хостера были коряво настроены права доступа к каталогам, иначе говоря расшарены папки.
Как сказал netwind, можно веб шеллом r57shell лазить по папкам всего сервака, сам лично сталкивался с таким хостером, когда я с правами веб сервера мог редактировать любой файл в любой папке, включая папки соседних сайтов.

2 acdel

и

2 netwind

- если r57shell лекга в управлении(и если вас это не обеспокоит) не моглиб написать краткое

пособие как ей "проверить сервер"- просто я бегло посмотрел ее характеристки и понял что

у нее много вариантов использования/применения. К сожалею сейчас времени на изучение нет :(

acdel:

Но не факт, если вы с помощью веб шелла не можете попасть куда вам не следует попадать, а именно иметь доступ в каталоги за пределами вашего аккаунта то этого неможет зделать кто-то другой. Потому как все зависит от версии ПО на сервере, и как часто хостер его обновляет Потому как зачастую злоумышленники этим и пользуются, после того как находятся уязвимости в этом ПО.

Спасибо.

acdel:

ТС, могу сказать с 90% уверенностью, что если у Вас на сайте трафик до ~2к посетителей то Ваш сайт был протроянен по вине хостера, если более 2-3к трафик то ищите уязвимость(ти) в скриптах вашего сайта.

- немного добавлю что версию "храниние паролей на винте и в программах" тоже добавит свой %

(или вы имели ввиду исключительно проблемы заражения не связанные с "новичками"?)

Вирус на хостинге - а хостинг молчит!
*orion*:
100% хостинг здесь не при чем)

Намек понят.

Но вот хостинг тоже может быть дырявым, может быть тех поддержка плохой.

netwind:
Сложно сказать. Антивирусы считают эту программу вредоносной. А по сути это просто посредник по исполнению разнообразных команд на php.
И по результату работы еще нельзя делать выводы о правильной настройке сервера. Если не удалось - еще не значит что хостинг нормальный.
Однако самую очевидную возможность одного клиента нагадить другому позволит проверить.

Понятно. Спасибо. По изучаю программку на досуге - что к чему.

Вирус на сайте / Защита входа на FTP

Знающие люди подскажите пожалуйста чем VMware лучше Virtual Box

- почтил обзор в одном из комп журналов - пишут что Virtual Box меньше памяти кушает.

а для меня это важно. Но в основном важна защита(тема топика)

Спасибо

Вирус на хостинге - а хостинг молчит!
DyaDya:
Этот факт вы откуда взяли? Доказательства собрали?
Выкладывайте логи, имя хостинга, пишите заяву в прокуратуру. Какие проблемы-то?!

Если дыра у хостера, то почему было других заражено только 9? У хостера всего 7+9 сайтов на серваке?

Кто кого заразил, ещё нужно доказать. Возможно эти 16 сайтов на одном дырявом движке, тогда причём хостер-то?

Если обвиняете кого-то, то не помешало бы привести больше фактов.
Спасибо.

Ссылочку в 7м посту посмотрели?

blacks добавил 03.07.2009 в 19:04

netwind:
весело, однако там только лишь подозрение (that appeared to function as intermediaries ).
учитывая объем сайтов по этой ссылке ( а сгруппировано по всей сети peterhost-а) вероятнее всего заражение происходит когда вебмастеры сами заходят на зараженные сайты. Слишком мало это 9 сайтов на всю сеть.

Спасибо. Дельно.

"Когда вебмастеры сами заходят на зараженные сайты" - вы имеете в виду по FTP ?

По моим логам заражение было с IP китая, австралии, сша :))

netwind:

Чтобы проверить хостинг, попробуйте программку r57shell. Если она действительно вам выбраться наверх и даст редактировать чужие файлы, такой хостинг действительно плохой.

Ммм интеренесно. А такая проверка наказуема или все нормально так хостинг проверить?

Вирус на хостинге - а хостинг молчит!
DyaDya:
ТС, вы кстати, фтп случаем не храните прямо в фтп-клиенте?

Почитайте внимательно ссылочку что я привел. Вроде не "гугол их заражал" 🙄

По поводу антивирусов, антишпионов, firewall, chmode, ftp клиенты:

- все сделано.

Вопрос работе хостинга и его отношения с клиентами 😡

Вирус на хостинге - а хостинг молчит!
masttack:
blacks, а какой хостер? если не секрет?

Посмотрите внимательно ссылочку 😎

(а просто в топике не считаю нужным светить бренд ;))

Вирус на хостинге - а хостинг молчит!
sysadma:
Да знакомая ситуация, контора случайно не в киеве находится? ;)

Нет не в Киеве :)

Brim.ru:
- требовать FTP логи, если по логам окажется что зараженные файлы сайта изменены по FTP, попросить сменить FTP пароль, проверить свой компьютер на вирусы, почистить файлы и жить дальше :) А если по логам окажется что заражение произошло внутри сервера, то требовать сатисфакции - чистка сайта или восстановление из бэкапа за счет хостера, компенсации простоя, вообще в этом случае лучше поменять хостера, так как наличие кривых настроек сервера потенциально сулит проблемы с таким хостером и в дальнейшем, но все же более вероятно что проблема на Вашем личном компьтере и FTP-пароль скомпрометирован.

Логи смотрел. В те часы когда сайты заразились были с разных IP

По геотаргетингу - Великобритания, Китай, Австралия...

Пароль сменил, на вирус проверил, защиту усилил.

Сайты стирал сам, бекап с хостинга дали... правда самый ранний был за 3 дня до моего

запроса и он получился ха несколько часов до заражения :/ Но не факт что он чист.

"По логам что заражение с сервера" - как это определить по IP ?

netwind:
что прям так в гугле и было написано? с восклицательным знаком?
Я вообще не понимаю каким образом гугл может заключить какой из сайтов заразил конкретный сайт. По-моему нереально. А значит вы тут врете все.
Проверяйте на вирусы рабочие компьютеры.

Вот ссылочка анализа гугла:

http://www.google.com/safebrowsing/diagnostic?site=AS:35569&

Прокомментируйте пожалуйста.

seohnik:
Была найдена уязвимость в скриптах хостера(или корявые настройки прав доступа в каталоги у хостера), проифреймили весь сервак, уверен в этом на 98%. Бегите от них.

Бежать пока нет времени.

А можно как-то проверить на хостинг"уязвимость в скриптах хостера(или корявые настройки прав доступа в каталоги у хостера)," ?

1... 456789101112 ...14
Всего: 135