Помогите найти проблему - взломали все сайты на одном сервере под разными юзерами

та же фигная на Firstvds, еще до НГ отключили ВДС, прислали письмо, что был запущен скрипт майнинга. Прошерстил файлы, а там ужос. Куча левых файлов , куча измененных. Все сайты на WP, почтистил, вроде пока ок.

у кого есть или будут проблемы с майнингом делаем следующее.

1. занулить права на файл xml.php для всех файлов на всех сайтах, всех пользователей.

2. Нужно прописать во всех файлах php.ini строку:

disable_functions = mail ( убьёт спам рассылку )

Перезагрузить веб сервер service apache2 restart

3. Обновить всё ПО сервера для которого есть обновления.

4. cron команды:

Удаление всех файлов из папки mod-tmp каждую минуту. ( сюда загружаются майнинг скрипты )

* * * * * /usr/bin/find /var/www/*/data/mod-tmp/ -type f -delete

5. временное решение, добавить в планировщик такой скрипт, он будет убивать нагружающие процессы:

#!/bin/sh

ps auxf | grep mod-tmp | awk '{if($1!="root" && $3>10)print $2}' | xargs kill -9;

ps auxf | grep "\./httpd" | awk '{if($1!="root" && $3>10)print $2}' | xargs kill -9;

ps auxf | grep '/var/www/' | grep -v -E '(php -f|cagefs|/usr/bin/php|php-cgi)' | awk '{if($1!="root")print $2}' | xargs kill -9

это всё временное решение, но очень даже всё помогло при массовом взломе, как минимум перестали прилетать тикеты с угрозами о блокировке серверов и пропала нагрузка.

нашли несколько дырок в картинках тем шаблона. Вероятно что льют так. но мнений много как и дырок у вп.

---------- Добавлено 14.01.2018 в 19:31 ----------

rustelekom вы можете продолжать свою песню сколько угодно, к вам НИКТО не прислушается, ваше мнение нам побоку. Оно НЕ правильное.

nsite - удалось выяснить как именно льют в mod-tmp и как оттуда запускают? По идее этот каталог шеллу не должен быть доступен.

Вообще-то, ничего такого неправильного он не написал. Обычное разъяснение позиции по договорным отношениям. И в принципе правильная позиция - делать то, что предусмотрено в договоре. Для меня представляется неправильной скорее позиция "я договор читать не буду, но вы обязаны делать всё, что мне мыслится необходимым".

да все что угодно можно прописать в договоре... хоть квартиру переписать при покупке вдс... дело в отношении к клиентам! банально закрыть дырки в ПО которое предоставляется хостерами! они все равно лучше знают что да как, а наше дело? все же это не ддос, и не тем более ЕДЕНИЧЕНЫЙ случай взлома когда какой то вася свои пароли прохерил...

и уважаемый rustelekom писал что нет доказательcтв... ну а какие нужны доказательства? если фирст обвиняет в корявом wp, которого лично у меня небыло на сервере... ну а то что у других он установлен, так это просто движок такой популярный!

Думаю, что это они делают. Другой вопрос, что уязвимость - это такая вещь, которую надо знать, для того, чтобы закрыть. Хостер не разрабатывает ПО, поэтому к нему могут быть претензии по известным незакрытым уязвимостям. Но выше разговор шёл даже не об этом.

И на самом деле, на ВДС к хостеру вообще не должно быть претензий за рамками договора. В этом случае, по сравнению с шаред-хостнгом, пользователю хостинга предоставляется максимальная свобода, иначе нафиг этот ВДС нужен был бы.

Sitealert так дело же в том что они и НЕ доказали мне по крайней мере, что ломают мои вп !!! Понимаете ?

И ладно бы сломали 1-2 сервера, а уже массовые взломы прошли. Это не странно уже, это проблема их.

Выше человек пишет что у него и не вп, то есть все движки дырявые, сами виноваты!!!

Ну и рустелеком темой ошибся, название прочитать стоит, перед тем как бумажками тыкать.

ну если просмотреть тему хорошо, то данная проблема только у фирстов, не думаю что они занимают 95% рынка... согласитесь?

именно по этому все это наводит на мысли что уязвимость именно в их по или где то еще. не мне это знать.

Для того чтобы его исправить, нужно сначала его найти и понять, как его исправить. Лично я без понятия какой дырой воспользовались злоумышленники, поэтому винить кого то не взялся бы. Это может быть как быть как ошибка и хостера, и разработчика панели (у них isp) насколько я помню.

Мне вот интересно, а если взлом осуществлен с помощью бага в процессорах Intel из за их архитектуры, то винить опять будете хостера?

Почему он не перелопатил всё на своем сервере, выпустил патч для каждой операционной системы?

Мнение то как раз правильное у rustelekom, а вот то что Вы не умеете принимать информацию, которую до вас пытаются донести - печально.

Прокомментировать вашу позицию можно лишь вашим ранним ответом:

В договоре нельзя прописать все что угодно. Если пункт договора противоречит законодательству РФ, то он автоматически не принимается во внимание.

Если же Вы готовы подписывать договор (соглашаться с ним), не читая его, то может возьмете еще займ у микрофинансовой организации?

p.s. никакого отношения ни к фирстам, ни к рустелекому не имею.

ASVD название темы прочти троль