Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 11.02.2020, 23:01   #1
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

По умолчанию Мой блог взломали

Здравствуйте!
Похоже мой сайт взламали! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.

Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!

Злоумышленник по прежнему работает!

ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
tstas вне форума   Ответить с цитированием

Реклама
Старый 12.02.2020, 07:16   #2
lkm
Академик
 
Регистрация: 16.03.2012
Сообщений: 2,593
Репутация: 214500

По умолчанию Re: Мой блог взломали

Такой сайт и взломать не грех.
lkm вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 12.02.2020, 09:42   #3
spanjokus
Профессор
 
Регистрация: 08.06.2018
Сообщений: 508
Репутация: -26434
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Мой блог взломали

Ох уж эти новодельные сммщики, забаньте его уже что ли
spanjokus вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 12.02.2020, 12:05   #4
fliger
Кандидат наук
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 486
Репутация: 18634

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от lkm Посмотреть сообщение
Такой сайт и взломать не грех.
Когда-то на заре Интернета вебмастера, создавая сайты, сначала осваивали html, css. Потом продвигались в постижении PHP, JavaScript и других языков программирования, шлифуя код. Теперь можно залить на любой хостинг какое-нибудь дерьмо типа Wordpress и на его основе сделать очередную помойку. А по ходу ковыряния в этой помойке спрашивать на форумах, что с ней не так.
fliger вне форума   Ответить с цитированием
Старый 12.02.2020, 12:16   #5
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 19,260
Репутация: 1545053

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от tstas Посмотреть сообщение
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
https://codex.wordpress.org/%D0%A7%D...B0%D0%BB%D0%B8
__________________
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Старый 13.02.2020, 19:17   #6
tstas
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

ТопикСтартер Re: Мой блог взломали

Спасибо за ответы!
tstas вне форума   Ответить с цитированием
Старый 15.02.2020, 10:49   #7
tstas
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

ТопикСтартер Re: Мой блог взломали

Проблема решена, спамер найден и удален! Всем спасибо, особая благодарность за ответы ГРУ. Посмотрел Ваши сообщения на форуме, все одинаковые, не о чем. Удачи Вам, пишите дальше!
tstas вне форума   Ответить с цитированием
Старый 15.02.2020, 13:30   #8
Sitealert
Слесарь-сайтосборщик
 
Регистрация: 30.09.2016
Адрес: Замкадье
Сообщений: 6,154
Репутация: 435551

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от tstas Посмотреть сообщение
Проблема решена, спамер найден и удален!
Сослали на каторгу или совсем расстреляли?
Наверное, ликвидировали начисто, судя по этому
Цитата:
Сообщение от tstas Посмотреть сообщение
особая благодарность за ответы ГРУ.
__________________
Отпилю лишнее, прикручу нужное, выправлю кривое.
Вытравлю вредителей.
Sitealert на форуме   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 15.02.2020, 13:43   #9
Anamnado
)..
 
Аватар для Anamnado
 
Регистрация: 08.02.2010
Адрес: Воронеж
Сообщений: 2,398
Репутация: -42610
Отправить сообщение для Anamnado с помощью ICQ Отправить сообщение для Anamnado с помощью Skype™
Социальные сети Профиль в LinkedIn Аккаунт в Telegram

По умолчанию Re: Мой блог взломали

Заключение.
Некоторые индивидуумы со своим, как они его называют крауд маркетингом, совсем сума сошли.
при этом наверняка публикуя подобное думают, что они умнее всех.
Anamnado на форуме   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны