- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
измените апач префорк на mpm_itk
Так изначально и стоит mpm_itk
вот не понимаю, смысл гнать на firstvds, если они предоставляют изначально голую VPS с установленной выбранной OS?
смотреть лог ssh\ftp post запросы к сайтам - там все ответы.
Каждый сайт = 1 юзер.
Если не настроить правильно веб-сервер, то эти телодвижения тщетны. Имея троян или уязвимость в одном сайте, можно взломать все..
Каждый сайт = 1 юзер.
А что это дает?
скорее всего зловредные файлы создает не один из созданных пользователей, а апач (www-data)
Для того, чтобы что-то дало разделение - нужно еще выставить права на папки с сайтом хотя бы 0755
чего гадать-то, покажите какие именно права на файлы и диры
и как организовано разделение прав веб-сервера
проблема 99% в этом
злоумышленник с взломанного пользователя через proc_open или типа того в обход open_basedir смотрит доступ к базе данных другого пользователя, меняет пароль админа, заходит в админку и заливает шелл
в битриксе и ряде других cms можно шелл прямо в базу засунуть
ну или тупо находит диру 777 и туда заливается
в битриксе можно шелл прямо в базу засунуть
При включённой проактивной защите ?
suffix, при включенном чем угодно :)
если мне память не изменяет, таблица site_templates содержит исполняемое условие для подключения шаблона
php-код, куда можно добавить любой свой
То же самое: firstvds + centos. Куча сайтов на WP - каждый под своим пользователем. Все поломаны - в корне xml.php и куча зашифрованных php скриптов по папкам. Файлы зловредов создаются от пользователя apache. Задолбался вычищать уже. Несмотря на принятые заранее меры: чистый свежий WP, отключенный ftp, дополнительную авторизацию на файлы wp-login.php (через апач), удалённый xmlrpc.php...
Есть подозрение, что заливается каким-то (каким???) образом файл в mod-tmp (следы есть) и оттуда уже ползёт зараза дальше. Проверьте у кого такой же взлом.
При этом - есть пользователи, под которыми крутятся сайты без CMS, ну или на самописе - там чисто. Есть юзеры с файлами wp, но дропнутыми доменами, т.е. условно недоступными снаружи - тоже чисто.
Из чего делаю вывод - что ломают конкретно WP. Извне.
Разобрался кто с источником заразы?
---------- Добавлено 10.01.2018 в 16:59 ----------
Советую посмотреть в базу данных скрытых пользователей. Возможно один из пользователей не ваш. На данный момент чищу сайт с похожими симптомами, а база это то место где ищут редко и сканерами особо не проанализируешь, только свои скрипты и ручная работа.
Спасибо, почистил - искать по нику "Service"
Но вопрос открыт - где дырка?
Но вопрос открыт - где дырка?
В "бесплатных" темах и плагинах с помоек.
Или с даже некогда установленных с репо, но после удалённых по причина найденных там уязвимостей. Те использование древних версий
В "бесплатных" темах и плагинах с помоек.
Это было бы слишком просто. Не мой случай. Ломают даже голую "twentytwelve" на голом свежеобновлённом WP. За пару часов. Включил логирование POST запросов - шлётся некая белиберда к index.php вот такого вида:
Или вот такая:
Вероятно (не факт, т.к. время создания файла меняется) именно после этого в корне сайта появляется зловред - бэкдор, к которому идут уже другие пост запросы и закладки рассовываются по файлам. В общем уязвимость где-то на стыке апача (т.к. обнаружились незатёртые файлы сессий в папке php-tmp c <php echo "test"; ?> внутри) и WP. Пока не выяснил где именно.
У меня другая мысль появилась - ну это же идеальный хонейпот. Я отловил всего около 15 ip адресов, с которых идёт управление бэкдорами на моих сайтах. IP сейчас не дешевые, неужели никто централизованно/промышленно не борется с ботнетами отправляя их ип в бан? CloudFlare как оказалось пропускает их, зато мой динамический ип билайна всегда выхватывает их капчу.