- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вас поломали через битрикс или самописные модули к нему или еще какое-то веб-приложение.
Это было сотни раз и еще много раз повторится.
Слова типа докер, киссинг и майнер не имеют в этом случае никакого значения.
К чему вся эта детективная история? Полноценное расследование не окупится.
Только если вы прям вот лично готовы изучить весь админский инструментарий и заниматься этим неделями.
Вы пытаетесь по внешним проявлениям эксплуатации уязвимости определить путь внедрения, а эти вещи между собой не обязаны быть связаны.
Традиционный метод решения в нищем вебе - все удалить, погуглить какие модули имеют общеизвестные дыры, обновить и снова наполнить сайт.
---------- Добавлено 02.02.2020 в 19:17 ----------
вот это разумное предположение. И на русских форумах тоже есть.
redis не был зафайрволен? и memcached часто бывает открыт.
И все они, бывает, хранят какие-то коды или кеши используемые сайтом.
Дело в том, что в httpd логах запросов / ошибок нет ничего криминального.
Крон тоже чист. Важно понять через что взломали (как.) тогда можно будет закрыть инцидент.
Сервер, где сейчас живет зверек переносить - это + 20 дней геммороя в первую очередь же мне. А мне оно, если честно не нужно, я изолировал зверька fw туда и обратно + chattr подножки расставил. Все. он не запустится от слова никак. Я хочу разобраться через что дергают его и как.
В логах
/var/log/httpd/error_log
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- 0:02:07 --:--:-- 0curl: (7) Failed connect to 217.12.221.244:80; Connection timed out
На сервере проверил таймеры системные и кронтабы - пусто. А это значит, что дырка через что суют есть;
Перенести данные можно всегда, но как выше говорил - для меня это обернется легким адком (( но еще есть пару серверов.. и зная, через что сломали - смог бы предотвратить это.
В теории вообще похоже, что через bitrix. Так как вирь работает от httpd (bitrix user), но.. в логах запросов httpd тишина. То есть какие-то сканеры публичные .. но ничего криминального. Там должен быть какой-то запрос содержащий curl слово.. ну а если нет - то значит что-то осталось на сервере.
---------- Добавлено 02.02.2020 в 22:16 ----------
Формально можно попробовать его обмануть и вычистить, но нет гарантии, что он запрятался где-то дальше, чем в тех местах, что описаны в этом файле.
Там ничего криминального в этом .sh нет.
Удалить два файла, убить крон. SElinux, все.
Другое дело, что подтянуть этот файл пытаются... еще и еще раз ☝ понять бы как
Если есть предположение что через Битрикс - то может быть встроенный модуль Проактивная защита включить и все параметры в нём на максимум защиты переставить (там несколько уровней) ?
Там ничего криминального в этом .sh нет.
там, имхо, криминальное, что для скачки ex.sh в кроне он меняет айпи, то есть, теоретически каждый раз файл может быть разным.