- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
1. Есть Сервер. На нем несколько сайтов.
Каждый сайт = 1 юзер.
На все сайты загрузили какие то скрипты одновременно.
Файлик xml.php в корень, в через который все грузят
Я не совсем понимаю, как такое возможно. Даже если взломали одного юзера, другие то должны быть целы?
Сайтики на WP и DLE, еще пару движков.
CENTOS + ispmanager
Нужны советы, куда глядеть.
В логах есть пост запросы на данные файлы естественно с разных ip
Как понять, откуда проблемы?
Так WP и DLE если не последней версии и с кучей модулей, ломаются на раз два. Также возможно неправильно настроены права и можно попасть из одного аккаунта в другой.
абсолютно на каждый сайт?
cms везде одинаковая?
посмотри /var/log/secure на предмет записей вида "Accepted password" и "session opened"
А что за хостинг?
Хостинг Firstvds
---------- Добавлено 08.12.2017 в 12:03 ----------
абсолютно на каждый сайт?
cms везде одинаковая?
посмотри /var/log/secure на предмет записей вида "Accepted password" и "session opened"
Да, каждый сайт.
Такого лога по этому пути вообще нет...
Если каждый сайт = 1 юзер, и при этом взломали их все, то на сервере явно беда с разграничением прав доступа. Или взломали сервер целиком.
Проверьте, может ли скрипт на одном сайте изменять файлы другого сайта?
Знаю ещё о трёх таких же взломах.
По логам вижу попытки подключения по ssh из США и Индии.
Затем под каждом из пользователей размещают скрипт для майнинга.
Знаю ещё о трёх таких же взломах.
По логам вижу попытки подключения по ssh из США и Индии.
Затем под каждом из пользователей размещают скрипт для майнинга.
Ну да, скрипт для майнинга тоже был.
КАк лечили то ну или что удалось раскопать?
Ну да, скрипт для майнинга тоже был.
КАк лечили то ну или что удалось раскопать?
нашёл все файлы через Virusdie, и вручную всё чистил.
Задал вопрос ТП вопрос о серии взломов - жду ответа
А open_basedir был настроен?
А open_basedir был настроен?
У меня да
php_admin_value open_basedir "/var/www/.../data:."
---------- Добавлено 08.12.2017 в 14:37 ----------
нашёл все файлы через Virusdie, и вручную всё чистил.
Задал вопрос ТП вопрос о серии взломов - жду ответа
А какой хостинг, Операционка, на каких движках сайты?
Похоже на мои?