Помогите найти проблему - взломали все сайты на одном сервере под разными юзерами

И что? Ну ок, шлется. Она как-то может что-то повредить? Или хоть что-то сделать. Нет.

Хотя да, может, но только в том случае если шелл УЖЕ залит. А заливают его в 99% случаев сами вебмастрера. В темах/плагах с помоек или древних с репо (в тч и уже удалённых от туда). Или вирусы в ПК.

Иногда и через хостера.

тоже чистил впс openvz firstvds в корне xml.php шелл. жалко только логи затерлись - не смог найти откуда залили

вот бы для чистоты эксперимента создать нового пользователя isp и установить туда чистый wp - и если зальют - прошерстить все логи http , ftp и isp. обращайтесь возможно помогу - самому интересно откуда льют- тем более у всех так массово

IP у них бесплатные. Может быть, и Ваш IP у кого-то в подобном списке. 😂

Дело совсем не в WP. А именно в firstvds и возможно centoc...

было несколько серверов у них, один просто пустой был с добавленными доменами и php страницей-заглушкой. (домены с трафом были). а другой с тдс кейтаро и ничего более. В ноябре первый раз ломанули тот же xml.php Был и инклудился в index.php все почистил, ради эксперимента сменил везде пасы, и заказл новый сервак вместо предыдущего пустого.... так прям 1 января залили третий раз!

тп отписывается мол проблема в дырявом движке моего сайта (а у меня просто страница заглушка созданная isp при добавлении домена)... и предлагают платные услуги каких то "якобы других" ребят.

Или разводят так или реально глобальная дырень не связанная с wp точно!

Решил просто - переездом.

Не кажи "гоп"!

Впереди ещё 23 февраля и 8 марта.

думаю все будет нормально, я сразу проверил все другие сервера а их порядка 20 шт, проблема только у firstvds о чем подтверждает данная тема если почитать внимаьтельно

Я обновил ПО на серверах, вроде больше не ломали)) Следим за ситуацией

Сижу, никого не трогаю, примус сайты починяю.

Концы тянутся к 30.12-01.01 числам, увы логов уже не сохранилось. В эти числа были залиты бэкдоры, в системные файлы движка, тем и плагинов WP. Найти их у себя можно выполнив запрос в SSH:

find  -name "*.php" -exec grep -bH "                                                                " {} \;

(в первой строчке куча пробелов, после которых идет обфусцированный код).

В сегодняшних логах замечено следующее: 3-4 подряд post запроса. Первый - к залитому ранее дору (папка doc,journal и т.п.). В ответ 404. Следующий - к залитому ранее шеллу (exist.php и т.п. в корне) - ответ 404. И тогда уже к закладке залитой в указанные числа. После чего восстанавливается шелл в корне и всё начинается заново.

Что интересно. Свежий шелл создаётся с отличными от остальных файлов правами и от пользователя апач. Поэтому легко найти через ssh:

find -name "*.php" -user "apache" 

find -name "*.ico" -user "apache" 

Однако, что интересно - залитые в новый год закладки имеют права 777 и главное - пользователя root. Что хреновые мысли навевает по поводу источника заразы. Пароль рута сменил, ключ ssh ТП грохнул, хотя там в логах и чисто везде.

Пока всё почистил, 2 часа тихо. Наблюдаем.

фирст не хочет признавать что по их вине взлом, а вп не причём...

хотя написали что разбираются в такой массовой проблеме, но особой поддержки и действий не вижу.

Сам принял ряд мер.

пишущие что вп виноват и помойка, вы же не всезнающие. а те кто ломают и заливают майнинг на три головы выше вас.

причина взлома в моем случае скорее всего из за дырявой панели isp5 которая не обновлялась (стояла isp5 еще версии без пакетов os - обновить такую нельзя только реинстал ос) и хозяин не обновлял ос 3 года.

после реинсталла ос и панели isp5 последней версии https://www.ispsystem.ru/software/ispmanager/changelog проблема ушла.