Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 11.02.2020, 23:01   #1
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

По умолчанию Мой блог взломали

Здравствуйте!
Похоже мой сайт взламали! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.

Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!

Злоумышленник по прежнему работает!

ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
tstas вне форума   Ответить с цитированием

Реклама
Старый 12.02.2020, 07:16   #2
lkm
Академик
 
Регистрация: 16.03.2012
Сообщений: 2,536
Репутация: 204500

По умолчанию Re: Мой блог взломали

Такой сайт и взломать не грех.
lkm на форуме   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 12.02.2020, 09:42   #3
spanjokus
Кандидат наук
 
Регистрация: 08.06.2018
Сообщений: 474
Репутация: -28271
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Мой блог взломали

Ох уж эти новодельные сммщики, забаньте его уже что ли
spanjokus вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 12.02.2020, 12:05   #4
fliger
Кандидат наук
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 447
Репутация: 13634

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от lkm Посмотреть сообщение
Такой сайт и взломать не грех.
Когда-то на заре Интернета вебмастера, создавая сайты, сначала осваивали html, css. Потом продвигались в постижении PHP, JavaScript и других языков программирования, шлифуя код. Теперь можно залить на любой хостинг какое-нибудь дерьмо типа Wordpress и на его основе сделать очередную помойку. А по ходу ковыряния в этой помойке спрашивать на форумах, что с ней не так.
fliger вне форума   Ответить с цитированием
Старый 12.02.2020, 12:16   #5
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 19,007
Репутация: 1530187

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от tstas Посмотреть сообщение
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
https://codex.wordpress.org/%D0%A7%D...B0%D0%BB%D0%B8
__________________
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Старый 13.02.2020, 19:17   #6
tstas
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

ТопикСтартер Re: Мой блог взломали

Спасибо за ответы!
tstas вне форума   Ответить с цитированием
Старый Вчера, 10:49   #7
tstas
Абитуриент
 
Регистрация: 11.02.2020
Сообщений: 3
Репутация: 10

ТопикСтартер Re: Мой блог взломали

Проблема решена, спамер найден и удален! Всем спасибо, особая благодарность за ответы ГРУ. Посмотрел Ваши сообщения на форуме, все одинаковые, не о чем. Удачи Вам, пишите дальше!
tstas вне форума   Ответить с цитированием
Старый Вчера, 13:30   #8
Sitealert
Слесарь-сайтосборщик
 
Регистрация: 30.09.2016
Адрес: Замкадье
Сообщений: 5,910
Репутация: 428128

По умолчанию Re: Мой блог взломали

Цитата:
Сообщение от tstas Посмотреть сообщение
Проблема решена, спамер найден и удален!
Сослали на каторгу или совсем расстреляли?
Наверное, ликвидировали начисто, судя по этому
Цитата:
Сообщение от tstas Посмотреть сообщение
особая благодарность за ответы ГРУ.
__________________
Отпилю лишнее, прикручу нужное, выправлю кривое.
Вытравлю вредителей.
Sitealert на форуме   Ответить с цитированием
Сказали спасибо:
Старый Вчера, 13:43   #9
Anamnado
)..
 
Аватар для Anamnado
 
Регистрация: 08.02.2010
Сообщений: 2,288
Репутация: -24683
Отправить сообщение для Anamnado с помощью ICQ Отправить сообщение для Anamnado с помощью Skype™

По умолчанию Re: Мой блог взломали

Заключение.
Некоторые индивидуумы со своим, как они его называют крауд маркетингом, совсем сума сошли.
при этом наверняка публикуя подобное думают, что они умнее всех.
__________________
А нам надо создать сайт в Воронеже про новый шоу бизнес
Anamnado на форуме   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны