- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день
Неделю назад на одном хостинге на 2 отдельных шаред пакетах
у некоторых сайтов перезаписались файлы .htaccess, точнее был дописан вредоносный код по сливу мобильного трафика на сайт online56.net/s/11668
код, вычистил, сайты все внимательно проверил на наличие шелов, или изменения в файлах, написал хостеру, он типа отморозился - проблема у вас - решайте сами.
Менял все пароли, брал логи доступа по фтп (только мои IP в них).
сегодня снова перезаписали файлы .htaccess у трех сайтов, хотя у всех стояли прова 444
на одном пакете распологается 8 сайтов, но перезаписывают только у 3 (все с разными движками), остальные не трогают.
на другом пакете у того же хостера висит 1 сайт со своим движком и его тоже перезаписали, с разницей по времени в 2 минуты...
Единственным странным моментом является то, что в корне каждого пакета хостера лежит стандартный файл ISP панели .codepage Так вот у него меняется время и дата, которая совпадает с времением перезаписи файлов .htaccess в папках сайтов.
Подскажите при каких условиях меняется .codepage и какие варианты решения этой проблемы ?
Хотелось бы доказать хостеру, что проблема с его стороны и исключить такое в дальнейшем, так как сайты в течение дня получают статус с вредоносным кодом и теряют трафик с ПС.
Конечно, в том, что злоумышленники льют через дыру файлы и меняют права и даты - виноват только хостер.
причем тут хостер? разве он виноват в том что у вас лазейка в скриптах, нада вычистить, включить логирование в том числе POST и ждать.
если не можете сами то наймите тех кто может.
Конечно, в том, что злоумышленники льют через дыру файлы и меняют права и даты - виноват только хостер.
какой смысл менять дату и время на файле .codepage в корне папки хостинга ?
Если бы это было на одном аккаунте хостинга никаких бы вопросов не возникало, но файлы перезаписыват на 2 разных акках с разницей в 2 минуты. При этом сайты, которые перезаписывают различные движки (дле 9,8 со всеми патчами, самописный, Kohana).
Перед первым заражением во все три сайта был залит шел, его сразу же удалили... Хостер пишет что заливали шел PHP/Shell.G , Virus , BackDoor и предоставляет код расшифрованного файла шела, который я давал им на анализ.
все файлы .htaccess имеют права 444 и ети же права остаются после перезаписи.
без расследования нечего даже разговаривать, без фактов вы не можете обвинить хостера иначе это просто пустые слова.
сперва найдите источник проблемы.
какой смысл менять дату и время на файле .codepage в корне папки хостинга ?
Например, скрипт для массового взлома, который они используют содержит команды смены даты для этих файлов.
Действительно иногда проблема бывает на стороне хотера приблизительно раз на 10000 обращений. Поэтому мой вам совет если вы действительно думаете что такой счастливчик что проблема там - то лучше пробуйте сыграть в лотерею :) А энергию лучше потратить на обновлении ЦМС.
Действительно иногда проблема бывает на стороне хотера приблизительно раз на 10000 обращений. Поэтому мой вам совет если вы действительно думаете что такой счастливчик что проблема там - то лучше пробуйте сыграть в лотерею :) А энергию лучше потратить на обновлении ЦМС.
ЦМС все обновлены, знакомый, который пишет скрипты под ДЛЕ провел подробный анализ, удалил все сторонние модули и перепроверил права на папки и файлы.
Файлы шела, которые заливали в шифрованной и расшифрованном виде имеются в наличие.
год назад была аналогичная проблема, и заражали все акки на хостинге аналогичным скриптом, тогда хостер решил проблему и рекомендовал устанавливать 444 на эти файлы.
Из того что вы описали я бы вывел такие варинты:
1. У вас сидит троян, и он увел сохраненные логины и пароли от панели управления.
.codepage.... это ispmanager ?
просите у хостера логи доступа под вашим логином в панель, ftp, ssh.
2. Действительно массовый взлом через хостера.
3. Взлом через уязвимость.... Но если шелл вы нашли и сдали на анализ хостеру без использования антивируса - можете это исключить.
Из того что вы описали я бы вывел такие варинты:
1. У вас сидит троян, и он увел сохраненные логины и пароли от панели управления.
.codepage.... это ispmanager ?
просите у хостера логи доступа под вашим логином в панель, ftp, ssh.
2. Действительно массовый взлом через хостера.
3. Взлом через уязвимость.... Но если шелл вы нашли и сдали на анализ хостеру без использования антивируса - можете это исключить.
1) пароли на админку хостинга и на фтп к каждому акку были изменены сразу после первого взлома.
панель ISP manager (права шаред пользователя).
логи доступа по фтп брал после первого взлома, в логах только мои IP и входов/активных сесий во время "перезаписи" не было.
компьютер проверил KIS 2013, пароли в фтп клиентах не храню - вставляю из текстового файла при логине.
Шел найден ручками по дате записи файла и сравниванием с аналогичными в ранних бекапах. Также в логах найдены Ip с которых обращались к шелу (отдано хостеру вместе с шелом).
шел был залит на разные домены с разными именами.
Дыра в движке значит, движки случаем не DLE нуленные?