|
| Дата |
|
USD/RUB | 89.7026 | BTC/USD | 67702.8803 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
02.03.2016, 17:39
|
Start Post: Заебали ломать - посоветуйте спецов
|
gofuckingoogle
Регистрация: 28.08.2008
Адрес: 666
Сообщений: 9,443
Бабло: $1278665
|
Повадились на дедик лазить какие-то адвансед-хацкеры. Своими силами не разберусь, третий день вычищаю
Обычные админы тут по идее не сильно помогут. Может у кого есть контакты?
И еще - может посоветуете чего? ~45 вордпрессов, где-то толи дыра незалатана, толи шелл хорошо спрятан, за последние пол-года уже шестой раз ломают, вычищаю все, обновляю плагины-вордпрессы, и по новой. Сменил двух админов - туда же)
Что делать в таких ситуациях?
|
|
|
02.03.2016, 18:48
|
#12
|
Strannic.org
Регистрация: 15.12.2010
Сообщений: 2,031
Бабло: $508160
|
Цитата:
Сообщение от Heromant
|
то чувство, когда вспоминаешь поговорку "Мир тесен"
__________________
No cyber wars and all wars... ( Strannic)
|
|
|
02.03.2016, 18:53
|
#13
|
Мне платит
Регистрация: 24.10.2008
Сообщений: 1,368
Бабло: $189453
|
Не ему
Их на конфах вебмастерских пиарили, так что не удивительно. Мир вебмастеров не так и велик.
|
|
|
02.03.2016, 18:55
|
#14
|
Senior Member
Регистрация: 04.02.2008
Сообщений: 476
Бабло: $79900
|
на все вп ставь плагин wordfence и дальше все ок будет
|
|
|
02.03.2016, 19:34
|
#15
|
Senior Member
Регистрация: 24.09.2009
Сообщений: 821
Бабло: $106455
|
Потому что правильнее раскидать по доступам: каждому сайту своя база, свой конфиг apache и nginx, своего пользователя базы, запускать apache в режиме mpm-itk, chmod везде проверить. Это легко делается на автомате. И кулхацкеры не пойдут дальше одного сайта, там его уже легко определить.
Если сервак не порутали, конечно.
И если это не shared хостинг.
|
|
|
02.03.2016, 20:00
|
#16
|
gofuckingoogle
Регистрация: 28.08.2008
Адрес: 666
Сообщений: 9,443
Бабло: $1278665
ТС -->
|
ТС
Matt Cutts
Кстати я никогда не юзаю никакие плагины кроме акисмета.
Но вот на этом серваке десяток сайтов, которые продавал известный чувак с гоуфака(угадай кто). И плагинов там напихано было к каждому порядочно, вот через какой-то из них и ломали скорее всего)
|
|
|
02.03.2016, 20:07
|
#17
|
Senior Member
Регистрация: 11.02.2011
Сообщений: 469
Бабло: $89520
|
Цитата:
Сообщение от Dr.Gonzo
d@rkm!nd
Проблема в том, что тут поиском по eval(base64 не отделаешся, все зашифровано более скрытно, в каждом файле свои функции. Регуляркой все зараженные файлы не найдешь. Даты нетронуты. Плюс даже в jpg и png нахожу код.
|
У тябя что же код можно запускать при обращении к картинкам?
А так в первую очередь надо начинать с настройки сервера сперва.
и не забываем использовать disable_functions в php.ini. Список гуглится
+ как уже выше написали могли твой сервачок поиметь и запихнуть второго рута тогда уж только снос и настройка по-новой скорее всего ...
|
|
|
02.03.2016, 20:12
|
#18
|
Senior Member
Регистрация: 24.09.2009
Сообщений: 821
Бабло: $106455
|
Цитата:
Сообщение от Dr.Gonzo
Matt Cutts
Кстати я никогда не юзаю никакие плагины кроме акисмета.
Но вот на этом серваке десяток сайтов, которые продавал известный чувак с гоуфака(угадай кто). И плагинов там напихано было к каждому порядочно, вот через какой-то из них и ломали скорее всего)
|
Ну не то чтобы порядочно. Я юзаю эти плагины в разных сайтах - ни разу проблем не было. Дырка может быть также в устаревшем, либо заведомо нулленом шаблоне - надо смотреть. Логи тоже глянуть - может адово брутят.
Хост свой? Если ломают уже который раз, значит оставили бэкдор с правами.
Опять же, мое сообщение выше - всё разделить капитально по правам.
|
|
|
02.03.2016, 20:22
|
#19
|
Senior Member
Регистрация: 12.01.2009
Сообщений: 346
Бабло: $86613
|
так а че тут думать, удали файлы, что сейчас есть, залей не зараженные, поставь на все папки права на запись только у юзера фтп / ссх
пасс смени, мб через скулю тянут хеш, а потом как-то на локалке брутят.
если все это уже сделал, то если ось старая без обновлений, может privilege escalation кто-то сделал, залил патченный ссхд, тогда только ось на новую переставлять и файлы так же ставить
ps: хотя раз ты написал, что вычищаешь, то видать у тебя апач/нгинкс может писать в папки какие-то кроме тмп и аплоадс, права им обрежь да и все
|
|
|
02.03.2016, 22:21
|
#20
|
Ебланнед
Регистрация: 18.07.2015
Сообщений: 196
Бабло: $25830
|
Цитата:
Сообщение от Dr.Gonzo
~45 вордпрессов, где-то толи дыра
Что делать в таких ситуациях?
|
Решу проблему за 45к американских денег. По 1к за проверку и фиксинг каждого.
|
|
|
02.03.2016, 22:28
|
#21
|
Senior Member
Регистрация: 31.03.2011
Сообщений: 3,360
Бабло: $669045
|
какие спецы Админа найди как минимум. Он посмотрит кудой к тебе залазят и пофиксит дырку. В особом случае может быть понадобится чтобы потом программер(или тут спросишь) пофиксил файл модуля дырявого.
Как обычно, в врачу не пойдём, пойдём к бабке...
Можно кстати и на гофаке помощи просить если сайты бомжарские и бабок с них не хватает на админа.
|
|
|
|