Заебали ломать - посоветуйте спецов

[Dr.Gonzo]

Повадились на дедик лазить какие-то адвансед-хацкеры. Своими силами не разберусь, третий день вычищаю

Обычные админы тут по идее не сильно помогут. Может у кого есть контакты?

И еще - может посоветуете чего? ~45 вордпрессов, где-то толи дыра незалатана, толи шелл хорошо спрятан, за последние пол-года уже шестой раз ломают, вычищаю все, обновляю плагины-вордпрессы, и по новой. Сменил двух админов - туда же)

Что делать в таких ситуациях?

[Strannic]

Цитата:

Сообщение от Heromant

Знакомому эти ребята помогали https://systemintegra.ru/ тоже спам с сервака валил.

то чувство, когда вспоминаешь поговорку "Мир тесен"

[Heromant]

Цитата:

Сообщение от Strannic

то чувство, когда вспоминаешь поговорку "Мир тесен"

Не ему
Их на конфах вебмастерских пиарили, так что не удивительно. Мир вебмастеров не так и велик.

[gromhold]

на все вп ставь плагин wordfence и дальше все ок будет

[Matt Cutts]

Потому что правильнее раскидать по доступам: каждому сайту своя база, свой конфиг apache и nginx, своего пользователя базы, запускать apache в режиме mpm-itk, chmod везде проверить. Это легко делается на автомате. И кулхацкеры не пойдут дальше одного сайта, там его уже легко определить.

Если сервак не порутали, конечно.

И если это не shared хостинг.

[Dr.Gonzo]

Matt Cutts

Кстати я никогда не юзаю никакие плагины кроме акисмета.
Но вот на этом серваке десяток сайтов, которые продавал известный чувак с гоуфака(угадай кто). И плагинов там напихано было к каждому порядочно, вот через какой-то из них и ломали скорее всего)

[zverOK]

Цитата:

Сообщение от Dr.Gonzo

d@rkm!nd
Проблема в том, что тут поиском по eval(base64 не отделаешся, все зашифровано более скрытно, в каждом файле свои функции. Регуляркой все зараженные файлы не найдешь. Даты нетронуты. Плюс даже в jpg и png нахожу код.

У тябя что же код можно запускать при обращении к картинкам?

А так в первую очередь надо начинать с настройки сервера сперва.

и не забываем использовать disable_functions в php.ini. Список гуглится

+ как уже выше написали могли твой сервачок поиметь и запихнуть второго рута тогда уж только снос и настройка по-новой скорее всего ...

[Matt Cutts]

Цитата:

Сообщение от Dr.Gonzo

Matt Cutts

Кстати я никогда не юзаю никакие плагины кроме акисмета.
Но вот на этом серваке десяток сайтов, которые продавал известный чувак с гоуфака(угадай кто). И плагинов там напихано было к каждому порядочно, вот через какой-то из них и ломали скорее всего)

Ну не то чтобы порядочно. Я юзаю эти плагины в разных сайтах - ни разу проблем не было. Дырка может быть также в устаревшем, либо заведомо нулленом шаблоне - надо смотреть. Логи тоже глянуть - может адово брутят.

Хост свой? Если ломают уже который раз, значит оставили бэкдор с правами.



Опять же, мое сообщение выше - всё разделить капитально по правам.

[roddik]

так а че тут думать, удали файлы, что сейчас есть, залей не зараженные, поставь на все папки права на запись только у юзера фтп / ссх

пасс смени, мб через скулю тянут хеш, а потом как-то на локалке брутят.

если все это уже сделал, то если ось старая без обновлений, может privilege escalation кто-то сделал, залил патченный ссхд, тогда только ось на новую переставлять и файлы так же ставить

ps: хотя раз ты написал, что вычищаешь, то видать у тебя апач/нгинкс может писать в папки какие-то кроме тмп и аплоадс, права им обрежь да и все

[Windir]

Цитата:

Сообщение от Dr.Gonzo

~45 вордпрессов, где-то толи дыра

Что делать в таких ситуациях?

Решу проблему за 45к американских денег. По 1к за проверку и фиксинг каждого.

[Strikelol]

какие спецы Админа найди как минимум. Он посмотрит кудой к тебе залазят и пофиксит дырку. В особом случае может быть понадобится чтобы потом программер(или тут спросишь) пофиксил файл модуля дырявого.

Как обычно, в врачу не пойдём, пойдём к бабке...

Можно кстати и на гофаке помощи просить если сайты бомжарские и бабок с них не хватает на админа.