Страница 1 из 1

Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 10:24 am
tegArt
Добрый день. Зимой один из сайтов начали постоянно заражать всякими вирусами/iframe'ами и тд, сначала подумал что дыра в движке, все обновил.
Взломы не прекратились, мало того на втором ЧИСТО html'ом сайте (никаких дыр быть просто не может) в подпапке появился дорвей 0_о удалил, поменял все пароли в панели управления сервером.
Взломы продолжились, около недели назад на вылеченном сайте chudesa-mira.ru поменял права на папки и файлы с запретом на изменения, в корневой папке сайта всем файлам вообще поставил 444 чтоб уж наверняка.
Неделю взломов не было - сегодня все php файлы на сервере заражены. рабочие компьютеры от вирусов чисты.
Скажите, пожалуйста, что делать, как поступить, может как еще настроить сервер чтобы защитить сайты от взлома. честно говоря никакого удовольствия каждый день менять пароли, а на следующий все-равно чистить все сайты...
может это дыра на сервере из-за неправильной настройки? заранее спасибо за ответ

Re: Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 11:27 am
swg
Причины стары и не меняются, что бы вы там не говорили:
а) вирусы, крадущие FTP пароль, у вас
б) устаревшая cms
в) вирусы, крадущие FTP пароль, у провайдера (малая вероятность, но имело место быть)
На сервере искать причину появления
- логи трансфера FTP
- access лог web-сервера
Удаление файла, созданного вирусом, проблемы не решает, часто они создают еще файлики для контроля, маскируясь под модули cms.

Re: Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 11:42 am
tegArt
а) - не подходит, файл с правами 444 по фтп не поменяешь, или я ошибаюсь?
б) - в подпапке хтмльного сайта появился дорвей, никаких дыр в чистом хтмл без исполняемых скриптов быть не может
в) - хз
порылся в настройках - в "возможностях" был отключен рекомендуемый фаервол, включил - как думаете проблем меньше станет? :/ нужно ли его настраивать или при дефолтовых настройках включен самый безопасный режим?

Re: Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 12:26 pm
swg
а) владелец пользователь; в домашнем каталоге пользователь может удалить
б) вот если бы у пользователя (системного) был бы только один html-ный сайт, то значит вирус запускается с правами root и выводить его может быть проблемно (но не на vds); наиболее частая причина появления такого - планировщик запускает от root (не через wget, а через php) какой-то скрипт в дырявом сайте.
Причину ищите, а не отписки; логи смотрите, делайте отладку сайта, сохраняйте post запросы. Фаервол не поможет.

Re: Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 12:39 pm
tegArt
по логам идет брутфорс ssh, теперь хоть ясно куда копать

Re: Постоянный взлом

СообщениеДобавлено: Пт мар 22, 2013 12:47 pm
swg
Да не туда вы все смотрите, ssh вообще маловероятно, его у всех брутфорсят (армию дронов делают); так же, как и почту, и ftp. На брутфорс надо внимание обращать и закрывать фаерволом, если он ресурсов много отъедает.

Re: Постоянный взлом

СообщениеДобавлено: Ср ноя 13, 2013 11:13 am
Aquasonick
И к чему пришли?
Этим же страдаю.Правда на другом сервере.

Re: Постоянный взлом

СообщениеДобавлено: Вс янв 12, 2014 7:32 pm
Valll
Помогите и мне! Одолели вирусы. Подозреваю что залезли они на сервер с моего домашнего компьютера. Какой-либо сторонний умысел отметаю - коммерческих и каких-либо значимый сайтов у меня нет. Как мне от них избавиться? Может Аваст как установить на сервер? Такое возможно? Пожалуйста дайте совет.

Re: Постоянный взлом

СообщениеДобавлено: Вс янв 12, 2014 8:31 pm
swg
На сервере обычно самое действенное вычищать вручную.