Постоянный взлом

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Постоянный взлом

Сообщение tegArt » Пт мар 22, 2013 10:24 am

Добрый день. Зимой один из сайтов начали постоянно заражать всякими вирусами/iframe'ами и тд, сначала подумал что дыра в движке, все обновил.
Взломы не прекратились, мало того на втором ЧИСТО html'ом сайте (никаких дыр быть просто не может) в подпапке появился дорвей 0_о удалил, поменял все пароли в панели управления сервером.
Взломы продолжились, около недели назад на вылеченном сайте chudesa-mira.ru поменял права на папки и файлы с запретом на изменения, в корневой папке сайта всем файлам вообще поставил 444 чтоб уж наверняка.
Неделю взломов не было - сегодня все php файлы на сервере заражены. рабочие компьютеры от вирусов чисты.
Скажите, пожалуйста, что делать, как поступить, может как еще настроить сервер чтобы защитить сайты от взлома. честно говоря никакого удовольствия каждый день менять пароли, а на следующий все-равно чистить все сайты...
может это дыра на сервере из-за неправильной настройки? заранее спасибо за ответ
tegArt
 
Сообщений: 8
Зарегистрирован: Пт мар 22, 2013 10:21 am

Re: Постоянный взлом

Сообщение swg » Пт мар 22, 2013 11:27 am

Причины стары и не меняются, что бы вы там не говорили:
а) вирусы, крадущие FTP пароль, у вас
б) устаревшая cms
в) вирусы, крадущие FTP пароль, у провайдера (малая вероятность, но имело место быть)
На сервере искать причину появления
- логи трансфера FTP
- access лог web-сервера
Удаление файла, созданного вирусом, проблемы не решает, часто они создают еще файлики для контроля, маскируясь под модули cms.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Постоянный взлом

Сообщение tegArt » Пт мар 22, 2013 11:42 am

а) - не подходит, файл с правами 444 по фтп не поменяешь, или я ошибаюсь?
б) - в подпапке хтмльного сайта появился дорвей, никаких дыр в чистом хтмл без исполняемых скриптов быть не может
в) - хз
порылся в настройках - в "возможностях" был отключен рекомендуемый фаервол, включил - как думаете проблем меньше станет? :/ нужно ли его настраивать или при дефолтовых настройках включен самый безопасный режим?
tegArt
 
Сообщений: 8
Зарегистрирован: Пт мар 22, 2013 10:21 am

Re: Постоянный взлом

Сообщение swg » Пт мар 22, 2013 12:26 pm

а) владелец пользователь; в домашнем каталоге пользователь может удалить
б) вот если бы у пользователя (системного) был бы только один html-ный сайт, то значит вирус запускается с правами root и выводить его может быть проблемно (но не на vds); наиболее частая причина появления такого - планировщик запускает от root (не через wget, а через php) какой-то скрипт в дырявом сайте.
Причину ищите, а не отписки; логи смотрите, делайте отладку сайта, сохраняйте post запросы. Фаервол не поможет.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Постоянный взлом

Сообщение tegArt » Пт мар 22, 2013 12:39 pm

по логам идет брутфорс ssh, теперь хоть ясно куда копать
tegArt
 
Сообщений: 8
Зарегистрирован: Пт мар 22, 2013 10:21 am

Re: Постоянный взлом

Сообщение swg » Пт мар 22, 2013 12:47 pm

Да не туда вы все смотрите, ssh вообще маловероятно, его у всех брутфорсят (армию дронов делают); так же, как и почту, и ftp. На брутфорс надо внимание обращать и закрывать фаерволом, если он ресурсов много отъедает.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Постоянный взлом

Сообщение Aquasonick » Ср ноя 13, 2013 11:13 am

И к чему пришли?
Этим же страдаю.Правда на другом сервере.
Aquasonick
 
Сообщений: 34
Зарегистрирован: Пт июн 14, 2013 11:26 am

Re: Постоянный взлом

Сообщение Valll » Вс янв 12, 2014 7:32 pm

Помогите и мне! Одолели вирусы. Подозреваю что залезли они на сервер с моего домашнего компьютера. Какой-либо сторонний умысел отметаю - коммерческих и каких-либо значимый сайтов у меня нет. Как мне от них избавиться? Может Аваст как установить на сервер? Такое возможно? Пожалуйста дайте совет.
Valll
 
Сообщений: 16
Зарегистрирован: Вт май 13, 2008 9:28 pm

Re: Постоянный взлом

Сообщение swg » Вс янв 12, 2014 8:31 pm

На сервере обычно самое действенное вычищать вручную.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2