Заказчик
Отзывы фрилансеров:
+ 41
- 0
Зарегистрирован на сайте 11 лет и 4 месяца
Бюджет:
по договоренности
Всем привет
Ищем спеца по НетКату для решения проблем с вирусами. Ситуацию описываю из последнего письма, присланного мне от знакомого программиста.
-------------------------------------------------
Ситуация такая: на сайте начали появляться тысячи ссылок на сторонние сайты.
Мы почистили, на следующий день после чистки ссылки опять появились. Мы опять почистили. На следующий день с хостинга удалили стили для сайтп, мы восстановили. При этом все доступы мы меняли, т.е. ни у кого постороннего доступа к сайту не было.
Мы обратились к другому знакому программисту
В результате его работ были сделаны выводы, что виноват хостинг:
"суть в том, что доступ по FTP даёт попасть в корень системы со всеми вытекающими
в корень линукс системы, операционной системы самого сервера. Такого быть не должно."
Выявили, что вредоносный код обращается к файлам
('/tmp/ss'.'ess_220441ef61aac98ba3a13c25f942dfd4');. Оказалось, что
эти файлы не в папке нашего сайта, а в папке самого сервера.
Выводы:
1. Пользователь u0089119 имеет доступ к корню операционной системы и
определённым папкам/файлам (если зайти по ssh/smtp). В папку /tmp/
есть доступ на запись и чтение. Удалось не только удалить файлы, но и закинуть обратно.
2. Файлы ssess_220441ef61aac98ba3a13c25f942dfd4 и
ssess_d3328e8d89808283f8029d0fe5ab8cb7 удалены с сервера. Так же есть
именная папка логина с файлами сессий, в которых так же есть следы
вируса (bs85), её пока не стал удалять. Путь к папке: /tmp/u0089119/
(Это не на сайте, а на сервере хостинга!)
3. После того, как удалил файл ssess_220441ef61aac98ba3a13c25f942dfd4,
он через какой-то время вновь появился на серваке
4. В папке много подобных файлов u0090076_hack.log владелец которых root !!!
Короче говоря доступа к корню системы быть не должно в принципе, даже
у владельца среднего тарифа на хостинге.
В папке множество хак логов разных аккаунтов – дыра в хостинге
смена хостера и повторная чистка корня домена сто процентов избавит от проблемы
Ну и выяснить надо конечно же как так получилось у reg ru
судя по всему хакнут сервак, либо это делается спец со стороны
хостера.
Мы перенесли сайт на новый хостинг, на новом сайт не работает, ссылки опять появляются и при этом не работает админка.
Мы вернули сайт на старый хостинг.
В хостинге ли дело, мы не знаем, но есть ощущение, что кто-то вручную удаленно портит сайт.
Разделы:
Опубликован:
26.03.2016 | 14:54