Варианты решения Ваших вопросов

  хостинг
<< Назад       Взлом сайта

Вопрос: Добрый день. Мой сайт http://www.dialog-kniga.ru/ был взломан - не знаю как и кем, страница изменена - можно узнать по логам когда и что еще в аккаунте могли изменить. Основной пароль я сейчас сменил.
Вопрос: Также хотелось бы узнать - угрожает ли что то другим сайтам на аккаунте? Стоит ли их переносить?
Ответ:

Здравствуйте. Файлы быили изменены вчера, когда был взломан сайт неизввестно. смените паролли и шаблон

так же позаботьтесь о безопасности

http://www.joomla-docs.ru/Безопасность

Ответ:

в папке tmp сайта у вас файл sGq2ezJY.php

антивирусом он не определяется

/home/tverpo/public_html/Dialog-kniga.ru/tmp]# clamscan -ir ./

----------- SCAN SUMMARY -----------
Known viruses: 3276793
Engine version: 0.98.1
Scanned directories: 1
Scanned files: 2
Infected files: 0
Data scanned: 0.01 MB
Data read: 0.00 MB (ratio 2.00:1)
Time: 7.933 sec (0 m 7 s)

но скорее всего через нео и взломали сайт

Вопрос: как он туда мог попасть - с шаблоном7
Вопрос: Вчера на сайте была регистрация нового пользователя - во временную папку он мог закинуть не получая доступ к хостингу?
Ответ:

конечно мог, у вас пользователи могут загружать файлы? запретите такую возможность

 

Вопрос: Проверьте сайт http://chinatorism.ru/ - чет тоже все нарушено - вчера какие то изменения были похоже - я ничего не делал и не менял.
Ответ:

ничего не найдено

Вопрос: Ок. Буду значит чинить.
Ответ:


ok

Вопрос: Я сайт удалил, а у вас не хранится резервная версия, более ранняя - к примеру когда сайты переносятся с одного сервера на другой?
Ответ:

уточните о каком сайте идет речь?

Вопрос: http://www.dialog-kniga.ru/ - который взломали
Ответ:


Проверьте пожалуйста сейчас.

Ответ:

с вашего аккаунта сейчас рассылался спам

со всех этих папок



cwd=/home/tverpo/public_html
cwd=/home/tverpo/public_html/amx-video.ru
cwd=/home/tverpo/public_html/amx-video.ru/engine/skins
cwd=/home/tverpo/public_html/amx-video.ru/engine/skins/chosen
cwd=/home/tverpo/public_html/amx-video.ru/engine/skins/ping
cwd=/home/tverpo/public_html/amx-video.ru/script
cwd=/home/tverpo/public_html/amx-video.ru/showpro
cwd=/home/tverpo/public_html/amx-video.ru/showpro/engine/modules
cwd=/home/tverpo/public_html/braziylija.ru/template/africa
cwd=/home/tverpo/public_html/braziylija.ru/template/africa/plugins/content/socialsharebuttons
cwd=/home/tverpo/public_html/braziylija.ru/template/africa/plugins/content/socialsharebuttons/style
cwd=/home/tverpo/public_html/braziylija.ru/template/czech
cwd=/home/tverpo/public_html/braziylija.ru/template/czech/css/.sass-cache
cwd=/home/tverpo/public_html/braziylija.ru/template/czech/fonts
cwd=/home/tverpo/public_html/cat-runet.com/wp-includes/css
cwd=/home/tverpo/public_html/cat-runet.com/wp-includes/pomo
cwd=/home/tverpo/public_html/cat-runet.com/wp-includes/Text/Diff/Engine
cwd=/home/tverpo/public_html/cat-runet.com/wp-includes/theme-compat
cwd=/home/tverpo/public_html/chinatorism.ru/t
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/languages
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/library
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/library/extensions
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/library/functions/css
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/library/media/css
cwd=/home/tverpo/public_html/chinatorism.ru/t/tpl/lightbox/css
cwd=/home/tverpo/public_html/Dialog-kniga.ru
cwd=/home/tverpo/public_html/Dialog-kniga.ru/plugins
cwd=/home/tverpo/public_html/Dialog-kniga.ru/plugins/content/mysql
cwd=/home/tverpo/public_html/Dialog-kniga.ru/plugins/system
cwd=/home/tverpo/public_html/Dialog-kniga.ru/plugins/system/p3p
cwd=/home/tverpo/public_html/Dialog-kniga.ru/plugins/system/redirect
cwd=/home/tverpo/public_html/Dialog-kniga.ru/tmp
cwd=/home/tverpo/public_html/e-gloryon.info/wp-includes
cwd=/home/tverpo/public_html/e-gloryon.info/wp-includes/fonts
cwd=/home/tverpo/public_html/e-gloryon.info/wp-includes/pomo
cwd=/home/tverpo/public_html/e-gloryon.info/wp-includes/SimplePie/Decode/HTML
cwd=/home/tverpo/public_html/e-gloryon.info/wp-includes/theme-compat
cwd=/home/tverpo/public_html/fix-up.ru/wp-includes
cwd=/home/tverpo/public_html/fix-up.ru/wp-includes/pomo
cwd=/home/tverpo/public_html/fix-up.ru/wp-includes/SimplePie/Decode/HTML
cwd=/home/tverpo/public_html/fix-up.ru/wp-includes/theme-compat
cwd=/home/tverpo/public_html/innewon.ru/install1/view/template
cwd=/home/tverpo/public_html/sprosi.com.ua/wp-includes/fonts
cwd=/home/tverpo/public_html/sprosi.com.ua/wp-includes/pomo
cwd=/home/tverpo/public_html/sprosi.com.ua/wp-includes/SimplePie/Decode/HTML
cwd=/home/tverpo/public_html/sprosi.com.ua/wp-includes/theme-compat
cwd=/home/tverpo/public_html/stressov.net/plugins/system/languagecode/language
cwd=/home/tverpo/public_html/stressov.net/plugins/user/profile/profiles
cwd=/home/tverpo/public_html/stressov.net/plugins/xmap/com_content
cwd=/home/tverpo/public_html/stressov.net/plugins/xmap/com_k2
cwd=/home/tverpo/public_html/toourturkey.ru/code/plugins
.

Вопрос: Сейчас не работает - This Account Has Been Suspended
Вопрос: ОООо - откуда летит спам?
Ответ:

вам написали откуда, со всех перечисленных папок. вы ведб не сменили пароль

Вопрос: От аккаунта я сменил пароль как только увидел взлом - сегодня около 22 15.
Вопрос: Какие дальнейшие действия?
Ответ:

в данный момент аккаунт проверяется антивирусом полностью. после чего мы можем открыть доступ только для вас что бы вы проверили все сайты, сменили пароли на всех сайтах и установили защиту на всех сайтах

Вопрос: Я сменил пароли уже на всех сайтах - скорее всего вход осуществляется по ftp
Ответ:

почему вы сразу не сменили тогда пароль ftp ?

ситуация очень плохая, мы нашли большое число файлов которое рассылало спам, но проблема в том что они не определяются антиврусом

все они созданы в 20х числах марта

имеют старнные имена вроде 7vesFCj18.php _Pa.php   MKscu__w.php QEXwLa1.php и т.д

список менявшихся файлов выслан на EMAIL

 

 

 

Вопрос: На почту пришло письмо hacked, но оно пустое
Ответ:

выслано повторно

Вопрос: Та же фигня - пустое. Там приложение или все в тексте?
Ответ:

все текст. сообщите другой email

 

Вопрос: EMAIL
Ответ:

выслано на EMAIL

Вопрос: Я не знаю почему - возможно mail.ru блокирует текст. Попробуйте или текстовый файл или EMAIL
Вопрос: На EMAIL тоже пусто
Ответ:

выслано на EMAIL

 

Вопрос: Тоже пусто - так мне письмо не получить - они все блокируют.
Ответ:

сообщите ip с котрого вы будете работать

Вопрос: IP
Вопрос: Только у меня ip динамический и меняется раза 3 в день
Вопрос: Также хотел спросить - если я подключу услугу у провайдера - фиксированный IP, можно ли будет сделать общий вход по FTP с привязкой только к этому ip ? И вообще будет ли это гарантией безопасности или все это бесполезно?
Ответ:

доступ для  открыт

у сервера ftp на сервере нет привязки к ip

Вопрос: Чет не пускает cPanel
Ответ:

Сообщите свой IP, свой IP вы можете узнать на сайте 2ip.ru

Вопрос: Вот IP IP
Ответ:

Доступ данному IP открыт.

Вопрос: Подскажите - все FTP аккаунты и оставить один? Их там очень много и менять пароль на всех очень долго, тем более я пользуюсь всего одним. Какие из них можно удалить?
Ответ:

Удалить в можете все кроме того которым вы пользуетесь.

Вопрос: Я поменял пароли от входа в аккаунт. Поменял пароль от cPanel, он же от главного FTP - остальные ftp аккаунты удалил. Поменял пароли от админок на всех сайтах. Удалил все найденные файлы спам-рассылки, ну по крайней мере просмотрел все папки с сайтами по 2 раза - удалил порядка 50 файлов. Прошу разрешения на запуск сайтов - также прошу по возможности промониторить спам рассылку сегодня вечером, если таковая будет, хотя надеюсь удалил все возможное.
Ответ:

проверьте каждый сайт скриптом http://www.revisium.com/ai/

Вопрос: У меня проблема при проверке - всегда вылазит 504 Gateway Time-out. А для полной проверки нужно ssh подключение - как его сделать я не знаю.
Ответ:

мы запустили сканирование

Вопрос: Спасибо - у меня тоже через 10 запусков иногда запускается))))
Вопрос: Я все проверил - только сайт http://stressov.net не поддается - но все файлы по hacked.txt я удалил.
Вопрос: Все, теперь точно все проверил и сайт http://stressov.net. Прошу запустить нормальную работу сайтов.
Ответ:

Запрос передан администратору.

Ответ:

состояние проверки

php ai-bolit.php Scanning file [amx-video.ru/uploads/posts/2014-01/13900590086421308204.jpeg] 72582 of 146808. [Avg: 7 files/s Left: 2 h 56 m ]  

Вопрос: Ок - ждем.
Ответ:

. [Avg: 7 files/s Left: 1 h 21 m ]

Ответ:

лог /public_html/AI-BOLIT-REPORT-30-03-2014_14-19-210772.html

Вопрос: Лог просмотрел - все потенциально опасные для спам рассылки файлы были удалены. Прошу включить сайты.
Ответ:

ок

Вопрос: А как посмотреть - идет спам рассылка или нет?
Ответ:

вы никак это не увидите, логи почтового сервера доступны только администратору


<< Назад