Давно тут не был. Но без опытных советов не обойтись )
В кратце изложу историю.
Год назад с переодичностью в пару месяцев кто то постоянно менял некоторые данные на сайте (
название электронного ящика в том числе. )
Игрались в кошки мышки, смотрим - название изменилось (без нашего ведома), меняем назад как было, меняем везде пароли (админки скриптов, Cpanel)
Не помогло.
Через пару месяцев история повторилась.
Сделали все так же как в прошлый раз + на этот раз попросили хостера залочить файлы . То есть без моего прошения на изменение файла их ( по идее ) изменить не смогут.
Не помогло. Залоченные файлы были изменены причем для меня они оставались залочены, чтобы поменять все как было я попросил их раблокировать и уже потом внес обратные изменения.
Хостинг предположил что есть зараза на одном из компов с которого осуществляется доступ к сайту. Проверили компы лицензированным Norton - ом, нашли пару троянов ( вроде бозобидных, но все равно - обидно ))) ) думали все ок.
не помогло ОПЯТЬ. ситуация повторилась.
Попросил хостинг закрыть доступ ВСЕМ IP адресам и залочить файлы - сделали.
НЕ ПОМОГЛО!!!!
Поставили вместо надписи в файле картинку с именем электронного ящика. Картинку С*ки переделали и поставили опять другую, но что инетресно ДАТА изменения файла не поменялась. то есть файл поменяли а дата при этом не обновилась в Cpanel.
Я хостеру намекнул что может это уже кто то у них так балуется ?.сказали нет - могут показать логи и все такое. спросили про FTP и SSH - естественно сказал убрать доступ и к ним тоже. заблокировать все IP и залочить файлы.
ВОПРОС - с последними методами КТО и КАК может поменять что то в файле ? есть ли путь хакнуть и все равно изменить данные на сайте с учетом всего вышеизоженного , или если данные будут еще раз изменены - то тут уже 100% кто то со стороны хостера ???
Гадать уже устали. Может есть какие то штуки которые могли бы помочь, даже при условии что хакают с хостинга ? существует что то подобное вообще?
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
Полная Версия: дыра в сайте ? или недобросовестный хостинг
есть логи. смотрите. они вам все расскажут.
хостинг в логах ничего не увидел подозрительного. Никто якобы файлы не менял - ПО ЛОГАМ никто не менял!!!
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
| Цитата |
| хостинг в логах ничего не увидел подозрительного. |
Ну для них может и нет ничего подозрительного, пусть отдадут все логи и сам смотри...
Вообще странная история, все залочено, все исключено, а файл меняется, при чем БЕЗ изменения даты. У файла есть три параметра даты:
1) Дата создания
2) Дата обращения
3) Дата изменения
вот и эти даты проверь, может на какие мысли натолкнет, ну а по сути, если доступ закрыт от всех, кроме тебя, но ты не можешь менять файлы... то остается только тот, у кого есть прямой доступ к хостингу, который обходит ихние блокировки. Может сама Спанель багнутая, как вариант с дырой какой то. Нужен в общем толковый сисадмин.
Картинки есть на хостинге? форма для заливки картинок или еще какая нибудь вещь из этой области...
| Цитата (walerus @ 8.12.2017 - 00:50) |
| при чем БЕЗ изменения даты |
man touch
man date
По теме, хостинг может быть дырявый.
В моей прошлой жизни, когда исследовал всякие пинчи и прочие гидры, был прециндент, когда я с удивлением обнаружил, что могу по ssh лазить по всему серверу, включая виртуальные хосты других пользователей.
Почистить за собой ssh сессию, тоже не большая проблема.
Я бы посоветовал просто сменить хостинг. Ну и все файлы на предмет backdoor проверить.
_____________
[продано копирайтерам]
AllesKlar
Поясни пожалуйста для меня твердолобого, что на фото происходило, создал ты файл, получил его статы, потом сменил дату , потом...
зы: я в этом не силен, просто интересно
Поясни пожалуйста для меня твердолобого, что на фото происходило, создал ты файл, получил его статы, потом сменил дату , потом...
зы: я в этом не силен, просто интересно
| Цитата (walerus @ 8.12.2017 - 22:04) |
| Поясни пожалуйста для меня твердолобого, что на фото происходило, |
подделка атрибутов файла
| Цитата (andrey888 @ 7.12.2017 - 12:24) |
| + на этот раз попросили хостера залочить файлы . То есть без моего прошения на изменение файла их ( по идее ) изменить не смогут. |
как именно залочили? Сменили владельца/группу файла, или это какая то опция файл менеджера си панели?
Пусть установят владельцем рута, если не поможет, значит дыра у них на хостинге однозначно.
PS меня когда то тоже через cPanel ломали, правда было это очень давно
andrey888
А PHP файлы изменились? Может так появился в них дополнительный код какой-нибудь? Для этого можно очень просто сравнивать:
1) Файлы, что были при разработке и сейчас
2) Посмотреть дату изменения файлов, даже если оригинала нет, всё равно изменённые файлы уже будут более новые.
3) Запустить поиск по коду того же eval, base64 и других функций
4) Совсем недавно читал, как взламывают WordPress, потом ставят свой плагин и всё.
5) Точно всё обновлено до последних версий? Закрыты порты, допустим, там в Ubuntu пару лет назад надо было ещё какое-то приложение обновить, я не сильно крутой админ, поэтому точно не вспомню, но там на нём держалась безопасность (0-day уязвимость, срочно обновите операционки, программы и т.д. и т.п.).
6) Какой у тебя был SSH доступ? Может это VPS и там Root права? Проверяли права пользователя через SSH, кому файлы принадлежат? Одно дело "сказать хостеру - сделай, и он делает", а другое дело "сделать". Между первым и вторым есть огромная колоссальная разница. В первом ответ "сделал" ещё не обозначает, что админ сделал. На моей практике уже раз 10 я получал фразы "сделано", а в ответ не было сделано или же было испорчено то, что должны были сделать. Одно из самых свежих: "поменяйте данные в платежке" - "сделали" - "платежка перестала работать, но данные не поменялись" - "вот теперь исправили". И вот после второго раза делают!
Это говорит о том, что такие вещи надо всё же проверять. Ставлю на то, что они могли поменять права доступа к файлу частично, с 777 на 666, допустим. Или на 664, но при этом из-под твоего же аккаунта люди всё равно совершали действия.
Предположим, что PHP выполняет виртуальный пользователь www-data, по SSH ты заходишь под пользователем "Денис" На файле стоят права 777, владелец Денис. Закройте права говоришь ты, они переводят владельца на www-data, и устанавливают права 644. Вроде забрали права, но ведь www-data может до сих пор их менять (его права остались полными, забрали только у тебя), а значит вызывая из твоего .php скрипта любой код, то он будет выполняться на сервере. Значит виноват не пользователь "Денис", а конкретный скрипт .php залитый к тебе на сайт. Так вот, я всё это пишу для того, чтобы ты сам проверял какие права установлены на тот или иной файл. Подключись по SSH (раз были права) и посмотри лично!
=================
Выводы, надо знать больше подробностей и проанализировать все твои файлы на поиск вредоносного кода, на подобии <?php eval($_GET['eval']); ?> и т.д.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
А PHP файлы изменились? Может так появился в них дополнительный код какой-нибудь? Для этого можно очень просто сравнивать:
1) Файлы, что были при разработке и сейчас
2) Посмотреть дату изменения файлов, даже если оригинала нет, всё равно изменённые файлы уже будут более новые.
3) Запустить поиск по коду того же eval, base64 и других функций
4) Совсем недавно читал, как взламывают WordPress, потом ставят свой плагин и всё.
5) Точно всё обновлено до последних версий? Закрыты порты, допустим, там в Ubuntu пару лет назад надо было ещё какое-то приложение обновить, я не сильно крутой админ, поэтому точно не вспомню, но там на нём держалась безопасность (0-day уязвимость, срочно обновите операционки, программы и т.д. и т.п.).
6) Какой у тебя был SSH доступ? Может это VPS и там Root права? Проверяли права пользователя через SSH, кому файлы принадлежат? Одно дело "сказать хостеру - сделай, и он делает", а другое дело "сделать". Между первым и вторым есть огромная колоссальная разница. В первом ответ "сделал" ещё не обозначает, что админ сделал. На моей практике уже раз 10 я получал фразы "сделано", а в ответ не было сделано или же было испорчено то, что должны были сделать. Одно из самых свежих: "поменяйте данные в платежке" - "сделали" - "платежка перестала работать, но данные не поменялись" - "вот теперь исправили". И вот после второго раза делают!
Это говорит о том, что такие вещи надо всё же проверять. Ставлю на то, что они могли поменять права доступа к файлу частично, с 777 на 666, допустим. Или на 664, но при этом из-под твоего же аккаунта люди всё равно совершали действия.
Предположим, что PHP выполняет виртуальный пользователь www-data, по SSH ты заходишь под пользователем "Денис" На файле стоят права 777, владелец Денис. Закройте права говоришь ты, они переводят владельца на www-data, и устанавливают права 644. Вроде забрали права, но ведь www-data может до сих пор их менять (его права остались полными, забрали только у тебя), а значит вызывая из твоего .php скрипта любой код, то он будет выполняться на сервере. Значит виноват не пользователь "Денис", а конкретный скрипт .php залитый к тебе на сайт. Так вот, я всё это пишу для того, чтобы ты сам проверял какие права установлены на тот или иной файл. Подключись по SSH (раз были права) и посмотри лично!
=================
Выводы, надо знать больше подробностей и проанализировать все твои файлы на поиск вредоносного кода, на подобии <?php eval($_GET['eval']); ?> и т.д.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Здесь расположена полная версия этой страницы.