We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Мой блог взломали
Мой блог взломали
Здравствуйте!
Похоже мой сайт взламали (https://ruinterbiz.ru/)! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Файрвол iptables в vesta показывает постоянно статус - запущен и 0 минут,
при попытке перезапуска, то же самое, 0 минут постоянно.
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер (папка public_html) программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.
Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!
Злоумышленник по прежнему работает!
ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
*Что случилось с фаирволом и как запустить?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
Похоже мой сайт взламали (https://ruinterbiz.ru/)! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Файрвол iptables в vesta показывает постоянно статус - запущен и 0 минут,
при попытке перезапуска, то же самое, 0 минут постоянно.
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер (папка public_html) программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.
Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!
Злоумышленник по прежнему работает!
ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
*Что случилось с фаирволом и как запустить?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
-
- Support team
- Posts: 1111
- Joined: Tue Jul 30, 2013 10:18 pm
- Contact:
- Os: CentOS 6x
- Web: nginx + php-fpm
Re: Мой блог взломали
А почему при взломе блога на вордпрессе обращаетесь на форум панели управления?
99% взломов вордпресса - через кривые плагины/темы.
99% взломов вордпресса - через кривые плагины/темы.
Re: Мой блог взломали
Сайт на сервере VPS, установлена панель Vesta CP, поэтому и обратился. Вопросы именно по панели.
- Причина перезапуска серверов nginx и Apache, как искать и что делать?
- Что случилось с фаерволом и как запустить?
- Может ли вирус попасть в служебные файлы, где расположены файлы серверов?
- Какой командой можно проверить весь сервер на вирусы, включая директории nginx и Apache и т. д.?
Проверялись только папки с сайтами.
P. S.
Тема Wordpress платная и не кривая (платилось еще и за доработку). Плагинов практически нет. Стоит Akismet (активирован, после отправки спама), Почтовый плагин, который указан, вукоммерсе и кэширующий плагин.
Заранее спасибо за ответ.
- Причина перезапуска серверов nginx и Apache, как искать и что делать?
- Что случилось с фаерволом и как запустить?
- Может ли вирус попасть в служебные файлы, где расположены файлы серверов?
- Какой командой можно проверить весь сервер на вирусы, включая директории nginx и Apache и т. д.?
Проверялись только папки с сайтами.
P. S.
Тема Wordpress платная и не кривая (платилось еще и за доработку). Плагинов практически нет. Стоит Akismet (активирован, после отправки спама), Почтовый плагин, который указан, вукоммерсе и кэширующий плагин.
Заранее спасибо за ответ.
Re: Мой блог взломали
Есть прога, Ai-bolit, но правда там вроде все заглохло, даже дистрибютивы с ошибками выкладывались, пустые.
Вижу уже пробовали.
Code: Select all
find ./ -type f -ctime -10 -print
find . -type f -mtime -10 -print
Найдет все файлы, в которых были произведены изменения за последние 10 дней
Re: Мой блог взломали
Если на сервер залили шелл то хоть пароли меняйте хоть с бубном танцуйте. Пока шелл не вычислите ничего не добьётесь.
А ещё злоумышленник мог себе сгенерировать ssh ключи если форум на https. Ищите и в эту сторону.
А ещё злоумышленник мог себе сгенерировать ssh ключи если форум на https. Ищите и в эту сторону.
Re: Мой блог взломали
Спасибо за наводки, буду копать дальше.
Ai-bolit пробовал, в принципе работает, но ничего не нашел.
На shell проверял командой:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
backlist - пуст.
По логам видно, что идет перебор почт домена и при попадании в реальный адрес отправителя, срабатывает отправка письма.
Может ли это быть из вне?
Ai-bolit пробовал, в принципе работает, но ничего не нашел.
На shell проверял командой:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
backlist - пуст.
По логам видно, что идет перебор почт домена и при попадании в реальный адрес отправителя, срабатывает отправка письма.
Может ли это быть из вне?