Мой блог взломали
Мой блог взломали
Здравствуйте!
Похоже мой сайт взламали (https://ruinterbiz.ru/)! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Файрвол iptables в vesta показывает постоянно статус - запущен и 0 минут,
при попытке перезапуска, то же самое, 0 минут постоянно.
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер (папка public_html) программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.
Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!
Злоумышленник по прежнему работает!
ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
*Что случилось с фаирволом и как запустить?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
Похоже мой сайт взламали (https://ruinterbiz.ru/)! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Файрвол iptables в vesta показывает постоянно статус - запущен и 0 минут,
при попытке перезапуска, то же самое, 0 минут постоянно.
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер (папка public_html) программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.
Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!
Злоумышленник по прежнему работает!
ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
*Что случилось с фаирволом и как запустить?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.
-
- Support team
- Posts: 1111
- Joined: Tue Jul 30, 2013 10:18 pm
- Contact:
- Os: CentOS 6x
- Web: nginx + php-fpm
Re: Мой блог взломали
А почему при взломе блога на вордпрессе обращаетесь на форум панели управления?
99% взломов вордпресса - через кривые плагины/темы.
99% взломов вордпресса - через кривые плагины/темы.
Re: Мой блог взломали
Сайт на сервере VPS, установлена панель Vesta CP, поэтому и обратился. Вопросы именно по панели.
- Причина перезапуска серверов nginx и Apache, как искать и что делать?
- Что случилось с фаерволом и как запустить?
- Может ли вирус попасть в служебные файлы, где расположены файлы серверов?
- Какой командой можно проверить весь сервер на вирусы, включая директории nginx и Apache и т. д.?
Проверялись только папки с сайтами.
P. S.
Тема Wordpress платная и не кривая (платилось еще и за доработку). Плагинов практически нет. Стоит Akismet (активирован, после отправки спама), Почтовый плагин, который указан, вукоммерсе и кэширующий плагин.
Заранее спасибо за ответ.
- Причина перезапуска серверов nginx и Apache, как искать и что делать?
- Что случилось с фаерволом и как запустить?
- Может ли вирус попасть в служебные файлы, где расположены файлы серверов?
- Какой командой можно проверить весь сервер на вирусы, включая директории nginx и Apache и т. д.?
Проверялись только папки с сайтами.
P. S.
Тема Wordpress платная и не кривая (платилось еще и за доработку). Плагинов практически нет. Стоит Akismet (активирован, после отправки спама), Почтовый плагин, который указан, вукоммерсе и кэширующий плагин.
Заранее спасибо за ответ.
Re: Мой блог взломали
Есть прога, Ai-bolit, но правда там вроде все заглохло, даже дистрибютивы с ошибками выкладывались, пустые.
Вижу уже пробовали.
Code: Select all
find ./ -type f -ctime -10 -print
find . -type f -mtime -10 -print
Найдет все файлы, в которых были произведены изменения за последние 10 дней
Re: Мой блог взломали
Если на сервер залили шелл то хоть пароли меняйте хоть с бубном танцуйте. Пока шелл не вычислите ничего не добьётесь.
А ещё злоумышленник мог себе сгенерировать ssh ключи если форум на https. Ищите и в эту сторону.
А ещё злоумышленник мог себе сгенерировать ssh ключи если форум на https. Ищите и в эту сторону.
Re: Мой блог взломали
Спасибо за наводки, буду копать дальше.
Ai-bolit пробовал, в принципе работает, но ничего не нашел.
На shell проверял командой:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
backlist - пуст.
По логам видно, что идет перебор почт домена и при попадании в реальный адрес отправителя, срабатывает отправка письма.
Может ли это быть из вне?
Ai-bolit пробовал, в принципе работает, но ничего не нашел.
На shell проверял командой:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
backlist - пуст.
По логам видно, что идет перебор почт домена и при попадании в реальный адрес отправителя, срабатывает отправка письма.
Может ли это быть из вне?