что делать с хацкерами?
Напиши для начала, как именно твой сайт был хакнут?
как именно твой сайт был хакнут?видимо нашлась какая-то уязвимость в вордпрессе (к моменту когда это обнаружилось логи уже канули в лету) + у хостера пхп сделан через cgi и пхпшный процесс в отличии от httpd исполняется от полноправного пользователя, что позволило творить полный беспредел, в частности перезаписать index.php и создать новые php файлы - один с бэкдором FilesMan и нечто самописное тоже бэкдорного плана.
лол, а как хостер должен реагировать? пиздец, понаставят всяких вордпресов и модулей левых, не следят за их обновлением, а потом удивляются, что их ломают. Вообще, если на твой сайт придет абуза - спам там, или фишинг (как я понимаю, тут именно он неявно сделан), то твой акк вполне могут закрыть.
пиздец, понаставят всяких вордпресов и модулей левых, не следят за их обновлениемпиздец - это когда php-cgi имеет право на запись в php файлы.
и да, раз ты такой понятливый повторяю: меня интересует реакция хостера осиного гнезда, с моим хостером все и так понятно )
пиздец - это когда php-cgi имеет право на запись в php файлы
а ты запускаешь апач от рута? Или по дефолту ставишь 666 всем пхп-скриптам?
пиздец - это когда php-cgi имеет право на запись в php файлы.пиздец, это говорить про технологию, которая используется, наверное на 70-80% шаредного хостинга, что это пиздец. Вместо того, чтобы следить за своей безопасностью, иначе за ней проследит кто-то другой. Такие водпрессные хостинги ломают пачками, уж поверь.
Если ты напишешь абузу хостеру, где распологаются фишинг-страницы, то он должен закрыть по идее, если это только не абузоустойчиывый хостинг.
апач тут не причем, там пхп не как модуль, а как cgi. У каждого юзера скрипты исполняются под его пользователем.
во-первых, не я, а мой гребаный хостер - сайт на виртуальном хостинге
во-вторых, апач исполняется от nobody, и более того, даже отказывается исполнять скрипты в директории доступной на запись группе.
в-третьих, чтобы у гребаного хостера работал гребаный cpanel и его встроенный фаловый менеджер, они сделали php не модулем, а через cgi и этот php-cgi исполняется от полноправного пользователя.
во-вторых, апач исполняется от nobody, и более того, даже отказывается исполнять скрипты в директории доступной на запись группе.
в-третьих, чтобы у гребаного хостера работал гребаный cpanel и его встроенный фаловый менеджер, они сделали php не модулем, а через cgi и этот php-cgi исполняется от полноправного пользователя.
а, протупил
пиздец, это говорить про технологию, которая используется, наверное на 70-80% шаредного хостинга,ну ты же понимаешь, что это маркетинг? это нужно, чтобы юзер поставил себе вордпресс и мог его скажем обновить нажатием кнопочки из панели управления. Или чтобы он мог файликами своими через cpanel манипулировать. От того что эта практика оправдана маркетингом, она не становится менее пиздецовой. Или ты тоже деплоишь сайты с пхп исполняющимся от рута?
я кстати когда это всю эту канитель деплоил был уверен что пхп сделан модулем. мне в страшном сне такой ппц не мог присниться.
Емнип, та же cpanel нормально поддерживает работу хостинговых площадок под модулем апача.
Да и обновлять ворпдресс тоже можно нормуль. Между двумя этими технологиями разница конечно довольно значительна. Имхо, php как cgi более безопасен для сервера в целом, нежели в случае модуля. Ну и удобство у cgi побольше - не надо сильно заморачиваться с правами (755/644), легко индивидуально настраивать php для каждой директории, можно даже заморочиться, скомпилить доп. модули на такой же архитектуре как у хостера и запилить себе.
Лично я не вижу ничего в php-cgi ничего особо страшного, единственное, имхо все же она немного устарела.
Мои поделки крутятся под юзером tomcat
Да и обновлять ворпдресс тоже можно нормуль. Между двумя этими технологиями разница конечно довольно значительна. Имхо, php как cgi более безопасен для сервера в целом, нежели в случае модуля. Ну и удобство у cgi побольше - не надо сильно заморачиваться с правами (755/644), легко индивидуально настраивать php для каждой директории, можно даже заморочиться, скомпилить доп. модули на такой же архитектуре как у хостера и запилить себе.
Лично я не вижу ничего в php-cgi ничего особо страшного, единственное, имхо все же она немного устарела.
Мои поделки крутятся под юзером tomcat
я не против cgi, я против метапрограммирования средствами php! Если вордпресс можно обновить средствами вордпресса - это зло! Вордпресс должен вордпрессить, а не обновлять себя. Если хацкеры похерят БД или аплоад - не беда, у меня есть бэкап. Если хацкеры обновлят мой вордпресс, да еще так что он становится неработоспособен и выпадает на неделю из яндекса - это ппц. Вообще все беды от того, что все вокруг слишком умные. Мало им движок с темами написать. Давайте еще наш движок будет сам себя править. Через год они сделают обновления автоматическими, через два напишут Wordpress OS, а через три терминаторы WordpressNet будут хрустеть гусеницами по их черепам! ))
tldr: do one thing and do it well.
tldr: do one thing and do it well.
пиши. В следующий раз кто-нибудь поставит ссылку на твой сайтик и тебя тоже заабьюзят. Будут вместо продвижения сайта продавать задвижение
хм, абуз так ничего и не ответил, однако сайтег похоже прикрыли
Основная проблема тут в том, что хостер изначально настраивает сервер под большинство движков. Т.е. по сути это дефолтный конфиг, где разрешено всё. Даже права 400 на все файлы не помогут, проверено, т.к. владелец файлов и пользователь от которого запущен веб-сервер - одни и те же люди обычно.
Возьми VPS и настрой сам.
Из рекомендаций:
1. Владелец файлов сайта и юзер, под которым пущен апач - разные люди, но они состоят в одной группе.
2. Suhosin patch в PHP, где заблокировать все функции внутри eval, а потом разблокировать по мере необходимости те, которые действительно нужны.
3. Заблокировать тем же suhosin как можно больше 100% нигде не используемых функций (можно запретить всё, что кажется потенциально опасным, а потом смотреть логи и разблокировать).
4. mod_security2 для апача. Хотя бы в минимальной конфигурации.
5. php_openbasedir в DocumentRoot и tmpdir.
С примерно таким конфигом (ну, там, конечно, все несколько сложнее, но суть примерно такова) на ~150-200 сайтах за полгода я не обнаружил ни одного "вируса". Пока они лежали на самом обычном хостинге вся работа заключалась в бесконечной чистке вирусни и ответах на вопросы "почему мой сайт тормозит и забанен в гугле?".
Возьми VPS и настрой сам.
Из рекомендаций:
1. Владелец файлов сайта и юзер, под которым пущен апач - разные люди, но они состоят в одной группе.
2. Suhosin patch в PHP, где заблокировать все функции внутри eval, а потом разблокировать по мере необходимости те, которые действительно нужны.
3. Заблокировать тем же suhosin как можно больше 100% нигде не используемых функций (можно запретить всё, что кажется потенциально опасным, а потом смотреть логи и разблокировать).
4. mod_security2 для апача. Хотя бы в минимальной конфигурации.
5. php_openbasedir в DocumentRoot и tmpdir.
С примерно таким конфигом (ну, там, конечно, все несколько сложнее, но суть примерно такова) на ~150-200 сайтах за полгода я не обнаружил ни одного "вируса". Пока они лежали на самом обычном хостинге вся работа заключалась в бесконечной чистке вирусни и ответах на вопросы "почему мой сайт тормозит и забанен в гугле?".
Если вордпресс можно обновить средствами вордпресса - это зло! Вордпресс должен вордпрессить, а не обновлять себя.есть пользователи, которые не знают, "как это, ЗАЙТИ ПО FTP, ЧТО ВЫ МНЕ МОЗГИ ПУДРИТЕ, А ВОТ В ВИДЕОУРОКЕ НА САЙТЕ krutoisaitza5minut.ucoz.com НА КНОПКУ ОБНОВЛЯЮТ! ВЕРНИТЕ МОИ ДЕНЬГИ!". Вордпресс по большей части на таких и рассчитан.
ЗАЙТИ ПО FTPТогда уж sftp, если речь идёт о безопасности.
Ну да, всё правильно. Но SFTP вообще обычно вводит их в ступор, даже если дается ссылка на подробнейший минуал. Хотя FTP все-равно почти выпилен и работает только в пределах локалхоста, чтобы вордпресс можно через админку обновлять без использования "опасных" функций.
О! история продолжается )
я получил письмо следующего содержания:
я получил письмо следующего содержания:
Добрый день. Меня зовут И., вчера я получил уведомление о жалобе на, принадлежащий мне, домен XXX.ruКак вы думаете, И. жаждет отмщения? )
На этом домене установлен и тестируется скрипт локальной сапы, аналог сервиса sape.ru, и видимо кто -то из тестирующих установил код клиента не на своем а на взломанном сайте, в данный момент модуль отдачи временно отключен. Будет проведена дополнительная проверка всех зарегистрированных в системе доменов. Был бы благодарен, если бы вы мне сообщили домен на котором вы обнаружили обфусцированный код клиента, я внесу его в черный список, на этот домен больше никогда не будут отдаваться сторонние ссылки в случае если ваш сайт повторно взломают.
Ну, если конфиг сервера не менять то повторно зальют всякие бекдоры 100% с этим ничо не поделаешь, все дыры популярных движков активно используются. И пароли на предмет 123456 на админки стоит проверить обязательно. Их очень активно брутфорсят.
Оставить комментарий
beluchy
Сайтик который я поддерживаю проказился подленькими скриптегами. Скриптеги я выпилил и вот у меня дошли руки в них покопаться. Самый интересный скриптег был встроен в index.php дырявого вордпресса (причем неудачно: там оказался лишний открывающий тег "<?" в результате чего все это вообще оказалось неработоспособно). Скриптег конечно обфусцирован по всем правилам военной науки всякими base64_decode, eval, имена функций заманглены, но в целом ничего экстраординарного. В нем присутствует функционал бэкдорного характера, но основная его функциональность видимо состоит в том, чтобы если, HTTP_USER_AGENT содержит подстроку google или yandex, сделать http запрос на некий подленький сайтег и отдать результат сего запроса в выдачу сервера. Короче сайтеги ребята раскручивают. Подленький сайтег на который делается запрос, в отличии от еще одного сайтега встретившегося в другом скрипте, не выглядит как прокаженный левый сайт, а скорее наоборот выглядит как очень здоровый и успешно справляющийся со своей задачей. Единственное что на нем проиндексировал гугл - форма для логина без каких-либо опознавательных знаков. Ну вобщем сомнений нет, что это и есть осиное гнездо )Вот я теперь и думаю. В абюз ихнего хостера я конечно напишу. Но как интересно (забугорный) хостер на это может и должен отреагировать? Может у вас был подобный опыт? Может быть есть также другие более интересные варианты развития событий?