razumovskij
-
Публікації
3 -
З нами
-
Відвідування
Тип публікації
Профілі
Форум
Маркетплейс
Статті
FAQ
Наші новини
Магазин
Блоги
module__dplus_manager
Повідомлення, опубліковані користувачем razumovskij
-
-
Я вот что думаю, я тут из логов натягал айпишников, с которых гамном бросаются, и на некоторых из них открыты порты RDP, никто не хочет сбрутфорсить паролик, а потом размотать это дело? У нас служба безопасности готова выехать на место, если чО. Само собой для начала ip из логов сравним, ну и выберем какие совпадут.
31.221.71.132
-
Интересно читает сейчас эту тему та сво..чь которой жить скучно... :angry:
Скажу лично о Joomla (около 35 сайтов на VDS серевре , не shared хостинг)
Первый хак был между 25 и 29 декабря..
Повтороное "нападение" 31-го , 2го и 5-го Января. Особая активность 9-го числа (только почистил index.php через 2 минуты код опять на месте)
Как результат в тот же день один из сайтов поулчил от гугла предупреждение
файлы типа - xQTOpnd.php в основном влелати в папки с системными плагинами - Widgetkit , Bootstrap , shlib. Причем дата можификации папки не везде поменялась. Вручную тяжело было все выявить
Провайдер все перепроверил 10 раз , мол не через CPanel хак был
Зашел в журнал посещений и обнаружил , что эта "дрянь" сидит делает запросы на свои файлы (даже на те которые уже удалил)
Плюс логи показали что было большое количество попыток входа через админ панель сайта
IP разные - UK , USA , Россия , Украина и т.д
Самое интересное , что не тронут сайт который висит на public_html и сайты у которых назавния папок не совпадает с доменным имененм (т.е. домен - www.site.com , а название папки где лежит сайт - tratata )
По рекомендации провайдера - полностью отключил доступ через ФТП (пользуюсь только CPanel) , закрыл дополнительным паролем папку administrator , переименовал папки
Пока тьфу тьфу все нормально
Хакнули! Наконец-то :)
в Питання безпеки
Опубліковано:
Все было нормально до вчерашнего дня ((
Сегодня обнаружил переход на один из своих сайтов вот с этого источника - http://www.zone-h.org/archive/notifier=d3b~X
Плюс обнаружил в корне сайта 2 файла - y.txt и y.php
Просто с подписью - Hacked by d3b~X
Так что поищите своий сайт у этого муд..ка в каталоге
P.S. В основном все "хакнутые" сайты на Joomla , плюс обратил внимание что почти везеде стоит Jomsocial