Mehanic

По моему атаки прекратились, но не факт что надолго, это как была передышка с 5 по 9 января, но это сугубо субъективное мнение. У меня на акке 4 сайта, 3 на джумле 1,5, 1 на 2,5, 2 постоянно засирали в последнее время, никаких доп модулей не ставил, вирусня в основном в плагин систем ннмфреймворк лезла, чистил вручную, менял права, закрывал админки, менял пароли, но как только повторялись атаки, все снова засиралось. Обратил внимание, что 2 сайта (оба на 1,5) не вирусились вообще, хотя права стояли везде 755. Шеллы плодились аки кролики, замучился убивать, также постоянно появлялась строка /*CORE include code version:1.23 START*/, пока ее не вычистил из всех мест где нашел, по 2-3 раза в день приходилось вычищать всякую дрянь.

193.105.154.237 91.231.87.87 88.74.156.32 185.24.218.83 5.10.83.40 37.9.53.103 80.83.224.6 Это виртуальные машины. На некоторых открыт рдп порт, 3 на вин2003сервер, одна на вин2008р2, ломануть пароли и посмотреть впн сессии, глядишь может что и проклюнется. География очень разбросана, отсюда вывод о виртуальных машинах, а то что Лондон, то далеко не факт что это и есть начальный и конечный комп.

Я вот что думаю, я тут из логов натягал айпишников, с которых гамном бросаются, и на некоторых из них открыты порты RDP, никто не хочет сбрутфорсить паролик, а потом размотать это дело? У нас служба безопасности готова выехать на место, если чО. Само собой для начала ip из логов сравним, ну и выберем какие совпадут.