Кто-нибудь сталкивался? Нашёл эту хрень в корне сайта, когда скачивал его на локалку и мой NOD ругнулся на троян. Сайт микрофинансовой организации, сделан на Wordpress и хостинг Timeweb. Я им целую CRM написал под этот Wordpress, сейчас они хотят добавить систему онлайн-оплаты через Робокассу, всякие Контакты и т.п. Но мне ссыкотно это делать. В скриптах, которые принимают ответы с этих сервисов лежат пароли. И если эти файлы стырят через вёб-шелл, то смогут подделывать платежи. Собссна, вопрос - как эту дрянь заливают вообще? Есть смысл переезжать на VDS, убирать FTP нафиг и оставлять SSH с входом только по ключу? Или её по http-протоколу подсаживают и такой переезд ничего не даст?
Если эта дрянь пришла, спи3див твой сохраненный в клиенте пароль, то переезжать бесполезно. От себя не убежишь FTP плохо, от него надо избавляться стопудово. SSH более надежен. Но если у тебя на рабочем десктопе троян, то он и "защищенное" соединение сможет украсть.
смотрите логи. Вариантов масса от взлома панели хостера до эксплойта в самой CMS. Чаще последнее. По опыту работы в компании-хостере, при взломе панели могут и не сообщить. Даже скорее всего не сообщат. Есть есть логи-откатят, и перебьют пароли в лучшем случае. Чаще всего шелы заливают через эксплойты в старых версиях cmsок, получая пароли админов. Если свой VDS будет то вообще закрывайте от записи и модифакации все файлы и каталоги кроме uploads, когда заканчиваете работу над проектом. Пароли всем юзерам перебейте после чистки.
На этом аккаунте на хостинге есть еще другие сайты? Зловред мог забраться через любой из них. Они ведь из-под одной учетки работают, доступ есть.
Что тут скажешь. Удалите шел, откатите сайт с локальной версии своей. Погуглите на эксплойты всвоей версии вордпресса. По возможности обновите версию вордпресса и сделайте все рекомендованные настройки безопасноти для него. Для каждой CMS есть там в манах руководство по этой части: какие каталоги закрыть, какие плагины удалить и т.п.
Вообще, есть способы отследить заливку файлов на сервер глобально - не важно по какому протоколу? Если я поставлю им свежий VDS, то хотелось бы иметь такую возможность.
Что есть заливка файла? В случае с http это POST-запрос непосредственно с файлом, который логируется сервером при правильной настройке. Чтобы в случае чего можно было расковырять лог и посмотреть что из под какой учетки и когда заливалось. Неиспользуемые протоколы и порты, естественно прикрыть и не крутить веб-сервер под правами супер-админа никогда (90% так делают) Учетке под которой крутится у вас сервер запретить вообще для записи и изменения все файлы и каталоги в паблике (можно сделать по завершении проекта). Закройте доступ к uploads. Только локальной подсети и своего ip-шника. Вот примерный общий ман по безопасной настройке nginx https://xakep.ru/2010/12/15/54168/
xakep.ru)))) азаззазаз Короче, как я понял, если я закрываю доступ везде, оставляю только SSH с доступом по ключу, то отслеживать заливку по http можно будет в логах апача?
это какой такой модератор чморит ганзала? Я что ли? Добавлено спустя 1 минуту 5 секунд: ридонли все скрипты и папки сделай.
ты заливаешь по ftp/sftp или с веба? закрой на запись от пользователя www-data всё, что можно. обычно скрипт установки сообщает что реально нужно открывать на запись. всё остальное закрыть.
По SFTP заливаю. Короче ясно, выше походу имелось в виду, что руту разрешаем всё, www-data только то что необходимо.
Народ, а взлом по FTP - такое вообще бывает? Что лучше закрыть - SSH или FTP? Боюсь, возможности выставить вход только по SSH-ключу тут нету.
Закрой FTP. Не надо только по ключу, но пароли сделай реально большими (и не используй, лол), а вход рутом закрой вообще. И не сохраняй пароли в ftp/sftp клиенте.