ProDomainer.ru - Клуб Домейнеров  
     

Войти через OpenID
Left Nav Справка ПортфолиоАукцион (39) Календарь Поиск Сообщения за день Все разделы прочитаны Right Nav

Left Container Right Container
 
Старый 24.10.2012, 22:49   #1
Член Клуба ProDomainer.ru
 

Как защитить хостинг-аккаунт от хакеров?

У меня возникла проблема. Какие-то хакеры получили доступ к моему хостинговому аккаунту у хостера Hostmonster.com. У меня на нем около 10 сайтов на разных CMS, в основном Joomla 1.5, и около сотни мелких сайтов на голом HTML и парковочных страниц под разные домены. Всего больше 100 доменов с директориями. Почти все директории хакеры забили какими-то рекламными программами, причем по объему они намного превышают весь сайт. Первый раз заметил несколько месяцев назад на сайте, сделанном на Joomla, чужую папку с чужими файлами. Сайт почистил, на хостинге сменил пароль, проверил компьютер на вирусы. Однако через пару месяцев оказалось, что хакеры свободно лазают по всему хостинговому аккаунту и набивают мои директории своими файлами. Снова все вычистил, снова сменил пароль, написал в поддержку. Ответили что это не их проблема, выслали длинный список рекомендаций, которыми я не могу воспользоваться, потому что не слишком опытный разработчик. И вот сегодня заметил, что мой хостинговый аккаунт снова забили под завязку, причем так, что большинство сайтов просто перестали работать. Там индексные файлы оказались поудалены почти у всех. Сделал откат всего аккаунта на бэкап, но поскольку объем всех сайтов очень велик, то ли откат не слишком удачно сделался (несколько часов крутился), но в общем проблема сохраняется. Сайты заработали, но все еще набиты спамом под завязку. Подозреваю, что сначала забрались через дыру в Joomla, а сейчас вообще делают на хостинговом аккаунте, что хотят. Я хочу перенести сайты на другой хостинг, но опасаюсь, что перенесу их с вражеским кодом, поскольку многие файлы подверглись изменению. Но из-за незнания PHP я не могу вражеский код обнаружить. Посоветуйте, что делать?
svetolik вне форума   Ответить с цитированием
Старый 24.10.2012, 23:18   #2
Член Клуба ProDomainer.ru
 

Если сайты статические - то самое простое восстановиться из backup, который делался явно до заражения.

В любом случае - самое просто - это восствновиться из своего личного ежемесячного backup.

А дырявую Joomla нужно или поместить на отдельный аккаунт или нормально обновить или вообще выкинуть.

Добавлено через 2 минуты
Цитата:
Но из-за незнания PHP я не могу вражеский код обнаружить. Посоветуйте, что делать?
Цитата:
выслали длинный список рекомендаций, которыми я не могу воспользоваться, потому что не слишком опытный разработчик
Собственно хостинг со своей стороны поступил очень даже вежливо и правильно, если backup не существует вообще - то тщательно выполнить выданные рекомендации - это единственный путь к спокойной жизни этих сайтов.

===
Zegaldis вне форума   Ответить с цитированием
Старый 24.10.2012, 23:48   #3
Член Клуба ProDomainer.ru
 

Вот эти рекомендации. Я честно говоря даже их не понимаю. По крайней мере, "на какую кнопку жать" чтобы их выполнить, не разобрался:

Set register_globals to OFF

1. Turn off Display Error/Warning Messages. Set error_display to ZERO

2. Never run unescaped queries

3. Validate all user inputs. Items on Forms, in URLs and so on

4. Move config.php and files containing Passwords to MySQL to a secure directory outside of the public_html folder

5. Change permissions on any configuration files containing private information such as database passwords or email accounts to 440 so they cannot be written to and so there is no world permissions. If you need to edit them at a later time you will need to change it back to 640

6. Access Control: You don't want the user to have access to any Admin function or Clean up scripts

7. The .htaccess file is your friend. Use it to deny access to your site or files. (We also have an easy IP Deny Manager tool in the cpanel)

8. PHP can parse any valid script, whether it is called foo.php, very_long_name.php.php.php, or even deleteme.bat
svetolik вне форума   Ответить с цитированием
Старый 24.10.2012, 23:57   #4
Член Клуба ProDomainer.ru
 

тоже залазили на хостинг через дырки джумлы 1.5.
хостер помогал чистить и восстанавливать (там дедик с приставленным админом).
разнес сайты по разным аккаунтам, на некоторых запретил shell.
я бы держал статику на одном акке, а потенциально дырявые на других, по 1-2 на акк. при этом чтобы аккаунты не были связаны.
насчет переноса - обычно заражают файлы .js, index.php.
а насчет "что-то заливают" - тут ручками или по датам изменений.

...
demon вне форума   Ответить с цитированием
Старый 25.10.2012, 03:49   #5
Член Клуба ProDomainer.ru
 

9

Цитата:
Сообщение от demon Посмотреть сообщение
а насчет "что-то заливают" - тут ручками или по датам изменений.
Ну, в любом случае перед глазами должен быть аксиоматично незаражённый backup

Добавлено через 17 минут
Цитата:
Сообщение от svetolik Посмотреть сообщение
7. The .htaccess file is your friend. Use it to deny access to your site or files.
Очень полезная рекомендация, все админки или дополнительно запаролить или по IP адресу сделать доступ к ним. В инете по .htaccess куча информации

===
Zegaldis вне форума   Ответить с цитированием
Старый 25.10.2012, 13:29   #6
Член Клуба ProDomainer.ru
 

svetolik, хостер действительно отписался чтобы отъебаться.
Вот неплохая статья по поводу того что делать.

Ребята правильно говорят, но тут чуть полнее.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 26.10.2012, 09:11   #7
Член Клуба ProDomainer.ru
 

Joomla - кака, особенно 1.5. (Не пойму почему все от нее фанатеют?) Нет ли в этой Joomla компонента JCE? Он дыряв...

«А вы, друзья, как не садитесь,
Всё в музыканты не годитесь» ©
UFO вне форума   Ответить с цитированием
Старый 26.10.2012, 09:17   #8
Член Клуба ProDomainer.ru
 

JCE у меня не было. А Joomla 1.5 я широко использовал, потому что она удобная в установке и управлении.
svetolik вне форума   Ответить с цитированием
Старый 26.10.2012, 17:46   #9
Член Клуба ProDomainer.ru
 

Проверил еще один хостинг-аккаунт, там была куча статичных HTML заставок и 3 сайта на Drupale. Везде понатыкано неизвестных мне файлов и папок. Замучаешься вычищать.
svetolik вне форума   Ответить с цитированием
Старый 26.10.2012, 17:48   #10
Член Клуба ProDomainer.ru
 

Проверяй свой комп.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 26.10.2012, 17:55   #11
Член Клуба ProDomainer.ru
 

Проверяю ежедневно в течение последних нескольких недель.
svetolik вне форума   Ответить с цитированием
Старый 26.10.2012, 17:56   #12
Член Клуба ProDomainer.ru
 

LIVECD?

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 26.10.2012, 18:04   #13
Член Клуба ProDomainer.ru
 

Не понял?
Проверяю Касперским.
svetolik вне форума   Ответить с цитированием
Старый 26.10.2012, 18:55   #14
Член Клуба ProDomainer.ru
 

svetolik, по-моему, Макс имел ввиду провериться с априори незараженного софта - с LiveCD (насколько помню, загрузиться с диска LiveCD и из-под него провериться).
на крайний случай, подключить жесткий диск к другому, кристально чистому компу.

...
demon вне форума   Ответить с цитированием
Старый 26.10.2012, 19:38   #15
Член Клуба ProDomainer.ru
 

Жесткий подключать не советую.
Если это сделать неудачно то можно заразить чистую машину....
А удачно сделать сложно.
Я без внешнего контроллера к которому я могу подключать на работающей машине зараженные или подозреваемые винты не подключаю.

Только с диска)

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 10:16   #16
Член Клуба ProDomainer.ru
 

Хакеры везде суют файл wp-config.php, и на сайты на Drupale, и на сайты на Joomla. Их IP пробить не удалось, на 2ip.ru никакие данные не выдаются, выдается только 3 строки, которые мне ни о чем не говорят. Запретить их по IP не удалось. Пока еще не решил, как справиться с проблемой. У меня IP динамический, циферки очень разные, поэтому и себе сделать эксклюзивный доступ не могу. Пока еще не сообразил, как закрыться от хакеров. Статьи перечитал, но они не на мой опыт рассчитаны.
svetolik вне форума   Ответить с цитированием
Старый 29.10.2012, 11:14   #17
Член Клуба ProDomainer.ru
 

в htaccess доступ по паролю можно сделать, не по IP

===
Zegaldis вне форума   Ответить с цитированием
Старый 29.10.2012, 14:24   #18
Член Клуба ProDomainer.ru
 

Zegaldis, а ftp?

svetolik, разделяй сайты на разных пользователей. Включая базы данных.
Ставь fcgi или cgi лишь бы не модуль апач.
ПРОВЕРЬ КОМП НА ВИРУСЫ. Скачай ЛивСиДи каспера и доктора веба, сделай диски, и проверь с них.

Разные пользаки может и не для всех, а так чисто статику отдельно, скрипты отдельно.
Если это накладно - смени хостера.

Хоть эти советы то на твоем уровне?

Добавлено через 29 секунд
ПЫСЫ: через что вызывается пхп (fcgi и прочее) можно спросить/попросить у хостера.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 14:34   #19
Член Клуба ProDomainer.ru
 

Комп я уже Каспером вдоль и поперек заездил, чистый он. Хостера как раз меняю, сейчас их у меня 4, 2 заражены, 2 чистых.
svetolik вне форума   Ответить с цитированием
Старый 29.10.2012, 15:00   #20
Член Клуба ProDomainer.ru
 

svetolik, LiveCD или такие мелочи были проигнорированы?

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 15:09   #21
Член Клуба ProDomainer.ru
 

Ну не знаю я, что такое LiveCD, для меня это марсианский язык. Мне все ваши слова расшифровывать нужно, и пока расшифровка продвигается туго.
svetolik вне форума   Ответить с цитированием
Старый 29.10.2012, 15:31   #22
Член Клуба ProDomainer.ru
 

Расшифровка безусловно сложна.
Или есть сложности с записью образа на диск?
Можем еще магазин где диски продаются найти, но для этого адрес нужен


ПЫСЫ: с другой стороны то, что есть незараженные хостинги это аргумент, т.е. может быть комп и не заражен как казалось изначально.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 16:08   #23
Член Клуба ProDomainer.ru
 

9

Цитата:
Сообщение от Mendel Посмотреть сообщение
с другой стороны то, что есть незараженные хостинги это аргумент
Ну, дырявые скрипты в сочетании с хостингами за 0.75$ в месяц "алл инклюзив" могут давать страшные результаты

===
Zegaldis вне форума   Ответить с цитированием
Старый 29.10.2012, 17:05   #24
Член Клуба ProDomainer.ru
 

Саш, а чего ты к хостингам имеешь? Там только пхп как модуль апача проблемой может быть... Нет, ну может всякое быть, но я не думаю что это наш случай - два хостинга заражено. Да и апач тоже не при делах второй хостинг через него не достать.... Хотя уверен там полный букет, ибо как-то оно не вяжется в единую картину, так что явно проблем сразу несколько.....

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 18:55   #25
Член Клуба ProDomainer.ru
 

Ну, можете смеяться, но у меня были проблемы с записью дисков iso, и Google я читал, и пробовал, не получалось. Но уже ясно, что дело не в компе, чистый комп. Где-то пробили они один сайт, вероятно на Joomla 1.5, затем залезли на хостинг и начали там свои порядки наводить. Буду медленно переваривать все, что мне написали, возможно, что-то из этого удастся сделать.

Добавлено через 2 минуты
Дайте еще совет: если сайт с измененными файлами перенести на другой хостинг, то он тоже пострадает? Я вижу, что некоторые файлы были изменены. Удалить их нельзя, без них сайт не работает. А разобраться, что в них изменили, не могу, так как не знаю PHP. Думаю, что придется около 30 сайтов переделывать заново, это большая проблема. Или есть варианты как-то их "подлечить"?
svetolik вне форума   Ответить с цитированием
Старый 29.10.2012, 20:02   #26
Член Клуба ProDomainer.ru
 

Касперским на локальной машине проверял?
Доктором вебом?
Теоретически может и вылечит....

Поискать iframe в хтмл.
Ну и вообще везде.
Поискать <? т.е. открывающий пхп-тег в статических хтмл файлах... там их быть не должно, раз там не было пхп.
Ну и в коде ищем eval - его как правило быть не должно, разве что в футере шаблона в говноскриптах типа вордпреса.

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 20:09   #27
Член Клуба ProDomainer.ru
 

Касперским полностью проверяю комп каждый день.
Доктора Веба у меня не стоит.
Файлы HTML все просмотрел, чужого кода в них не нашел (HTML хорошо знаю, в отличие от PHP). Вроде по дате изменения видно, что HTML файл меняли, но я изменений не нашел.
Вместо этого накачали в разные папки, в основном корневую, чужих и HTML, и PHP файлов. Я их уже вычистил, но остались еще измененные PHP файлы движков, без которых движки (Joomla и Drupal) не работают. Пока не знаю, что с этими измененными PHP файлами делать.
svetolik вне форума   Ответить с цитированием
Старый 29.10.2012, 20:53   #28
Член Клуба ProDomainer.ru
 

В идеале брать инсталяшку движка чистую, и на нее переносить файлы.
т.е. ставишь движок, ставишь на него нужные плагины, потом копируешь шаблоны и другие вещи которые измененные...

То что копируешь с зараженного просматриваешь на наличие eval в идеале конечно ничего кроме хтмл css и т.п. не копировать...

т.е. на чистый сайт накладываешь грязный до полного сходства....

По базе пройтись на предмет наличия левых админов и т.п.

Обязательно всех разносить по разным пользователям.

Касперским проходишь свой комп или то что слил с сервера?

В любой ситуации выбор всегда за вами. Вы либо гуляете под дождем, либо просто под ним мокнете.
Mendel вне форума   Ответить с цитированием
Старый 29.10.2012, 21:47   #29
Член Клуба ProDomainer.ru
 

Касперским прохожу свой комп, если сливаю с сервера, то тоже сразу после этого прохожу, отключившись от сети.
svetolik вне форума   Ответить с цитированием
Старый 30.10.2012, 07:51   #30
Член Клуба ProDomainer.ru
 

9

Цитата:
Сообщение от svetolik Посмотреть сообщение
Ну, можете смеяться, но у меня были проблемы с записью дисков iso, и Google я читал, и пробовал, не получалось. Но уже ясно, что дело не в компе, чистый комп.
Ну, проблемы с записью .ISO однозначно не из-за вирусов, вирусов блокирующих запись .ISO я не встречал.

Более реальные проблемы:
1) DVD-RW привод просится на мусорку - давно покупался? часто использовался? грязные диски были?
2) БП (блок питания) компа просится на мусорку - давно покупался? сколько ватт?
Здесь я бы однозначно взял в руки мультиметр и померял вольтажи по +5В и +12В - чтобы убедиться в весомости проблемы и необходимости отправления пациета в мусорку. Если там уже есть просадки, то отказ в записи DVD диска - это только начало, дальше всё вообще отказать и сгореть захочет.

===
Zegaldis вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
Быстрый переход


Часовой пояс GMT +4, время: 08:28.