| Вопрос: |
Добрый день. Мой сайт http://*.dialog*.*/ был взломан - не знаю как и кем, страница изменена - можно узнать по логам когда и что еще в аккаунте могли изменить. Основной пароль я сейчас сменил. |
| Вопрос: |
Также хотелось бы узнать - угрожает ли что то другим сайтам на аккаунте? Стоит ли их переносить? |
| Ответ: |
Здравствуйте. Файлы быили изменены вчера, когда был взломан сайт неизввестно. смените паролли и шаблон
так же позаботьтесь о безопасности
http://www.joomla-docs.ru/Безопасность |
| Ответ: |
в папке tmp сайта у вас файл sGq*ezJY.php
антивирусом он не определяется
/*public_html*Dialog*.* ./
----------- * -----------
*: *******
*: *.**.*
*: *
*: *
*: *
*: *.** *
*: *.** * *.**:*)
*: *.*** * (* * * *)
но скорее всего через нео и взломали сайт |
| Вопрос: |
как он туда мог попасть - с шаблоном* |
| Вопрос: |
Вчера на сайте была регистрация нового пользователя - во временную папку он мог закинуть не получая доступ к хостингу? |
| Ответ: |
конечно мог, у вас пользователи могут загружать файлы? запретите такую возможность
&*; |
| Вопрос: |
Проверьте сайт http://*.*/ - чет тоже все нарушено - вчера какие то изменения были похоже - я ничего не делал и не менял. |
| Ответ: |
ничего не найдено |
| Вопрос: |
Ок. Буду значит чинить. |
| Ответ: |
ok
|
| Вопрос: |
Я сайт удалил, а у вас не хранится резервная версия, более ранняя - к примеру когда сайты переносятся с одного сервера на другой? |
| Ответ: |
уточните о каком сайте идет речь? |
| Вопрос: |
http://*.dialog*.*/ - который взломали |
| Ответ: |
Проверьте пожалуйста сейчас.
|
| Ответ: |
с вашего аккаунта сейчас рассылался спам
со всех этих папок
|
| Вопрос: |
Сейчас не работает - * |
| Вопрос: |
ОООо - откуда летит спам? |
| Ответ: |
вам написали откуда, со всех перечисленных папок. вы ведб не сменили пароль |
| Вопрос: |
От аккаунта я сменил пароль как только увидел взлом - сегодня около ** **.
|
| Вопрос: |
Какие дальнейшие действия? |
| Ответ: |
в данный момент аккаунт проверяется антивирусом полностью. после чего мы можем открыть доступ только для вас что бы вы проверили все сайты, сменили пароли на всех сайтах и установили защиту на всех сайтах |
| Вопрос: |
Я сменил пароли уже на всех сайтах - скорее всего вход осуществляется по ftp
|
| Ответ: |
почему вы сразу не сменили тогда пароль ftp ?
ситуация очень плохая, мы нашли большое число файлов которое рассылало спам, но проблема в том что они не определяются антиврусом
все они созданы в **х числах марта
имеют старнные имена вроде *vesFCj**.php _Pa.php MKscu__w.php QEXwLa*.php и т.д
список менявшихся файлов выслан на EMAIL
&*;
&*;
&*; |
| Вопрос: |
На почту пришло письмо *, но оно пустое |
| Ответ: |
выслано повторно |
| Вопрос: |
Та же фигня - пустое. Там приложение или все в тексте? |
| Ответ: |
все текст. сообщите другой email
&*; |
| Вопрос: |
EMAIL |
| Ответ: |
выслано на EMAIL |
| Вопрос: |
Я не знаю почему - возможно mail.* блокирует текст. Попробуйте или текстовый файл или EMAIL |
| Вопрос: |
На EMAIL тоже пусто |
| Ответ: |
выслано на EMAIL
&*; |
| Вопрос: |
Тоже пусто - так мне письмо не получить - они все блокируют. |
| Ответ: |
сообщите ip с котрого вы будете работать |
| Вопрос: |
IP |
| Вопрос: |
Только у меня ip динамический и меняется раза * в день |
| Вопрос: |
Также хотел спросить - если я подключу услугу у провайдера - фиксированный IP, можно ли будет сделать общий вход по FTP с привязкой только к этому ip ? И вообще будет ли это гарантией безопасности или все это бесполезно? |
| Ответ: |
доступ для открыт
у сервера ftp на сервере нет привязки к ip |
| Вопрос: |
Чет не пускает cPanel |
| Ответ: |
Сообщите свой IP, свой IP вы можете узнать на сайте *ip.ru |
| Вопрос: |
Вот IP*IP |
| Ответ: |
Доступ данному IP открыт. |
| Вопрос: |
Подскажите - все FTP аккаунты и оставить один? Их там очень много и менять пароль на всех очень долго, тем более я пользуюсь всего одним. Какие из них можно удалить? |
| Ответ: |
Удалить в можете все кроме того которым вы пользуетесь. |
| Вопрос: |
Я поменял пароли от входа в аккаунт.
Поменял пароль от cPanel, он же от главного FTP - остальные ftp аккаунты удалил.
Поменял пароли от админок на всех сайтах.
Удалил все найденные файлы спам-рассылки, ну по крайней мере просмотрел все папки с сайтами по * раза - удалил порядка ** файлов.
Прошу разрешения на запуск сайтов - также прошу по возможности промониторить спам рассылку сегодня вечером, если таковая будет, хотя надеюсь удалил все возможное. |
| Ответ: |
проверьте каждый сайт скриптом http://www.revisium.com/ai/ |
| Вопрос: |
У меня проблема при проверке - всегда вылазит *** *. А для полной проверки нужно ssh подключение - как его сделать я не знаю. |
| Ответ: |
мы запустили сканирование |
| Вопрос: |
Спасибо - у меня тоже через ** запусков иногда запускается))))
|
| Вопрос: |
Я все проверил - только сайт http://*.* не поддается - но все файлы по *.* я удалил. |
| Вопрос: |
Все, теперь точно все проверил и сайт http://*.*. Прошу запустить нормальную работу сайтов. |
| Ответ: |
Запрос передан администратору. |
| Ответ: |
состояние проверки
php*.php*amx*.*/****-**/********************.*] ***** * ******. [*: * *: * * ** *; |
| Вопрос: |
Ок - ждем. |
| Ответ: |
. [*: * *: * * ** * ] |
| Ответ: |
лог /public_html/AI-BOLIT-REPORT-**-**-****_**-**-******.html |
| Вопрос: |
Лог просмотрел - все потенциально опасные для спам рассылки файлы были удалены. Прошу включить сайты. |
| Ответ: |
ок |
| Вопрос: |
А как посмотреть - идет спам рассылка или нет? |
| Ответ: |
вы никак это не увидите, логи почтового сервера доступны только администратору |
WordPress)