Здравствуйте. Подскажите по такому вопросу: есть лог apache в котором указано с какого ip заходили и что делали. Может ли быть так, что в закрытый раздел сайта могли зайти с ip самого хостера, при этом в логах указанно, что контент страницы был изменен именно с ip хостера?
Честно говоря не совсем понятно как контент страницы изменили через Apach?
Возможна ситуация, при которой был заброшен shell, на Ваш сайт, и изменения в коде страниц сайта произовдились через него, тогда скрипт Shell находится непосредственно на сервере хостера и IP соответственно самого сервера.
С IP хостера была изменена информация в системе администрирования. Если это был shell, то как можно узнать о его присутствии, если в бэкапе сайта его нет?
Способ 1 (в 80% поможет) — качаете все содержимое сайта, сканите файловыйм антивиром каспера, т.е. «шелы» чаще всего используют не свои и взятые из «паблика», они в свою очередь как правило засвечены в базах антивиров. Сам однажды у себя именно так нашел.
Способ 2 глазами пересмотреть все содержимое зайта, особенно каталоги типа «tem» и каталоги куда другие «легальные» Ваши скрипты имеют право на запись при UpLoad.
Но возможен случай, описанный ниже «Norraxx», когда shell забросили не Вам, а на другую учетку хостящегося «рядом» пользователя. Тогда у себя Вы шелл не найдете.
Виртуальные севрера хостеров чаще всего построены на технологии OpenVZ, т.е. с хостовой ОС возможен доступ к гостевой (обычно хостер оставляет доступ служебной учетке к гостевой ОС, т.е. Вашей), если предположить что взломали именно его, то могли попасть и к Вам.
Шеллы лучше искать по содержанию файлов: как правильно в шеллах используется какой-нибудь exec() или system(), в то время как в обычных цмс эти фкнуции используются крайне редко или и вовсе не используются. Поиск по этим функциям в файлах с очень высокой вероятностью позволит обнаружить шелл, если он есть.
Может вам взломали страничку, например с помощью домпдф и добрались к системе?
Или ваш скрипт сам что-то открывает на вашей странице…
Или на том-же хостинге 2х (или больше) сайта висят, и один заходит на другой (хоть и домены разные)
А на вопрос: «Может ли...» ответ: может.
Этоже мир информатики, а он большой и разноцветный :-)
Если я случайно попал в точку с «домпдф», тогда спросите гугла, там информации об этом много.
Нам так взломали наши серваки через домпдф. С тех пор техники получают по шее, если плохо права индианам дают.
Думаю стоит обратиться к хоестеру, надеясь на то что тот в свою очередь ведет аудит файловых изменений в каталогах клиентов. Тогда станет возможно найти зловредный скрипт. А на счет IP я думаю Вы только зря потратите время. Т.к. с вероятностью в 99.99% человек пользовал VPN или Socks, и IP будет далеко не его.
Спасибо, буду общаться с провайдером, надеюсь, что у него есть свои логи и т.п.
Вопрос очень важный, т.к измененная информация касается реальной фирмы, где сейчас не всё стабильно.
Дело в том, что если стоит nginx, а в апаче нету mod_rpaf, то все обращения к апачу в логах будут записываться, как обращения с ip вашего сервера от nginx'а.
Простой
