Задать вопрос
@Yujj

Shared сервера timeweb взломаны (или qh.php)?

Во второй раз сталкиваюсь с ситуацией, когда на сабжевом хостинге взламывают сайт. Причём, взламывают не только мой, но и на соседних по серверу аккаунтах. Причём, используются различные CMS (joomla, wordpress, dle, bitrix и даже самописки). На моих аккаунтах были взломаны сайты на bitrix и на wordpress. Первые подозрения, типа, слабых паролей и т.д. отпали сразу, а когда обнаружилось, что соседние по площадке сайты тоже заражены - обратился через тикет к хостеру, но ответ стандартно-шаблонный - взломали вас, мы тут не поможем - у нас всё хорошо. Но как были взломаны сразу все (или почти все) сайты именно на данном IP? Почему не на других десятках моих сайтах на других серверах timeweb и других хостингах?

То есть, всё что есть общего у взломанных сайтов - IP и файлик qh.php в корне сайта. (файлик могу выложить для ознакомнелия).

Как быть в этой ситуации? Как достучаться до компетентных людей в ТП хостинга, которые смогут глубже разобраться в проблеме?
  • Вопрос задан
  • 3406 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
opium
@opium
Просто люблю качественно работать
Смотрите дату создания файла идете в логи сервера и смотрите что было в это время, если заразили через взлом то найдете команду как его поставили если нет то не найдете ну и тогда долбить подддержку
Ответ написан
Комментировать
@Yujj Автор вопроса
Дата изменени - 6 месяцев назад. Подделала под соседние файлы. При этом пару месяцев назад этого файла здесь не было точно. Так что Ваш вариант не подходит.

Народ, не пишите, пожалуйста, про то, чтобы "посмотреть логи". Ну нету их... просто нету - не были включены на хостинге на момент взлома.

Лучше обратите внимание на тот факт, что взломан не только мой сайт, а ещё и соседние - на других аккаунтах, к которым у меня нет доступа.
Ответ написан
Комментировать
EnterSandman
@EnterSandman
Эникей
cat host.log | grep qh.php и смотреть первые результаты
Ответ написан
Комментировать
@f0tx
Не стоит вскрывать эту тему.
Ответ написан
@MrGroovy
Причём, взламывают не только мой, но и на соседних по серверу аккаунтах

К сожалению без более подробной информации сказать сложно, где именно произошел взлом на стороне клиента или хостинга. Если вы верите в профессиональную компетенцию владельцев хостинга то лучше сразу искать новый. Но так как есть возможность что непосредственно взломали вас, то перед переносом сайта его необходимо проверить.

На моих аккаунтах были взломаны сайты на bitrix и на wordpress.

Возможно вас взломали через известные уязвимости в этих CMS. Уязвимости бывают двух видов - устаревшая версия самого ПО и уязвимости в плагинах или темах. Чтобы найти уязвимости в такие уязвимости можно воспользоваться специальными сканерами. Попробуйте, это:
- https://metascan.ru (Он может проверить как WordPress так и Bitrix )
- wprecon.com (проверка WordPress);
- 1c-bitrix.ru/products/cms/modules/security_scaner/ (Сканер безопасности 1С Butrix)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы