Задать вопрос
Lorigin
@Lorigin
Предпринимать
защита-от-взлома

Нашел на серваке лишние файлы, похоже что взломала — не понимаю?

Добрый день.



Как то сайт перестал работать. Вроде понял — закончилось место на серваке, и база полетела, почистил загружаемые юзером файлы, востановил базу и все снова стало работатье.



Сегодня опять перестал работать, Думал опять файлы, полез на серверке, в корне нашел пять дней назад созданых файла — 12.php и goge.php по коду — похоже для рассылки почты и спама… в коде стретил такое 

<font color=red>FakeSender by POCT</font><br>
	Special for <a href="http://fuckav.ru" target="_blank">FuckAV.ru</a>




Плюс днем несколько файлов удалилось из кода сайта, что он перестал работать… что делать?? Понять что поменять пароли — как проверить наличие залитого шелла (
  • Вопрос задан
  • 4189 просмотров
1 комментарий
Подписаться 2 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 4
@joneleth
lmgtfy.com/?q=linux+search+php+shell
Ответ написан
Комментировать
Комментировать
Zagrebelion
@Zagrebelion
Никак не проверять, а заново развернуть ОС и сайт из бакапов. Это быстрее и проще, чем искать, куда могли залезть шаловливые руки и какие системные файлы оказались заменены.
Ответ написан
1 комментарий
1 комментарий
elliadan
@elliadan
Проверьте логи ftp, web access logs (логи веб сервера), bash history (на всякий случай). Если файл залили по ftp то там будут упоминания о файлах 12.php и goge.php — увидите кто и когда, и откуда.
Если через дыру в приложении, тут сложнее, но хотя бы увидите когда и «примерно как» — поищите первое обращение к ним в логах веб сервера.

«Проверьте» — это что-нибудь вроде команды

grep goge.php /path/to/log/file

bash history (обычно файлик /home/username/.bash_history) чтобы проверить не было ли подозрительной активронсти от пользователей, которые заходили на сервер по SSH

Ну и не лишним будет сменить пароли, хотя бы на FTP.

это если вкратце «что делать» :)
Ответ написан
Комментировать
Комментировать
danielnewman
@danielnewman
Front-end
maldet и второй, отечественный php-скрипт для поиска… как же его. Ищите по maldet среди комментов.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Преподаватель по кибербезопасности
CODDY
от 25 000 до 40 000 ₽
Преподаватель в онлайн-школу по кибербезопасности
CODDY
от 25 000 до 100 000 ₽
Менеджер направления по информационной безопасности
5POST Москва
от 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать Extension для Google Chrome Webstore
22 дек. 2024, в 14:07
15000 руб./за проект
Нписать индикатор на языке Pine Script для TradingView
22 дек. 2024, в 13:01
50000 руб./за проект
Игра С# MVC console + wpf
22 дек. 2024, в 10:44
15000 руб./за проект
Ещё заказы