Задать вопрос
Lorigin
@Lorigin
Предпринимать
защита-от-взлома

Нашел на серваке лишние файлы, похоже что взломала — не понимаю?

Добрый день.



Как то сайт перестал работать. Вроде понял — закончилось место на серваке, и база полетела, почистил загружаемые юзером файлы, востановил базу и все снова стало работатье.



Сегодня опять перестал работать, Думал опять файлы, полез на серверке, в корне нашел пять дней назад созданых файла — 12.php и goge.php по коду — похоже для рассылки почты и спама… в коде стретил такое 

<font color=red>FakeSender by POCT</font><br>
	Special for <a href="http://fuckav.ru" target="_blank">FuckAV.ru</a>




Плюс днем несколько файлов удалилось из кода сайта, что он перестал работать… что делать?? Понять что поменять пароли — как проверить наличие залитого шелла (
  • Вопрос задан
  • 4187 просмотров
1 комментарий
Подписаться 2 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 4
@joneleth
lmgtfy.com/?q=linux+search+php+shell
Ответ написан
Комментировать
Комментировать
Zagrebelion
@Zagrebelion
Никак не проверять, а заново развернуть ОС и сайт из бакапов. Это быстрее и проще, чем искать, куда могли залезть шаловливые руки и какие системные файлы оказались заменены.
Ответ написан
1 комментарий
1 комментарий
elliadan
@elliadan
Проверьте логи ftp, web access logs (логи веб сервера), bash history (на всякий случай). Если файл залили по ftp то там будут упоминания о файлах 12.php и goge.php — увидите кто и когда, и откуда.
Если через дыру в приложении, тут сложнее, но хотя бы увидите когда и «примерно как» — поищите первое обращение к ним в логах веб сервера.

«Проверьте» — это что-нибудь вроде команды

grep goge.php /path/to/log/file

bash history (обычно файлик /home/username/.bash_history) чтобы проверить не было ли подозрительной активронсти от пользователей, которые заходили на сервер по SSH

Ну и не лишним будет сменить пароли, хотя бы на FTP.

это если вкратце «что делать» :)
Ответ написан
Комментировать
Комментировать
danielnewman
@danielnewman
Front-end
maldet и второй, отечественный php-скрипт для поиска… как же его. Ищите по maldet среди комментов.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий инженер по информационной безопасности
Интер РАО – Управление сервисами Сочи
от 84 000 до 93 000 ₽
Senior security engineer
Softline
от 270 000 до 350 000 ₽
Ведущий администратор средств защиты информации
FS Travel Москва
от 195 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать код на python
19 апр. 2024, в 03:01
1000 руб./за проект
Настройка сервера
18 апр. 2024, в 21:56
2000 руб./за проект
Помощь с водпресс
18 апр. 2024, в 21:00
150 руб./за проект
Ещё заказы