Lorigin
@Lorigin
Предпринимать

Нашел на серваке лишние файлы, похоже что взломала — не понимаю?

Добрый день.



Как то сайт перестал работать. Вроде понял — закончилось место на серваке, и база полетела, почистил загружаемые юзером файлы, востановил базу и все снова стало работатье.



Сегодня опять перестал работать, Думал опять файлы, полез на серверке, в корне нашел пять дней назад созданых файла — 12.php и goge.php по коду — похоже для рассылки почты и спама… в коде стретил такое

<font color=red>FakeSender by POCT</font><br>
	Special for <a href="http://fuckav.ru" target="_blank">FuckAV.ru</a>




Плюс днем несколько файлов удалилось из кода сайта, что он перестал работать… что делать?? Понять что поменять пароли — как проверить наличие залитого шелла (
  • Вопрос задан
  • 4180 просмотров
Пригласить эксперта
Ответы на вопрос 4
Никак не проверять, а заново развернуть ОС и сайт из бакапов. Это быстрее и проще, чем искать, куда могли залезть шаловливые руки и какие системные файлы оказались заменены.
Ответ написан
elliadan
@elliadan
Проверьте логи ftp, web access logs (логи веб сервера), bash history (на всякий случай). Если файл залили по ftp то там будут упоминания о файлах 12.php и goge.php — увидите кто и когда, и откуда.
Если через дыру в приложении, тут сложнее, но хотя бы увидите когда и «примерно как» — поищите первое обращение к ним в логах веб сервера.

«Проверьте» — это что-нибудь вроде команды

grep goge.php /path/to/log/file

bash history (обычно файлик /home/username/.bash_history) чтобы проверить не было ли подозрительной активронсти от пользователей, которые заходили на сервер по SSH

Ну и не лишним будет сменить пароли, хотя бы на FTP.

это если вкратце «что делать» :)
Ответ написан
danielnewman
@danielnewman
Front-end
maldet и второй, отечественный php-скрипт для поиска… как же его. Ищите по maldet среди комментов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы