Прокси хакера на хостинге - чем для него чревато?

wisgest, пару раз писал хостингу и накатил abuse. Хостинг ничего не ответил, с адреса 194.34.132.58 перестали долбиться через какое то время, но теперь долбятся каждый день с 194.34.132.57 (тот же хостинг). Упорный скрипт продолжает проверять директории manager и admin и постоянно ему приходит ответ 404, но он не останавливается и каждый день продолжает свои попытки. Судя по всему, по базе адресов сайтов на modx, массово в админки пытается попасть и брутить их. При чем, если раньше ломился пару раз в день, то теперь каждый час по 10 раз долбится.

Каким образом защитить сайты, расположенные на одном аккаунте хостинга таким образом, чтобы взлом одного не затрагивал остальные?

Подробнее отвечал вот здесь: создаю отдельного пользователя ... Для apache устанавливаю модуль ModSecurity

На сколько понял, 3 и 4 пункты из вашего руководства не для моего случая, т.к. там не про обычный шаред хостинг.

На счет настроек php.ini, на моем хостинге:

Можно ли устанавливать собственные настройки php.ini?
У нас PHP работает как модуль Apache, и поэтому невозможно использовать свой php.ini. Для использования собственного php.ini вы можете запустить PHP в режиме CGI.

И далее инструкция, как запустить PHP в режиме CGI:

Запуск PHP в режиме CGI позволяет указывать свой php.ini, работать из PHP с любыми файлами на аккаунте и иметь полный доступ к файлам, созданным из PHP.

Порядок действий:

Подключить услугу «Поддержка CGI» (услугу «Поддержка PHP» можно отключить).
Создать файл php.cgi:

#!/bin/bash
/usr/local/bin/php-cgi -n
или
#!/bin/bash
/usr/local/bin/php-cgi -c /путь/к/файлу/php.ini
Закачать файл на сервер в ASCII-режиме в папку домена, на котором предполагается запускать PHP в режиме CGI. Например, для домена test.ru это будет папка /domains/test.ru. Если домен размещен в папке /docs, файл нужно закачивать в папку /docs. Если закачать файл не в ASCII-режиме, скрипт работать не будет, будет выдаваться ошибка 500 (Internal Server Error).

Установить на файл php.cgi права 0755 (rwxr-xr-x).
Проверить права на папку домена. Должны быть установлены права 0755 (drwxr-xr-x). Внутри папки с правами 0777 (drwxrwxrwx) скрипт работать не будет, будет выдаваться ошибка 500 (Internal Server Error).
Создать файл .htaccess в директории домена, на котором PHP будет работать в режиме CGI, и поместить в него следующие директивы:
Action php-cgi /php.cgi
AddHandler php-cgi .php
Теперь файлы с расширением .php будут обрабатываться PHP интерпретатором в CGI-режиме.

Недостатки такого способа: низкая скорость работы, недоступность некоторых функций модуля и потенциальная небезопасность: если ваш скрипт взломают, это может иметь более серьезные последствия, чем если бы PHP работал как модуль Apache. Поэтому мы не рекомендуем запускать PHP через CGI без особой на то необходимости.

Это то что мне нужно, или такое не подходит? В 6 пункте смущает зависимость от .htaccess - т.е. если сайт взломают и изменят .htaccess, то настройки в php.ini потеряют смысл?

Как на обычном хостинге защитить логи сервера от редактирования, или как получить не измененные логи?

дядя с шаред хостинга ничем не может помочь.

Как на обычном хостинге защитить логи сервера от редактирования, или как получить не измененные логи?

речь про шаред хостинг jino.ru. Сам хостер не будет заморачиваться и логи только доступные для редактирования предоставляет, так что взломав сайт - взламываются и логи.

Как на обычном хостинге защитить логи сервера от редактирования, или как получить не измененные логи?

FanatPHP, jino.ru предоставляющий шаред хостинг, ничего не может или не хочет сделать. Записывать логи куда то еще или предоставлять оригиналы, отредактировать которые взломщик бы не смог - такое они отказываются делать.

Что стало со сканером сайта AI-Bolit (на наличие бекдоров и т.п.)?

Благодарю за развернутый ответ. На сколько понял, Malware Scanner это ImunifyAV+, который теперь только за деньги. А какие то бесплатные альтернативы не подскажете, которые можно использовать на обычном хостинге, не устанавливая на собственный сервер?

Прокси хакера на хостинге - чем для него чревато?

Dimonchik, мне не жалко поставить лайк даже не взирая на токсичность, если человек мне чем то помог - но это не в нашем случае )) И кто вообще станет клиентом токсичного человека, разве что не уважающий себя человек, из которого можно веревки вить. И уж точно нормальный человек не станет платить за смену отношения к себе, так что извиняй ))

Прокси хакера на хостинге - чем для него чревато?

Попробовал написать. Не то что жажда действий, просто не сталкивался с подобным раньше и стало любопытно что к чему.

Прокси хакера на хостинге - чем для него чревато?

Он с разных IP действовал и тот финский был не в самом конце логов. Ну и вопрос на эту тему - как защитить логи на хостинге, чтобы их невозможно было редактировать?

Непонятная дичь на сайтах с одного хостинга. wp-signups.php что происходит?

Aleksandr-JS-Developer, а какой в этом смысл? Если рекламная страница на иероглифическом языке, а трафик с русскоязычного сайта? Покупать из этого трафика никто ничего не будет из за разницы в тематике товаров и услуг и в языке, а поведенческие факторы ухудшатся - поисковым системам не понравится. Или в китайской байду поведенческие факторы не учитываются?

Прокси хакера на хостинге - чем для него чревато?

Dimonchik, благодарю за полезный ответ... иронию надеюсь поймете, вы же умный. П.С. не в первый раз замечаю токсичность в ваших ответах, язвить похоже практикуетесь - вы этим занимаетесь опять же от вашего большого ума и счастливой жизни?))

Пытаюсь понять, это следы брута в логах?

Дядька Серёжа,

Ставьте WAF (mod security для nginx), Wazuh (там и комплаенс проверка и проверка уязвимостей и система обнаружения вторжений и EDR, и контроль целостности файлов)

Только у меня обычный хостинг jino.ru и на сколько понимаю - с установкой конечно же ничего не получится, потому что хостинг это не собственный сервер, где можно свои учетки создавать и устанавливать что угодно.

После взлома сайта заблокировали гугл-рекламу. Подача апелляции после восстановления сайта ни к чему не привела, в чем дело и как исправить?

выкинул из инлекса и не вернул на места

Сайт по прежнему проиндексирован, находится по поисковым запросам в гугле. Или о каком индексе речь?

трафа нет - нет рекламы

А наличие трафика на сайт является условием для соответствия требованиям аккаунта Google Рекламы?

Почему после восстановления сайта (после взлома), роботы гугла продолжают ломиться по левым адресам левых карт сайта?

Как долго они у него пробудут в памяти и чем это чревато? Какие варианты того зачем взломщики сделали множество карт сайта?

Каким образом защитить сайты, расположенные на одном аккаунте хостинга таким образом, чтобы взлом одного не затрагивал остальные?

Владимир, примерно такая строка. Это значит обычный шаред хосинг на линуксе и только несколько аккаунтов у хостинга покупать?

Каким образом защитить сайты, расположенные на одном аккаунте хостинга таким образом, чтобы взлом одного не затрагивал остальные?

Владимир, получил вывод, в котором очень много информации. На что именно там внимание обратить?

Пытаюсь понять, это следы брута в логах?

Антон Тарасов, старая версия modx 2.7 что-то там была, восстановил из дампа и обновил. Пароль простой был, поэтому подозреваю что именно забрутили, но тем не менее из любопытства хочется больше понимания получить и научиться анализировать логи. Wordpress на том же хостинге стоял, но в другой директории на другом домене. Взломщик мог логи подчистить и даже отредактировать, что бы пустить по ложному пути? Вообще желательно на разные аккаунты хостинга все сайты перенести, чтобы в случае взлома одного сайта, остальные не зацепило?

Пытаюсь понять, это следы брута в логах?

Антон Тарасов, спасибо за ответ и рекомендации. А что бы вы могли сказать по поводу вот этого участка лога:

37.46.114.115 - - [01/May/2021:11:16:33 +0300] "POST /manager/ HTTP/1.0" 200 7678
37.46.114.115 - - [01/May/2021:11:16:34 +0300] "POST /manager/ HTTP/1.0" 200 7678
37.46.114.115 - - [01/May/2021:11:27:45 +0300] "GET /manager/ HTTP/1.0" 200 7386
37.46.114.115 - - [01/May/2021:11:27:46 +0300] "POST /manager/ HTTP/1.0" 200 7678
37.46.114.115 - - [01/May/2021:11:34:56 +0300] "GET /manager/ HTTP/1.0" 200 7386
37.46.114.115 - - [01/May/2021:11:34:59 +0300] "POST /manager/ HTTP/1.0" 200 7678
185.128.26.216 - - [01/May/2021:11:37:45 +0300] "GET /manager/ HTTP/1.0" 200 1978
185.128.26.216 - - [01/May/2021:11:37:46 +0300] "GET /manager/templates/default/images/modx-logo-color.svg HTTP/1.0" 200 3567
185.128.26.216 - - [01/May/2021:11:37:46 +0300] "GET /manager/templates/default/fonts/fontawesome-webfont.woff2?v=4.7.0 HTTP/1.0" 200 77160
185.128.26.216 - - [01/May/2021:11:37:47 +0300] "GET /favicon.ico HTTP/1.0" 404 5987
185.128.26.216 - - [01/May/2021:11:37:50 +0300] "POST /manager/ HTTP/1.0" 302 20
185.128.26.216 - - [01/May/2021:11:37:51 +0300] "GET /manager HTTP/1.0" 301 200
185.128.26.216 - - [01/May/2021:11:37:51 +0300] "GET /manager/ HTTP/1.0" 200 6432
185.128.26.216 - - [01/May/2021:11:37:52 +0300] "GET /connectors/lang.js.php?ctx=mgr&topic=topmenu,file,resource,welcome,configcheck,ace:default&action= HTTP/1.0" 200 20487
185.128.26.216 - - [01/May/2021:11:37:52 +0300] "GET /connectors/modx.config.js.php?action=&wctx=mgr HTTP/1.0" 200 5257
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "GET /manager/templates/default/images/modx-icon-color.svg HTTP/1.0" 200 2012
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php HTTP/1.0" 200 1894
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php?action=element/getnodes&id=root HTTP/1.0" 200 1510
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php HTTP/1.0" 200 1580
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php HTTP/1.0" 200 757
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php HTTP/1.0" 200 164
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_type_chunk&type=chunk HTTP/1.0" 200 1605
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_type_template&type=template HTTP/1.0" 200 508
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_type_plugin&type=plugin HTTP/1.0" 200 1476
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_type_snippet&type=snippet HTTP/1.0" 200 2099
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_type_tv&type=tv HTTP/1.0" 200 2455
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_category&type=category HTTP/1.0" 200 663
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php?action=system/dashboard/widget/feed&feed=news HTTP/1.0" 200 22325
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php HTTP/1.0" 200 61
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_snippet_category_2&type=snippet HTTP/1.0" 200 7049
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_plugin_category_2&type=plugin HTTP/1.0" 200 1011
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_snippet_category_1&type=snippet HTTP/1.0" 200 3327
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php?action=element/getnodes&id=n_category_2&type=category HTTP/1.0" 200 7484
185.128.26.216 - - [01/May/2021:11:37:54 +0300] "POST /connectors/index.php HTTP/1.0" 200 224
185.128.26.216 - - [01/May/2021:11:37:55 +0300] "POST /connectors/index.php HTTP/1.0" 200 224
185.128.26.216 - - [01/May/2021:11:37:53 +0300] "POST /connectors/index.php?action=system/dashboard/widget/feed&feed=security HTTP/1.0" 200 8894
185.128.26.216 - - [01/May/2021:11:37:55 +0300] "POST /connectors/index.php HTTP/1.0" 200 61
185.128.26.216 - - [01/May/2021:11:37:55 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=/ HTTP/1.0" 200 44643
185.128.26.216 - - [01/May/2021:11:37:57 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=core/&type=dir HTTP/1.0" 200 20131
185.128.26.216 - - [01/May/2021:11:37:57 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=core/elements/&type=dir HTTP/1.0" 200 1609
185.128.26.216 - - [01/May/2021:11:37:58 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=core/elements/templates/&type=dir HTTP/1.0" 200 2961
185.128.26.216 - - [01/May/2021:11:37:58 +0300] "POST /connectors/index.php HTTP/1.0" 200 61
185.128.26.216 - - [01/May/2021:11:37:58 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=connectors/&type=dir HTTP/1.0" 200 7197
185.128.26.216 - - [01/May/2021:11:38:00 +0300] "POST /connectors/index.php HTTP/1.0" 200 61
185.128.26.216 - - [01/May/2021:11:38:00 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=connectors/system/&type=dir HTTP/1.0" 200 1451
185.128.26.216 - - [01/May/2021:11:38:01 +0300] "GET /manager/?a=system/file/edit&file=connectors/system/phpthumb.php&wctx=mgr&source=1 HTTP/1.0" 200 4894
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "GET /connectors/lang.js.php?ctx=mgr&topic=topmenu,file,resource,file,ace:default&action=system/file/edit HTTP/1.0" 200 17880
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "GET /connectors/modx.config.js.php?action=system/file/edit&wctx=mgr HTTP/1.0" 200 5257
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "POST /connectors/index.php HTTP/1.0" 200 1875
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "POST /connectors/index.php HTTP/1.0" 200 1580
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "POST /connectors/index.php HTTP/1.0" 200 224
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "POST /connectors/index.php HTTP/1.0" 200 224
185.128.26.216 - - [01/May/2021:11:38:02 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=/ HTTP/1.0" 200 44643
185.128.26.216 - - [01/May/2021:11:38:03 +0300] "POST /connectors/index.php?action=browser/directory/getList&id=connectors/&type=dir HTTP/1.0" 200 7197
185.128.26.216 - - [01/May/2021:11:38:04 +0300] "POST /connectors/index.php HTTP/1.0" 200 61
37.46.114.115 - - [01/May/2021:11:42:35 +0300] "GET /manager/ HTTP/1.0" 200 7386
37.46.114.115 - - [01/May/2021:11:42:37 +0300] "POST /manager/ HTTP/1.0" 200 7678
185.128.26.216 - - [01/May/2021:11:44:16 +0300] "POST /connectors/index.php HTTP/1.0" 200 169
185.128.26.216 - - [01/May/2021:11:44:16 +0300] "POST /connectors/index.php HTTP/1.0" 200 98
185.128.26.216 - - [01/May/2021:11:44:21 +0300] "GET /connectors/system/phpthumb.php HTTP/1.0" 200 98
185.128.26.216 - - [01/May/2021:11:44:24 +0300] "POST /connectors/system/phpthumb.php HTTP/1.0" 200 2994
185.128.26.216 - - [01/May/2021:11:44:33 +0300] "POST /connectors/system/phpthumb.php HTTP/1.0" 200 3060
185.128.26.216 - - [01/May/2021:11:44:40 +0300] "GET /system/form1.php HTTP/1.0" 404 5987

Тут в самом конце form1.php это шелл, а как его залили - хотелось бы понять. Забрутили пароль, или же в connectors дело и что это такое connectors?

Каким образом защитить сайты, расположенные на одном аккаунте хостинга таким образом, чтобы взлом одного не затрагивал остальные?

А как понять, обычный шаред на линуксе, или не обычный? Хостинг jino.ru

Пытаюсь понять, это следы брута в логах?

Кстати, что у вас в той директории, если не секрет?

Админка системы управления контентом "MODX" по этому адресу располагается. С 25 апреля по 1 мая долбились много много раз в эту директорию, судя по логам. Они еще чередовались обращениями к wp-config.php_blabla а этот файл вообще к MODX не относится, это файл от WordPress - может взломщик думал что до этого сайт был на WP и от него копия старого конфига могла остаться, в которой он хотел что то подсмотреть, или зачем?

37.46.114.115 - - [30/Apr/2021:14:51:46 +0300] "POST /manager/ HTTP/1.0" 200 7676
37.46.114.115 - - [30/Apr/2021:14:51:46 +0300] "POST /manager/ HTTP/1.0" 200 7676
37.46.114.115 - - [30/Apr/2021:14:51:46 +0300] "POST /manager/ HTTP/1.0" 200 7676
37.46.114.115 - - [30/Apr/2021:14:51:46 +0300] "POST /manager/ HTTP/1.0" 200 7676
37.46.114.115 - - [30/Apr/2021:14:51:46 +0300] "POST /manager/ HTTP/1.0" 200 7676
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.a HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php~ HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.old HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.bak HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.b HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-license.php?file=../..//wp-config HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.backup HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:19 +0300] "GET /wp-config.php.save HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:20 +0300] "GET /wp-config.php.2 HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:20 +0300] "GET /wp-config.php.8 HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:20 +0300] "GET /wp-config.php.1 HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:20 +0300] "GET /wp-config.php.5 HTTP/1.0" 404 5854
185.220.102.254 - - [30/Apr/2021:15:55:20 +0300] "GET /wp-config.php.7 HTTP/1.0" 404 5854

Еще заметил с первого апреля эти конфиги пытались найти, например wp-config.php.save и еще много вариантов перепробовали.