Поддержка Проблемы и решения Письмо о заражение сайта на хостинге

Письмо о заражение сайта на хостинге

  • Viktorinox

    (@viktorinox)


    7 лет, 1 месяц назад

    Вот письмо, которое сегодня получил от хостера:

    Вы являетесь клиентом SpaceWeb.
    Ваш логин: XXXXXXXXX

    В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
    Ниже приведены пути к найденным файлам, а также их описание:

    /home/v/vaparts2/citytaxi.su/public_html/wp-admin/css/colors/light/wp-ping.php. : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/uploads/2016/09/wp-blog.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/contact-form-7/includes/js/wp-plugins.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/wp-clean-up-optimizer/views/cron-jobs/wp-register.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-includes/SimplePie/XML/wp-taxonomy.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL

    Все файлы были с датами ранними чем родные файлы WordPress (Версия последняя WordPress 4.7.3)
    После удаления написал письмо след. содержания и поставил сайт на вирусную проверку на хостинге:
    Письмо в Техподдержку Sweb

    На сайте citytaxi.su опять появилось заражение
    Я все удалил, прошу помочь узнать с каких IP было произведено это и с помощью каких запросов и какие скрипты соответственно на сайте уязвимые?

    Сайт я обновил до последней версии и предыдущие IP-адреса я закрыл.
    Придется сообщить о этих уязвимостях разработчикам WordPress!

    Можно ли мне получать каким-то образом эти данные собственноручно и есть ли инструкция как это мониторить самостоятельно?

    О том чем всё закончилось отпишусь после!

    • Тема изменена 7 лет, 1 месяц назад пользователем Viktorinox.
Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Модератор Yui

    (@fierevere)

    永子

    7 лет, 1 месяц назад

    узнать можно анализируя access.log журнал доступа к сайту

    Модератор Yui

    (@fierevere)

    永子

    7 лет, 1 месяц назад

    только не совсем понятно что вы будете делать узнав эти адреса
    гораздо важнее узнать «точку входа» и устранить ее
    дырявый плагин, необновленную взатую в левом месте тему , недочет конфигурации …

    wpgear

    (@wpgear)

    7 лет, 1 месяц назад

    А меня больше настораживает вот это:

    В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое…`

    Вы делегировали этому хостингу полномочия анализировать содержимое вашего контента?

    Модератор Yui

    (@fierevere)

    永子

    7 лет, 1 месяц назад

    wpgear, вообще-то вроде как сейчас многие прогоняют проверки ClamAV например и по отчетам сканирования уже рассылают письма счастья клиентам

    wpgear

    (@wpgear)

    7 лет, 1 месяц назад

    Охотно верю.
    Но предпочитаю, когда это делают с моего ведома, по моей просьбе, или по указанию спецслужб в связи с конкретными обстоятельствами.

    Автор Viktorinox

    (@viktorinox)

    7 лет, 1 месяц назад

    Насторожил ответ техподдержки из которого ясно, что ничего БЕСПЛАТНО делать НЕ БУДУТ!

    > >Здравствуйте!
    > >
    > >Пример запроса с IP-адресом будет представлен в конце данного ответа. Также сообщаем Вам, что поиск, диагностика и устранение уязвимостей осуществляется нами на платной основе. Стоимость данной услуги составляет 750 рублей в час, среднее время проведения работ по одному сайту занимает, как правило, от 4 до 7 часов.
    > >
    > >Проверить файлы своего аккаунта на потенциально-опасный код Вы можете используя проверку антивирусом. Для этого Вам необходимо перейти в раздел «Безопасность» в панели управления, выбрать «Проверка антивирусом» и нажать кнопку «Начать проверку». Результаты поступят Вам на административный e-mail аккаунта.

    Вывод:
    Обыкновенному пользователю на этом хостинге делать нечего!

    Автор Viktorinox

    (@viktorinox)

    7 лет, 1 месяц назад

    А если все лишние темы снес, оставил тему по-умолчанию и версия движка последняя?
    Плагины вроде только те которые необходимы!
    Вот тестировать буду такую конфигурацию:)))

    SeVlad

    (@sevlad)

    7 лет, 1 месяц назад

    Вывод:
    Обыкновенному пользователю на этом хостинге делать нечего!

    С чего Вы решили, что хостер должен бесплатно лечить Ваш сайт? Это в договоре есть? Его забота — предоставь ресурсы. А лезть в файлы пользователя — извините.

    Это как Вы арендовали квартиру, а постель стирайте самостоятельно. Или за доп деньги.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    7 лет, 1 месяц назад

    А если все лишние темы снес, оставил тему по-умолчанию и версия движка последняя?

    Чтобы ситуация не повторилась, необходимо:

    • Сменить все пароли (от FTP, базы данных, хостинга и учётных записей сайта).
    • Убедиться, что все вредоносные скрипты удалены.
    • Убедиться, что все файлы движка, плагинов и темы соответствуют исходным.
    Flector

    (@flector)

    7 лет, 1 месяц назад

    только вот не факт, что ситуация не повторится. больше половины сайтов ломают не из-за клиентского по, а из-за серверного. устаревшие версия популярных скриптов вроде phpmyadmin и тд и тп. сам недавно столкнулся с тем, что сайт на wordpress бесконечно ломали — я уже и движок переустановил и все до единого плагина обновил и только из репо. даже тему подозрительную сменил. в итоге оказалось, что это дырявый phpmyadmin 4-летней давности виноват во взломах (если интересно — это Зенон не обновляет серверные скрипты).

    Автор Viktorinox

    (@viktorinox)

    7 лет, 1 месяц назад

    С этим всё в порядке … Спецы сказали, что была SQL- иньекция на плагин Cherry… Но я его удалил

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Тема «Письмо о заражение сайта на хостинге» закрыта для новых ответов.

Метки темы

Просмотр