{"id":3973,"url":"\/distributions\/3973\/click?bit=1&hash=69c55e3031b7c5b32fd446d1bcadb4386d9d153a7ff5ac11e39b7566b22d4ce3","title":"\u041c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0443\u0441\u043b\u0443\u0433 ","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"06dd1ba1-1f1b-50d7-87e0-bba4328182c5","isPaidAndBannersEnabled":false}

[Решено] Есть кто умеет в linux? Нид хелп

Ломанули сайт на виртуальном хостинге - подменили index.php на свой.

Ну я такой думаю - сейчас восстановлю из бэкапа и все ок. А нифига, восстанавливаю - файл не поменялся.

Проверяю файл из бэкапа - нормальный. Файл на сайте - ломаный. Ничего не понимаю.

Удаляю ломаный index.php, обновляю - он снова на месте.

Подскажите что набрать в линуксе чтобы найти что создает файл и прибить.

Пароли уже поменял, крон проверил, последние измененные файлы посмотрел - не нашел =(

UPD: Решил: по ps -eF посмотрел активные процессы, там висел php скрипт, который уже был удален, но остался в процессах. Он и создавал тот файл. Сука.

0
18 комментариев
Написать комментарий...
Сдобши Сдуб

При чем тут линукс ?

Опиши что за хост, как ломанули, что ломанули.
Тут не экстрасенсы.

Да и дело похоже не в бобине.

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Хостинг таймвеб, как ломанули не знаю, тогда бы уже все нашел.
Сайт перестал открываться, т.к. там подменили index.php от CMS на левый с редиректами.

Проблема в том что как только я удаляю взломанный файл, чтобы заменить его на нормальный, то он тут же создается по новой. То есть я могу его удалить \ переименовать, но он тут же снова появляется.

Ответить
Развернуть ветку
Сдобши Сдуб

В таймвебе вроде тех-поддержка более-менее приличная.
Вполне возможно что не ломанули, а например версию php по умолчанию заменили и индекс переписывается автоматом.

Обратись в поддержку.

Ответить
Развернуть ветку
Pick Up

А если не удалять файл а просто очистить, и перекопировать?

Понятно что этот файл что-то создаёт, и я подозреваю что проблема именно в веб сервере апач или нжинкс, чё у тебя там стоит я хз

Системд стоит проверить, возможно где-то спрятан скрипт, который инициализирует всю эту историю.

Может вообще в профиле пользователя, или ещё где.

1) остановить службу веб сервера
2) проверять всё до куда можешь дотянуться, кроны, систем д, профили, настройки веб сервера

Можно с помощью команд, не подскажу каких, искать именно содержимое файлов, тебе нужно найти всё, где есть упоминания index.php

Один из файлов где есть упоминание index.php и будет тем, что ты ищешь.

... Но проще не мучать свой мозг, а просто создать рядышком ещё один сайт, сделать его доступным, открыть, а старый закрыть, да и все.

П.с. дочитал комменты, увидел что даже консоли нет. Все что написал - неактуально без доступа к консоли.

Без ясного ТЗ результат ХЗ

Да и вообще по моему это все шляпа какая то, не похоже на взлом.

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Очистить не помогает, все-равно восстанавливается.
Походу да, проблема где-то в веб-сервере. Я уже домен отвязал, никакого внешнего доступа нет, а оно все-равно пересоздается

Ответить
Развернуть ветку
Непосредственный Петя

У тебя же VPS? Виртуалку пересоздай, поменяй пароли, ключи SSH, запрети логин от рута, сделай пользователя в группе sudo. Поставь fail2ban, настрой в фаерволе ufw только разрешённые порты. Если у тебя сайт на каком-то фреймворке, то проверь версию, поищи CVE, может тебе шелл залили. Разделяй папки для статики и папки для загрузок от пользователей, на загрузках в апаче или нжинкс поставь запрет на исполнение кода

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Не vps, простой виртуальный хостинг. Пароли поменял уже, права на папки\файлы сбросил, логи смотрел - ничего подозрительного ¯\_(ツ)_/¯

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Сдобши Сдуб

У него виртуальный хостинг, а не vps/vds, там нет консоли. Автор не может грамотно объяснить проблему.

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Так и было, по top не нашел, по ps -eF нашел

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Pavel Lilin

.htaccess проверь
а вообще с такими вопросами в первую очередь стоит обращаться в техподдержку хостера, там помогут

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

.htaccess чистый.
Да, остается только суппорт

Ответить
Развернуть ветку
Jerry Green

Поставить тукса и тем самым все стрелки навести на линукс, это ты конечно молодец… У тебя виртуальный хостинг, нету доступа к ssh, так причём тут Линукс тогда? 🤔

Пиши в поддержку. Может это твой сервис-провайдер вообще взломали, а не тебя. Например одну из их машин, где крутится тысяча таких же сайтов как твой.

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Читаем жопой? Линукс тут при том, что есть ssh и вопрос есть ли тулзы чтобы посмотреть что создает файл

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Решил: по "ps -eF" посмотрел активные процессы, там висел php скрипт, который уже был удален, но остался в процессах. Сука.

Ответить
Развернуть ветку
Alexander Mikhaylov

это сайт о порно, тебе на форум об аниме

Ответить
Развернуть ветку
Западный Уорчестершир
Автор

Да я уже понял =)

Ответить
Развернуть ветку
Читать все 18 комментариев
null