303
просмотров
Ломанули сайт на виртуальном хостинге - подменили index.php на свой.
Ну я такой думаю - сейчас восстановлю из бэкапа и все ок. А нифига, восстанавливаю - файл не поменялся.
Проверяю файл из бэкапа - нормальный. Файл на сайте - ломаный. Ничего не понимаю.
Удаляю ломаный index.php, обновляю - он снова на месте.
Подскажите что набрать в линуксе чтобы найти что создает файл и прибить.
Пароли уже поменял, крон проверил, последние измененные файлы посмотрел - не нашел =(
UPD: Решил: по ps -eF посмотрел активные процессы, там висел php скрипт, который уже был удален, но остался в процессах. Он и создавал тот файл. Сука.
При чем тут линукс ?
Опиши что за хост, как ломанули, что ломанули.
Тут не экстрасенсы.
Да и дело похоже не в бобине.
Хостинг таймвеб, как ломанули не знаю, тогда бы уже все нашел.
Сайт перестал открываться, т.к. там подменили index.php от CMS на левый с редиректами.
Проблема в том что как только я удаляю взломанный файл, чтобы заменить его на нормальный, то он тут же создается по новой. То есть я могу его удалить \ переименовать, но он тут же снова появляется.
В таймвебе вроде тех-поддержка более-менее приличная.
Вполне возможно что не ломанули, а например версию php по умолчанию заменили и индекс переписывается автоматом.
Обратись в поддержку.
А если не удалять файл а просто очистить, и перекопировать?
Понятно что этот файл что-то создаёт, и я подозреваю что проблема именно в веб сервере апач или нжинкс, чё у тебя там стоит я хз
Системд стоит проверить, возможно где-то спрятан скрипт, который инициализирует всю эту историю.
Может вообще в профиле пользователя, или ещё где.
1) остановить службу веб сервера
2) проверять всё до куда можешь дотянуться, кроны, систем д, профили, настройки веб сервера
Можно с помощью команд, не подскажу каких, искать именно содержимое файлов, тебе нужно найти всё, где есть упоминания index.php
Один из файлов где есть упоминание index.php и будет тем, что ты ищешь.
... Но проще не мучать свой мозг, а просто создать рядышком ещё один сайт, сделать его доступным, открыть, а старый закрыть, да и все.
П.с. дочитал комменты, увидел что даже консоли нет. Все что написал - неактуально без доступа к консоли.
Без ясного ТЗ результат ХЗ
Да и вообще по моему это все шляпа какая то, не похоже на взлом.
Очистить не помогает, все-равно восстанавливается.
Походу да, проблема где-то в веб-сервере. Я уже домен отвязал, никакого внешнего доступа нет, а оно все-равно пересоздается
У тебя же VPS? Виртуалку пересоздай, поменяй пароли, ключи SSH, запрети логин от рута, сделай пользователя в группе sudo. Поставь fail2ban, настрой в фаерволе ufw только разрешённые порты. Если у тебя сайт на каком-то фреймворке, то проверь версию, поищи CVE, может тебе шелл залили. Разделяй папки для статики и папки для загрузок от пользователей, на загрузках в апаче или нжинкс поставь запрет на исполнение кода
Не vps, простой виртуальный хостинг. Пароли поменял уже, права на папки\файлы сбросил, логи смотрел - ничего подозрительного ¯\_(ツ)_/¯
Комментарий недоступен
У него виртуальный хостинг, а не vps/vds, там нет консоли. Автор не может грамотно объяснить проблему.
Так и было, по top не нашел, по ps -eF нашел
Комментарий недоступен
.htaccess проверь
а вообще с такими вопросами в первую очередь стоит обращаться в техподдержку хостера, там помогут
.htaccess чистый.
Да, остается только суппорт
Поставить тукса и тем самым все стрелки навести на линукс, это ты конечно молодец… У тебя виртуальный хостинг, нету доступа к ssh, так причём тут Линукс тогда? 🤔
Пиши в поддержку. Может это твой сервис-провайдер вообще взломали, а не тебя. Например одну из их машин, где крутится тысяча таких же сайтов как твой.
Читаем жопой? Линукс тут при том, что есть ssh и вопрос есть ли тулзы чтобы посмотреть что создает файл
Решил: по "ps -eF" посмотрел активные процессы, там висел php скрипт, который уже был удален, но остался в процессах. Сука.
это сайт о порно, тебе на форум об аниме
Да я уже понял =)