Где зарыт шайтан?

Виталий Васильевич · 16 Апр 2015

вчера обновил форум .. с 1.4,4 на 1,4,5 и сразу на 14,6 все работало .. потом полезла ...
выключил все сайты .. ушел на работу ..

Это у нас ..
Использование памяти

Число процессов

сейчас на всех сайтах

включил 2 сайта тоже самое .. не может найти ..

Как протестировать Айболитом не разу не пользовался ...

если не трудно помогите плиз...

Hope · 16 Апр 2015

А хостеру вообще писали?

Виталий Васильевич · 16 Апр 2015

там типа ссылаются вирусняк ... добавили оперативки .. а сайты в ауте всеравно

Hope · 16 Апр 2015

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Виталий Васильевич · 16 Апр 2015

вот что нашел .. что это такое ..

Код:

ps -ax
ps axf
netstat -Lan
netstat -Lan
netstat -Lan
ps axf
killall -9 nginx
killall -9 nginx
ps axf
ps axf
ps axf
ps axf
killall -9 nginx
killall -9 nginx
ps axf
ps axf
ps axf
killall -9 httpd
killall -9 httpd
killall -9 httpd
ps axf
ps axf
ps axf
ps axf
dmesg

нашел в корне всех сайтов ..

Smalesh · 16 Апр 2015

Виталий Васильевич написал(а):
что это такое ..

А владелец у этих файлов кто?

Виталий Васильевич · 16 Апр 2015

Smalesh написал(а):
А владелец у этих файлов кто?

атрибуты файла 600

Smalesh · 16 Апр 2015

Виталий Васильевич написал(а):
атрибуты файла 600

Вообще-то спрашивал владельца, а не атрибуты. Но если файл читаем, владелец вы. Это история вводимых команд, ее пишет шелл, не тот который заливают, а тот который стоит на сервере. Т.е. скорее всего речь может идти о компрометации аккаунта.
Меняем пароли, блокируем через .htaccess доступ к сайтам по ip, заливаем айболита, сканируем в режиме паранойи, читаем логи, думаем, исправляем, сравниваем с бекапом. Ищем откуда растут руки. Лечим, снимаем блокировку с сайтов.

Блин, самое главное - логи nginx/апача изучаем внимательно на предмет подозрительных запросов.

Виталий Васильевич · 16 Апр 2015

я его читаю через фтп а не через http я понимаю чтоб там один сайт но все .. где посещаемость вообще ноль и ценностей там нет ..
я не могу зайти на сайт .. по http

выдает

и Айболит тоже не сработал ..

Smalesh написал(а):
на предмет подозрительных запросов.

Прикольно подозрительных я вообще в них не шарю ... что покажет айболит красным тогда и будем думать .. да еще хостер должен скоро отписаться почему у меня так ..

Я спать .. а то уже буквы сливаются .. уже 2 ночи не спал а завтра еще на работу топать в шахту .. всем спасибо что отпишет хостер про дублирую

Где зарыт шайтан?

Виталий Васильевич

Hope

Виталий Васильевич

Hope

Виталий Васильевич

Smalesh

Виталий Васильевич

Smalesh

Виталий Васильевич

Похожие темы

Мы ценим вашу конфиденциальность