HostRace
  ПОДДЕРЖКА

  хостинг
<< Назад       Логи изменения файлов

Вопрос: Здравствуйте.В продолжение вчерашнего обращения №******.Произошёл взлом сайта *.*.Я обнаружил, что файл в шаблоне вордпрессpublic_html*wp*/***.php был изменён, в него был добавлен зашифрованный код.Кроме того, в каталог public_html*wp*/ был загружен каталог * с двумя зашифрованными файлами *.php и *.php.Зашифрованные файлы удалены, из репозитория залиты чистая копия вордпресса и плагинов. Проверка чистой копии, размещённой по адресу *.*.*.*, сейчас не обнаруживает заразы.В * я могу загрузить ftp логи только за июль и август. Можно ли получить ftp-лог за сентябрь? Можно ли ещё как-нибудь по внутренним логам сервера выяснить, под какой учётной записью и когда были модифицированы/размещены вышеуказанные файлы?
Ответ:

Здравствуйте.

Вопрос передан администратору, ожидайте пож.

Ответ:

Здравствуй. По ftp сайты не взламывают обычно. Обычно взлом происходит через уязвимость сайта. Тут вам как раз помогут логи доступа

Вопрос: В логах доступа за август и сентябрь я не нахожу обращений к этим файлам.Насколько я знаю, если сохранять пароли в ftp-клиенте, они будут хранится в незашифрованном виде и один из способов взлома — кража паролей к ftp с локального компьютера. Поэтому я и хочу просмотреть лог ftp за сентябрь.Есть ли какой-то системный лог изменения/создания файлов?
Ответ:

выпроверяли Ваш компьютер на вирусы.? сейча смы вышелм Вам лог на почту

Вопрос: Да, проверяю всех, кто имел какой-либо доступ к сайту, панели управления и ftp.Все пароли сброшены.Можно ли получить лог доступа к * за август и сентябрь?
Ответ:

в логах только

Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess downloaded (**** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess downloaded (**** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/.htaccess
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess uploaded (**** bytes, **.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/wp-content/plugins/map-wid/map-wid.php downloaded (***** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/wp-content/plugins/map-wid/map-wid.php
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/wp-content/plugins/map-wid/web-infow.php downloaded (***** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/wp-content/plugins/map-wid/web-infow.php

Вопрос: Спасибо. Это я вчера убивал заразу.А насчёт логов доступа к *?
Ответ:

***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****

так же высланы на почту

Вопрос: * — это ваши заходы, так?А время в этом логе — московское?
Ответ:

на сервер Киевское время

выборка по Вашему логину

Вопрос: В том, что пришло на почту, есть строки:*.*.**.*** - * [**/**/****:**:**:** -****] "***********/scripts*/*domain_and_user*=** HTTP/*.*" *** * "-" "-" "*" "-" ****Это ваши заходы, да?
Ответ:

Вопрос передан администратору, ожидайте пож.

Ответ:

это строка выборки списка аккаунтов попала в отчет она только по ключевому слову ualap , к входу и рабет в вашей панелит она не относится. мы просо сделали выборку из лога по слову ualap

Вопрос: Понял, спасибо.У меня небольшой опыт использования cPanel, подскажите, пожалуйста, пользователь *.*, созданный там, имеет же права доступа к cPanel?Если да, можно ли увидеть выборку из лога по его логину?
Ответ:

в логах такой не значится

Вопрос: Ясно, спасибо.
Ответ:

Спасибо, что обратились в службу поддержки.


<< Назад