| Вопрос: |
Здравствуйте.В продолжение вчерашнего обращения №******.Произошёл взлом сайта *.*.Я обнаружил, что файл в шаблоне вордпрессpublic_html*wp*/***.php был изменён, в него был добавлен зашифрованный код.Кроме того, в каталог public_html*wp*/ был загружен каталог * с двумя зашифрованными файлами *.php и *.php.Зашифрованные файлы удалены, из репозитория залиты чистая копия вордпресса и плагинов. Проверка чистой копии, размещённой по адресу *.*.*.*, сейчас не обнаруживает заразы.В * я могу загрузить ftp логи только за июль и август. Можно ли получить ftp-лог за сентябрь? Можно ли ещё как-нибудь по внутренним логам сервера выяснить, под какой учётной записью и когда были модифицированы/размещены вышеуказанные файлы? |
| Ответ: |
Здравствуйте. Вопрос передан администратору, ожидайте пож. |
| Ответ: |
Здравствуй. По ftp сайты не взламывают обычно. Обычно взлом происходит через уязвимость сайта. Тут вам как раз помогут логи доступа |
| Вопрос: |
В логах доступа за август и сентябрь я не нахожу обращений к этим файлам.Насколько я знаю, если сохранять пароли в ftp-клиенте, они будут хранится в незашифрованном виде и один из способов взлома — кража паролей к ftp с локального компьютера. Поэтому я и хочу просмотреть лог ftp за сентябрь.Есть ли какой-то системный лог изменения/создания файлов? |
| Ответ: |
выпроверяли Ваш компьютер на вирусы.? сейча смы вышелм Вам лог на почту |
| Вопрос: |
Да, проверяю всех, кто имел какой-либо доступ к сайту, панели управления и ftp.Все пароли сброшены.Можно ли получить лог доступа к * за август и сентябрь? |
| Ответ: |
в логах только Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess downloaded (**** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess downloaded (**** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/.htaccess
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/.htaccess uploaded (**** bytes, **.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/wp-content/plugins/map-wid/map-wid.php downloaded (***** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/wp-content/plugins/map-wid/map-wid.php
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] /home/ualap//public_html/wp-content/plugins/map-wid/web-infow.php downloaded (***** bytes, ******.**KB/sec)
Sep ** **:**:** lotos pure-ftpd: (konst@healthy-animal.ru@***.**.**.***) [NOTICE] Deleted /home/ualap//public_html/wp-content/plugins/map-wid/web-infow.php |
| Вопрос: |
Спасибо. Это я вчера убивал заразу.А насчёт логов доступа к *? |
| Ответ: |
***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.**.**.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" ****
***.***.***.*** - ualap [**/**/****:**:**:** -****] "POST /login/?login_only=* HTTP/*.*" *** * "http://***.***.***.***:****/" "Mozilla/*.* (Windows NT *.*; Win**; x**) AppleWebKit/***.** (KHTML, like Gecko) Chrome/**.*.****.*** Safari/***.**" "-" "-" **** так же высланы на почту |
| Вопрос: |
* — это ваши заходы, так?А время в этом логе — московское? |
| Ответ: |
на сервер Киевское время выборка по Вашему логину |
| Вопрос: |
В том, что пришло на почту, есть строки:*.*.**.*** - * [**/**/****:**:**:** -****] "***********/scripts*/*domain_and_user*=** HTTP/*.*" *** * "-" "-" "*" "-" ****Это ваши заходы, да? |
| Ответ: |
Вопрос передан администратору, ожидайте пож. |
| Ответ: |
это строка выборки списка аккаунтов попала в отчет она только по ключевому слову ualap , к входу и рабет в вашей панелит она не относится. мы просо сделали выборку из лога по слову ualap |
| Вопрос: |
Понял, спасибо.У меня небольшой опыт использования cPanel, подскажите, пожалуйста, пользователь *.*, созданный там, имеет же права доступа к cPanel?Если да, можно ли увидеть выборку из лога по его логину? |
| Ответ: |
в логах такой не значится |
| Вопрос: |
Ясно, спасибо. |
| Ответ: |
Спасибо, что обратились в службу поддержки. |
