HostRace
  ПОДДЕРЖКА

  хостинг
<< Назад       Доступ к сайту

Вопрос: Здравствуйте! Хотел зайти на свой сайт друпал (именно на сайт, как администратор друпал) - не получилось. Тогда зашел через cpanel на pnpMyAdmin в БД сайта. В таблице users вдруг не оказалось моего профиля. Появился другой, привязанный к моей эл. почте под названием "EMAIL". Для него я поставил хеш известного мне пароля и под новым паролем зашел через этот профиль. Вопрос: не могли бы Вы сказать как так могло получиться и сталкивали ли Вы с таким? Теперь у меня на сайте 3 неизвестных мне профиля администраторов(
Ответ:

Здравствуйте. Вам вчера выслылаи информацию о спаме, вы ее получили?

Time: Fri Oct 30 21:51:02 2015 +0300
Type: LOCALRELAY, Local Account - vpi
Count: 101 emails relayed
Blocked: No

Sample of the first 10 emails:

2015-10-30 21:47:32 1ZsEi4-000bof-Rl <= EMAIL U=vpi P=local S=867 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000bp1-08 <= EMAIL U=vpi P=local S=857 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000bpO-4e <= EMAIL U=vpi P=local S=865 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000bpt-BI <= EMAIL U=vpi P=local S=905 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000bqM-GC <= EMAIL U=vpi P=local S=849 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000bql-Kk <= EMAIL U=vpi P=local S=877 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000br8-OI <= EMAIL U=vpi P=local S=865 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:33 1ZsEi5-000brT-TP <= EMAIL U=vpi P=local S=907 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:34 1ZsEi6-000brv-10 <= EMAIL U=vpi P=local S=859 T="Hot Local Girls Online" for EMAIL
2015-10-30 21:47:34 1ZsEi6-000bsH-5T <= EMAIL U=vpi P=local S=869 T="Hot Local Girls Online" for EMAIL

Time: Fri Oct 30 21:50:27 2015 +0300
Path: '/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms'
Count: 301 emails sent

Sample of the first 10 emails:

2015-10-30 21:41:51 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:52 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:53 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:53 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL
2015-10-30 21:41:53 cwd=/home/vpi/public_html/sites/all/libraries/ckeditor/plugins/forms 4 args: /usr/sbin/sendmail -t -i EMAIL


Possible Scripts:

Проверяйте сайт и меняйте настройки. сайт взломан.

Вопрос: Получил, особо не вникая что тут написано. Я удалил все остальные профили, для своего сменил имя и пароль.Что мне еще можно сделать? И еще не могли бьы сказать как давно его могли взломать и как вообще это могло получиться.
Ответ:

спам рассылался вчера. когда был взлм нам  не известно. проверьте сайт

вот еще ваши вирусы

/home/vpi/russia-tomorrow.ru/includes/class.php: {HEX}base64.inject.unclassed.7.UNOFFICIAL FOUND
/home/vpi/public_html/alihackercr7.php: {HEX}php.cmdshell.unclassed.359.UNOFFICIAL FOUND
/home/vpi/public_html/includes/class.php: {HEX}base64.inject.unclassed.7.UNOFFICIAL FOUND
/home/vpi/abavis.ru/includes/class.php: {HEX}base64.inject.unclassed.7.UNOFFICIAL FOUND

Вопрос: Я никогда с таким не сталкивался. Как проверить? И что делать с вирусами?
Ответ:

те вирусы что нашел антивирус он удалил. если вы не знает что делать то выхода два, переустановить сайт с нуля или обратиться к компетентным специалистам. можем рекомендовать https://www.revisium.com

Вопрос: А если ничего не делать чем может обернуться. В принципе я постоянно делаю резервные копии всех сайтов.
Ответ:

это может обернуться как испорченым сайтом так и блокировкой аккаунта по причне рассылки спама или размещения фишинг страницы. оставлять это на самотек нивкоем случае нельзя

Вопрос: 1.У меня есть копия БД и папки public_html (здесь хранится основной сайт zakon63.ru). Я так понимаю нужно из диспетчера файлов очистить каталог public_html, удалить БД сайта, затем закачать в public_html старую версию папки и восстановить БД? 2. У меня есть два новых сайта, размещенных недавно. Заражению, я так понимаю, подвергается конкретный сайт а не весь каталог?
Ответ:

если сайты на одном акаунте то злоумышленник может полдучить к ним доступ. т.е такая вероятность очнеь высока. проверяь нужно все

Вопрос: Хорошо, тогда буду изучать мат часть по этому вопросу. Спасибо.
Вопрос: И скажите как сменить пароль доступа к Вашему аккаунту на хостинге?
Ответ:


Здравствуйте.
Для смены пароля в cPanel, Вам нужно авторизоваться в ней и через раздел Изменить пароль. Для смены пароля биллинге, воспользуйтесь разделом Профайл.
Пожалуйста, устанавливайте сложные пароли с использование цифр и букв верхнего регистра.

Вопрос: В том то и дело что использую длинные пароли вида *H@E891`j9@, а все пароли кроме биллинга и спанели хранятся в дважды зашифрованном архиве на компе.
Вопрос: И еще - у меня статический. Можно сделать так чтобы заход на сайты как администратору и в спанель - только с моего ИП?
Ответ:

а разве мы говориои что пароли вида *H@E891`j9@, использовать нельзя?

Вопрос: Внимательнее прочтите - я как раз ИСПОЛЬЗУЮ сложные пароли. И ответьте, пож-та, на вопрос про ИП?
Ответ:

где мы Вам хочть nxj то говорили про пароли? какая разница какой пароль вы используете если пароль к базе прописан в открытом виде в файле конфигурации, а взлом мог быть произведен через уязвимость движка. При том что брутфорс админок у нас закрыт и средствами ботов впринципе нереален.

нет . устанвоить отдельный ip для доступ в панель нельзя. в панели такой функционал не предусмотрен. и это опять же не защищает сайт если в нем уязвимость

Вопрос: Спасибо, буду решать вопрос!
Ответ:


ok


<< Назад