ломают сайты, в режиме онлайн

Здравствуйте. У меня прям напасть. На сервере, где живут все сайты, с пятницы жесткая напасть. Взламывают все сайты, вставляют на них рекламу редиректы. Я думал что нашел источник, один старый сайт на 2.2.14 модх, его убил, бекап восстановил, все запустил. И вот, обед — у меня опять все сайты падают, какие-то с 500 ошибкой, а какие то с рекламой. Взял вот myrinova.ru, он был на 2.3 modx. Пока 200 гиговый архив разархивируется, я решил попробовать руками его восстановить хотябы на уровне что-то работает. По верх него накатил 2.6.5 модх, права на папки и файлы поставил рут. Вроде бы сайт закрутился, в каком-то виде. Но через пару минут на главной странице опять реклама, редиректы. Как блин рут файлы то изменились…
Пока слабо представляю куда смотреть и как с этим бороться. Может быть у вас было подобное?
Николай
24 июля 2018, 11:00
modx.pro
2 048
0

Комментарии: 6

Наумов Алексей
24 июля 2018, 11:16
0
Ну ломают через:
1. MODX до 2.6.5.
2. Gallery до 1.7.1
3. У вас могли слить пароли, и хоть вы сайт восстанавливаете, пароли остаются известны.
4. На каком нибудь из сайтов остался php скрипт (даже если вы сверху накатили обновление).

Решение:
1. Запретить доступ к серверу всем, кроме вашего IP
2. Лечить, восстанавливать, обновлять
3. Проверить антивирусом, типа ai-bolit
4. Сменить пароли на все.
    Vitaly
    24 июля 2018, 18:12
    0
    Что еще можете предложить кроме ai-bolit? Пока проверяю им.
Николай
24 июля 2018, 13:50
0
/assets/images/search.php: Php.Malware.Agent-1426823 FOUND
Тут в каждом сайте появилось куча файлов php.
    Vitaly
    24 июля 2018, 18:10
    0
    Такая же история. Создано множество левых php-файлов, испорчены все js, многие php-файлы модифицированы.
      Николай
      25 июля 2018, 11:07
      0
      Вычистил все на сервере, обновил сайт до 2.6.5, вроде все работает. Хотя ломятся гады:

      018/07/25 09:42:39 [crit] 20031#0: *20 stat() "/var/www/site.ru/2c46drug-ponya812d8c_y/h-i49013012597142.sex" failed (13: Permission denied), client: 66.249.64.209, server: site.ru, request: «GET /2c46drug-ponya812d8c_y/h-i49013012597142.sex HTTP/1.1», host: «site.ru»
        Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
        6