L'hosting condiviso è violato [duplicato]

Naviga le tue risposte
1

Il mio hosting condiviso con GoDaddy è stato violato iniettando un file PHP (deade6.php) che viene ricreato ogni volta che lo elimini. Ho anche provato a modificare il .htaccess ma viene ricreato come segue: 

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_USER_AGENT} google [OR]

RewriteCond %{HTTP_REFERER} google

RewriteCond %{REQUEST_URI} !

(\.js|\.css|\.png|\.jpg|\.jpeg|\.gif|\.svg|\.ttf|\.woff|\.eot)

RewriteRule ^.*$ deade6.php [L]

</IfModule>

Ho anche trovato alcuni file PHP sospetti con base64_decode e li ho cancellati.
Ma niente funziona. Qualche idea su come rimuoverlo?

    
posta Peter1122 05.01.2017 - 13:23
fonte

2 risposte

0

I file htaccess possono essere rigenerati dal server Web quando viene effettuata la richiesta a un punto di ingresso specifico. Questo dovrebbe essere un file comunemente usato, come index.php .

Trova e rimuovi il codice pertinente dai file webapp. Se hai accesso alla shell, 

grep -rnw '/var/www/whatever/path-to-your-webroot' -e "deade6"

Vale la pena dare un'occhiata a /var/log/apache2/error.log e /var/log/apache2/access.log (o trovare un menu di log equivalente presso il tuo hosting provider).

Inoltre, se non funziona nulla, nell'ultimo caso, puoi ancora installare nginx, che ignora .htaccess , in modo che le pagine non ottengano il rendering php malevolo mentre puoi risolvere il problema.

    
risposta data 05.01.2017 - 13:39
fonte
0

Trovare il virus e rimuoverli è inutile finché non trovi il modo in cui il virus stava arrivando e li blocchi!

Ok, hai trovato qualche file speciale, ma come è apparso questo file?

Potrebbe essere necessario aggiornare il tuo sito web interattivo prima di qualsiasi cosa. Controlla il log delle modifiche per informazioni sui difetti di sicurezza. Assicurati di trovare il modo in cui l'autore dell'attacco stava arrivando !!

Il modo migliore per garantire che tutto sia pulito è ricostruire l'intera installazione con fonti pulite e motori aggiornati.

  1. Salva i tuoi dati (database e file personali)
  2. Assicurati di trovare la strada che stava arrivando
    1. controlla i log del server (usa timestamp, il tempo di modifica del file ma anche della sua directory)
    2. usa tcpdump per tracciare ogni finestra di dialogo, in particolare appena prima che i file sospetti vengano installati. (Per questo, ho usato: tcpdump -i eth0 -s 0 -C 100 -w tcpdump ..)
  3. Controlla i tuoi dati per le voci sospette o i file modificati
  4. Ricrea il tuo server da zero (non so come funziona GoDaddy, ma devi riuscire a ricostruire o svuotare il tuo spazio)
  5. Reinstallazione dei dati
risposta data 05.01.2017 - 13:58
fonte

Leggi altre domande sui tag

Le vecchie carte SIM hanno la stessa sicurezza di una nuova? Raccomandazione VPN di blocco / sempre attivo? [chiuso]