Recebi alguma mensagem sobre o site suspenso, que tenho que depurar, como procedo? [duplicado]

Navegue suas respostas
1

A empresa de hospedagem forneceu um e-mail para seu cliente e o cliente me pediu ajuda. a mensagem afirma: 

 Any items listed here which are folders 
named with 5 to 7 random letters are are likely FTP account hacks

Checking for known bad files
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php

Checking for known spam scripts
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

These files are suspicious and should be looked at before deleting

The redirects in these files may not be legitimate. 
 Often the actual file name will give you an idea if it is legit or not. 
If any .htaccess files are listed here, they need to be cleaned.


TimThumb fixes

Thumbs DB fixes

Completed

------------------------
  Trackback
------------------------ 

These results are likely valid files 
that have had code added to them so they should be cleaned 
rather than removed: 

------------------------
  .htaccess 
------------------------


------------------------
  General
------------------------
Started at: Sun Jul 15 15:55:04 MDT 2012

/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
  Phish
------------------------ 

Started at: Sun Jul 15 15:55:05 MDT 2012

Completed at: Sun Jul 15 15:55:05 MDT 2012 

------------------------
  Base64
------------------------

o código parece este nos arquivos mencionados acima. O que essas linhas de códigos não posso dizer. Não é um programador também. Desde que os arquivos estão localizados na pasta de imagem parece ser suspeito. tenho olhado em , mas eu não sou certeza se eu tenho WP como CMS.
Eu tenho o acesso ao painel de controle do site, tentei o SSH não poder ter algumas configurações no painel de controle que eu preciso resolver, o principal problema é o spam nele, pelo SSH vou gerenciar alguns olhando para a configuração. arquivos.

configurações de .htaccess. 

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit> 

AuthUserFile /home/1/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/1/public_html/_vti_pvt/service.grp

Eu sou novo nisso, alguma ajuda seria apreciada. sobre identificação e regras de polegares se houver para depurar.

    
por tough 13.08.2012 / 15:35

2 respostas

1

O arquivo que você forneceu é definitivamente um bot de email acionado remotamente. Eu rapidamente formatado e monta um e-mail e envia usando mail() . Eu não olhei em detalhes como isso funciona, mas a ideia geral é bem óbvia. Curiosamente, mostrou um erro de sintaxe para mim, por isso pode não ter funcionado nunca.

Você precisa limpar o servidor. Eu recomendo que você faça um backup e exclua todos os arquivos e instale qualquer cms que eles usarem do zero. Você provavelmente pode manter o banco de dados com segurança, ele pode ter sido corrompido, mas pelo menos não deve haver código executado a partir dele. Você também precisa restaurar a pasta de imagens. Se houver apenas alguns arquivos, restaure-os, que são realmente uma imagem (apenas tente abri-los). Obviamente, não restaure nenhum script (terminado em .php, .pl, .py, .sh, ...) ou executáveis (sem finalização, .exe, .cmd, bat, ...). Certifique-se de alterar qualquer senha e certifique-se de que elas sejam boas.

Você também precisa ler sobre segurança com o software específico que eles usam. O buraco provavelmente ainda está lá e precisa ser consertado antes que qualquer participante em se livrar de vírus tenha uma chance de sucesso.

    
por 13.08.2012 / 16:35
0

minha recomendação é pegar tudo do lado do hoster, copiar arquivos / dump db, do que remover tudo e deixar o hoster saber que você limpou a conta, para que você não seja suspenso. Em seguida, recomendo que você redefina todas as senhas para símbolos 20 símbolos de aleatoriedade mais seguros dessa matriz: A-Za-z! @ # $% ^ & * (),. Em seguida, se você estiver usando o WP, instale o WP limpo e restaure o banco de dados.

em seguida restaure cuidadosamente tudo o que estiver faltando, se não for o CMS, verifique cada arquivo usando algumas ferramentas, por exemplo, o VirusTotal, etc., se você ver que o arquivo está seguro, faça o upload para a hospedagem.

    
por 13.08.2012 / 16:19

Tags

Usando um DBrite RewriteMap para reescrever milhares de URLs legados Kill processo, em seguida, desinstalar o aplicativo - Posso fazer isso com o PowerShell, mais de 400 computadores, a partir de um arquivo txt?