| |
|
|
| | Хостер заблокировал сайт клиента. Аргумент - жалобы на массовый спам. На вопрос: кто, откуда, помогите разобраться с проблемой, были корректно посланы. Мол не наша забота, разбирайтесь сами, смотрите логи и т.п. После прочесывания файлов был выловлен в самом корне public_html "плохой файлик" (в атаче). Как там очутился не понятно. Есть подозрения, что из внутри (имеются у клиента "некомпитентные" сотруднички). Пошел смотреть логи, кто запрашивал этот файл. Обнаружил:
80.93.57.62 - - [06/Feb/2007:11:19:23 +0300] "POST http://site.ru/sendto.php" 200 10222 "http://site.ru/sendto.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
|
Посмотрел, чей ип. Оказалось хостера. Глянул другие запросы. Везде один и тот же ип. Ип хостера. Даже гуглебот с него пришел. Что за логи такие интересные? Спросил поддержку, получил невнятный ответ и послан. Мол, если не разбираетесь, ваши проблемы. Пупы земли видимо...
Подъитоживая. Ребята, подскажите, кто что занет теоретичечки из своих знаний и практически из опыта по этому вопросу. Как из вне мог забросить такой файлик. А если есть подозрения на "внутренние шалости", то как можно попытаться вычислить негодника?
И на посля, про хостеров. Как-то поднимался тут вопрос "что для вас главное в хостере". Отвечаю за себя: качество и современность услуг (я задолбался своего просить пхп5 поставить, частенько падает, крон нас тастраивал неделю и т.п.). И ,конечно же, служба поддержки, которая обращена к своим клиетам лицом и не задницей. За последний месяц затрахался с ними воевать. А ведь мой хостер, судя по рейтингам, далеко не самый говняный.... | |
| |
|
|
| |
|
|
| |
для: durak
(07.02.2007 в 11:21)
| | | Не знаю насчёт malware,
но в случае смены провайдера может заинтересовать эта тема :) (хостинг от 4$ за месяц) http://www.softtime.ru/forum/read.php?id_forum=2&id_theme=31991&page=2 | |
| |
|
|
| |
|
|
| |
для: durak
(07.02.2007 в 11:21)
| | | Могут забросить из вне: если имеется дыра, позволяющая загружать на хост файлы с расширением PHP, pl. Могут украсть при помощи троянов FTP-аккаунт (В любом случае смените FTP-пароль и проверьте систему на трояны).
Возможно файл запускается другим файлом, если у хостера не закрыты виртуальные хосты друг от друга, возможно, что и с соседнего виртуального хоста. Поэтому IP-адрес получается хостера.
Вообще говоря это в том числе и забота хостера, решать проблемы клиентов - деньги клиенты платят именно за это. | |
| |
|
|
| |
|
|
| |
для: cheops
(07.02.2007 в 13:01)
| | | >Возможно файл запускается другим файлом, если у хостера не закрыты виртуальные хосты друг от друга, возможно, что и с соседнего виртуального хоста.
Хостер бажится, что это точно не по их вине.
> Поэтому IP-адрес получается хостера.
IP у всех запросов один и тот же, не только к "плохому" файлу. Я вот этого не могу понять больше всего. Даже поисковые роботы обращаются (судя по логам) с ИПа хостера. | |
| |
|
|
| |
|
|
| |
для: durak
(07.02.2007 в 13:37)
| | | > с ИПа хостера.
Может, это просто прокси-сервер хостера работает с подменой ИП? При этом обедняется статистика. | |
| |
|
|
| |
|
|
| |
для: 12345
(07.02.2007 в 13:53)
| | | Может.
А вот $_SERVER['REMOTE_ADDR'] отдает правильный ИП. На себе проверил. | |
| |
|
|
| |
|
|
| |
для: durak
(07.02.2007 в 11:21)
| | | >Посмотрел, чей ип. Оказалось хостера. Глянул другие запросы. Везде один и тот же ип.
У хостера обратный прокси стоит. Поэтому все IP его оказываются.
>Как из вне мог забросить такой файлик.
Например, троян на Вашей машине или на машине клиента. Если троян, то как правило пароли уходят очень далеко (за рубеж). Если обращения к этому файлу происходят откуда-то рядом, то скорее всего некие знакомцы доступ украли.
Проверку IP встраивайте непосредственно в скрипт и проверяйте откуда идут запросы.
Меняйте FTP-пароли, и более никому не давайте, даже клиенту (если возможно).
>Спросил поддержку, получил невнятный ответ и послан. Мол, если не разбираетесь, ваши проблемы. Пупы земли видимо...
Скорее всего сама поддержка не разбирается (не вся, но конкретный отвечающий человек). Оттого и посланы были. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(08.02.2007 в 06:41)
| | | > У хостера обратный прокси стоит. Поэтому все IP его оказываются.
На кой черт так сделано. "Кострация" логов.
> Скорее всего сама поддержка не разбирается (не вся, но конкретный отвечающий человек). Оттого и посланы были.
К большему сожилению, компитентность этой тех. поддержки оставляет желать лучшего. Это далеко не первое "столкновение" с ними. И каждый раз все через "ж". Собираемся переезжать. Надоели, ей богу. Так что, господа, при выборе хостера, уделяйте огромное значение тех. поддержки. Я вот щас "терроризирую" нескольких, чтобы выяснить зарание, кто чего стоит. И вам успехов. | |
| |
|
|
| |
автор: glsv (08.02.2007 в 15:42) |
|
| |
для: durak
(08.02.2007 в 12:53)
| | | >На кой черт так сделано. "Кострация" логов.
:) Уменьшение и уравнивание нагрузки на основной сервер. | |
| |
|
|
