April 22, 2013

Ломанули

А еще на днях меня ломанули… Вернее один из сайтов на VPS был подвергнут взлому. Судя по следам взломано все было автоматической ломалкой.

После получения доступа на сайт были залиты шеллы и скрипты для массовой отправки писем в Новую Зеландию. Заметил все чисто случайно - php на другом сайте выплюнул ошибку о том что не может запустить sendmail. Оказалось что очередь отправки была уже забита до отказа спамом =) Что характерно ломанули Wordpress самого последнего релиза практически без плагинов. Может быть зараза приехала с паблик шаблоном который я установил на тот сайт (а надо было все самому верстать). Пару часов сегодня избавлялся от заразы и укреплял сервер-крепость.

Пока могу сказать лишь что:

  1. Каждый сайт запущенный под своим пользователем это очень круто. Без повышения привилегий в системе взломщики дальше не пройдут
  2. Качайте паблик шаблоны осторожно и по возможности с официальных сайтов авторов
  3. Ограничивайте запуск php в директориях куда скрипты загружают файлы (всякие upload|uploads и иже с ними)

Все шеллы я забекапил для дальнейшего изучения. Если будет время напишу об этом пост. Не зря все же я не пользуюсь шаред-хостингами.