Есть на форуме специалисты по вопросам безопасности и взломов сайтов?

[lbmoney]

Хотел с кем нибудь проконсультироваться, так как взломан сервер не первый раз, хотя базовые советы по безопасности выполняются мною полностью.

Сервер заражен шелами и дорами.

Добавлено через 57 секунд
Только просьба за неимением крупного бюджета не предлагать конторы, я знаю сколько это стоит, таких денег у меня сейчас нету(((

Добавлено через 4 минуты
И еще вопрос, который меня очень волнует. Если у меня заражен компьютер и ведется кража паролей, может ли зараза передаваться по домашнему Wifi? У меня дома 4 компьютера выходят в интернет через один модем по wifi. если я лечу свой компьютер, может ли он таким образом заразиться через беспроводную сеть снова с другого компьютера?

Добавлено через 13 минут
Просто не могу понять откуда начинается заражение каждый раз. То ли напрямую имеют доступ к серверу, то ли через CMS (Wordpress), то ли через какие то плагины и темы и т.д.

Добавлено через 39 минут
Сервер ставился с нуля после последнего заражения 28 марта, прошло всего пол месяца, какие логи на cent os мне лучше всего посмотреть?

[MonAmur]

для начала посмотрите логи доступа в админку вордпресса и прямые заходы по урлам, которых не должно быть в принципе.

[seocore]

Цитата:

Сообщение от lbmoney

Если у меня заражен компьютер и ведется кража паролей, может ли зараза передаваться по домашнему Wifi? У меня дома 4 компьютера выходят в интернет через один модем по wifi. если я лечу свой компьютер, может ли он таким образом заразиться через беспроводную сеть снова с другого компьютера?

часто веб-морда админки модема\роутера со штатным паролем, и определенная группа троянов умеют модифицировать прошивки роутеров, в дальнейшем подменяя в нужный момент сайты (через обработку ДНС запросов) и т.п. безобразия

Цитата:

Сообщение от lbmoney

Просто не могу понять откуда начинается заражение каждый раз. То ли напрямую имеют доступ к серверу, то ли через CMS (Wordpress), то ли через какие то плагины и темы и т.д.

уязвимость может быть где угодно, например дырка или шел-закладка в теме оформления, тот же шел может быть изрядно закодирован, в ПХП можно выполнить код не только через eval()

Цитата:

Сообщение от lbmoney

Сервер ставился с нуля после последнего заражения 28 марта, прошло всего пол месяца, какие логи на cent os мне лучше всего посмотреть?

для начала надо определить было ли заражение на уровне суперпользователя или нет, к примеру - если шел создан из под root'а (владелец файла), то логично, что ломают сервер, если же из под пользователя обычного, то скорее всего ломают через дыру в CMS или спрятанный где-то в рамках сайта шелл-скрипт

общий совет - откажитесь от ftp в пользу SCP, ну и держите рабочий комп в стерильном состоянии, а по интернет сайтам ходите из виртуальной машины, внутри которой не держите никаких компрометирующих материалов, ну и тем более паролей\ключей и т.д.

[lbmoney]

Спасибо большое за советы!!!

Добавлено через 3 часа 48 минут
А возможен вирус внутри самих баз данных? Вдруг я вместе с ними что то нечистое закачиваю?

Добавлено через 3 минуты
Кстати, хранил я оказывается пароль от root в lastpass (((

[seocore]

Цитата:

Сообщение от lbmoney

А возможен вирус внутри самих баз данных? Вдруг я вместе с ними что то нечистое закачиваю?

довольно часто изменяют БД, дописывая вирусные инджекты (скрипты\ифрэймы и т.п.) в контент сайта, т.е. пишут непосредственно в БД

и вполне может быть, что при заходе на страничку с таким кодом Вы заново заражаете свой комп

ставьте антивирус посерьезнее - для рунета подходит идеально Kaspersky Internet Security

Цитата:

Сообщение от lbmoney

Кстати, хранил я оказывается пароль от root в lastpass (((

а не важно где храните, если вирус\троян попал на комп, то в его арсенале наверняка есть кейлогер, он соберет ваши пароли прямо с клавиатуры

[lbmoney]

Скажите, а не выглядит ли это как подбор пароля?

В 6 утра я еще сплю...


Mar 30 06:16:44 redca121 sshd[17719]: reverse mapping checking getaddrinfo for 212.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.212] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 30 06:16:44 redca121 sshd[17719]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.51.212 user=root
Mar 30 06:16:45 redca121 sshd[17721]: reverse mapping checking getaddrinfo for 212.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.212] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 30 06:16:46 redca121 sshd[17721]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.51.212 user=root
Mar 30 06:16:47 redca121 sshd[17719]: Failed password for root from 61.174.51.212 port 3943 ssh2
Mar 30 06:16:47 redca121 sshd[17721]: Failed password for root from 61.174.51.212 port 4123 ssh2
Mar 30 06:16:50 redca121 sshd[17721]: Failed password for root from 61.174.51.212 port 4123 ssh2
Mar 30 06:16:54 redca121 sshd[17721]: Failed password for root from 61.174.51.212 port 4123 ssh2
Mar 30 06:16:56 redca121 sshd[17719]: Failed password for root from 61.174.51.212 port 3943 ssh2
Mar 30 06:16:56 redca121 sshd[17721]: Failed password for root from 61.174.51.212 port 4123 ssh2
Mar 30 06:16:58 redca121 sshd[17719]: Failed password for root from 61.174.51.212 port 3943 ssh2
Mar 30 06:16:59 redca121 sshd[17721]: Failed password for root from 61.174.51.212 port 4123 ssh2
Mar 30 06:17:00 redca121 sshd[17719]: Failed password for root from 61.174.51.212 port 3943 ssh2
Mar 30 06:17:01 redca121 sshd[17722]: Disconnecting: Too many authentication failures for root

[seocore]

Цитата:

Сообщение от lbmoney

Скажите, а не выглядит ли это как подбор пароля?

выглядит, это и есть перебор пароля, брутят всех, т.е. не стоит считать это чем-то ненормальным, бороться с подобным брутфорсом бесполезно, из самых простых и эффективных решений - смените порт SSH на какой-то повыше 10к

[MonAmur]

Защита админки WordPress и Joomla от перебора паролей

[lbmoney]

Цитата:

Сообщение от seocore

выглядит, это и есть перебор пароля, брутят всех, т.е. не стоит считать это чем-то ненормальным, бороться с подобным брутфорсом бесполезно, из самых простых и эффективных решений - смените порт SSH на какой-то повыше 10к

Ага, буду знать)

Добавлено через 10 минут

Цитата:

Сообщение от MonAmur

Защита админки WordPress и Joomla от перебора паролей

\
Спасибо

[qkowlew]

такие вещи надо решать в комплексе.
1. Не взломан ли сервер целиком?
2. Не висит ли в Вашей локалкек троян на компе?
3. Не взлолман ли роутер в лолкалке?
4. Не взломан ли ваш акккаунт у хостера?
5. Содержит ли код сайта вредоносный код?
6. Содержит ли база сайта вроносный код?
7. Есть ли в текущей версии CMS дыры в безопасности?
8. Правильно ли построена безопасность вебсервера помимо CMS?
Если вы хотите малобюджетного решения ваших проблем - вам придется для начала самому ответить на большую часть этих вопросов. ;-) и только потом двигатьсядальше.