- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
4 ветка уже более года не обновляется.
ТС проанализируйте /usr/local/ispmgr/var/ispmgr.log на предмет записей про www-data, он редко ротируется, есть шанс какие либо ниточки вытянуть.
Добавлю свою инфу.
У себя тоже заметил что пользователь www-data появился в списке пользователей в админке.
Сегодня удалил - ситуация та же самая, сайты удалились. Но у меня бэкапы есть, все ок.
Меня больше интересует почему www-data появился, поскольку в панель я не заходил и ничего не делал на сервере. Пользователь появился 3 дня назад (за эти 3 дня сыпались ошибки о невозможности бэкапа этого пользователя)
Просмотрел файл ispmgr.log, предположительно это случилось после этих действий.
Jul 24 20:57:40 [17380:42562] INFO Request [91.217.202.228][nobody] 'password=*&username=nginx&func=auth&out=xml'
Jul 24 20:57:42 [17380:42563] INFO Request [91.217.202.228][nobody] 'password=*&username=www&func=auth&out=xml'
Jul 24 20:57:43 [17380:42564] INFO Request [91.217.202.228][nobody] 'password=*&username=apache&func=auth&out=xml'
Jul 24 20:57:46 [17380:42565] INFO Request [91.217.202.228][nobody] 'password=*&username=ftp8t3z&func=auth&out=xml'
Jul 24 20:57:47 [17380:42566] INFO Request [91.217.202.228][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'
Jul 24 20:57:49 [17380:42567] INFO Request [91.217.202.228][nobody] 'password=*&username=nginx&func=auth&out=xml'
Jul 24 20:57:50 [17380:42568] INFO Request [91.217.202.228][nobody] 'password=*&username=www&func=auth&out=xml'
Jul 24 20:57:52 [17380:42569] INFO Request [91.217.202.228][nobody] 'password=*&username=apache&func=auth&out=xml'
Jul 24 20:57:53 [17380:42570] INFO Request [91.217.202.228][nobody] 'password=*&username=ftp75ut&func=auth&out=xml'
Jul 24 20:57:56 [17380:42571] INFO Request [91.217.202.228][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'
Jul 24 20:57:58 [17380:42572] INFO Request [91.217.202.228][nobody] 'password=*&username=nginx&func=auth&out=xml'
Jul 24 20:58:00 [17380:42573] INFO Request [91.217.202.228][nobody] 'password=*&username=www&func=auth&out=xml'
Jul 24 20:58:02 [17380:42574] INFO Request [91.217.202.228][nobody] 'password=*&username=apache&func=auth&out=xml'
Jul 24 20:58:03 [17380:42575] INFO Request [91.217.202.228][nobody] 'password=*&username=ftp2l5g&func=auth&out=xml'
Jul 24 20:58:05 [17380:42576] INFO Request [91.217.202.228][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'
Jul 24 20:58:06 [17380:42577] INFO Request [91.217.202.228][nobody] 'password=*&username=nginx&func=auth&out=xml'
Jul 24 20:58:08 [17380:42578] INFO Request [91.217.202.228][nobody] 'password=*&username=www&func=auth&out=xml'
Jul 24 20:58:09 [17380:42579] INFO Request [91.217.202.228][nobody] 'password=*&username=apache&func=auth&out=xml'
Jul 24 20:58:11 [17380:42580] INFO Request [91.217.202.228][nobody] 'password=*&username=ftp43rr&func=auth&out=xml'
Jul 24 20:58:17 [17380:42581] INFO Request [95.211.156.208][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'
Jul 24 20:58:19 [17380:42582] INFO Request [95.211.156.208][nobody] 'password=*&username=nginx&func=auth&out=xml'
Jul 24 20:58:22 [17380:42583] INFO Request [95.211.156.208][nobody] 'password=*&username=www&func=auth&out=xml'
Jul 24 20:58:24 [17380:42584] INFO Request [95.211.156.208][nobody] 'password=*&username=apache&func=auth&out=xml'
Jul 24 20:58:26 [17380:42585] INFO Request [95.211.156.208][nobody] 'password=*&username=ftp07yi&func=auth&out=xml'
Jul 24 20:58:28 [17380:42586] INFO Request [78.46.85.*][www-data] 'sok=ok&elid=www%2Ddata&func=usrparam&confirm=*&passwd=*&name=www%2Ddata&out=json'
Jul 24 20:58:29 [17380:42587] INFO Request [95.211.156.208][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'
не сильно программист.
возможно это случилось после установки пароля на юзера www-data:
confirm=*&passwd=*
Возможно, вот только я этого не делал и вообще в этот период на сервер не заходил. Тут либо взлом, либо бага
Два случая уже есть, значит явно не случайность.
Уже три случая, мне тоже 26-го числа на www-data установили пасс.
кусок лога
Jul 26 07:48:47 [ 7256:9] ^[[1;32mINFO Request [31.*.*.*][www-data] 'sok=ok&elid=www%2Ddata&func=usrparam&confirm=*&passwd=*&name=www%2Ddata&out=json'^[[0m Jul 26 07:48:47 [ 7256:10] ^[[1;32mINFO Request [92.53.96.84][nobody] 'password=*&username=www%2Ddata&func=auth&out=xml'^[[0m Jul 26 07:48:47 [ 7256:10] ^[[1;36mEXTINFO Execute (/usr/sbin/repquota -g -n /dev/mapper/vg0-root) return=0 exited^[[0m Jul 26 07:48:52 [ 7256:11] ^[[1;32mINFO Request [91.206.200.190][nobody] 'out=xml&key=1006*************iu&username=www%2Ddata&func=auth'^[[0m Jul 26 07:48:54 [ 7256:12] ^[[1;32mINFO Request [91.206.200.190][nobody] 'password=*&username=nginx&func=auth&out=xml'^[[0m Jul 26 07:48:56 [ 7256:13] ^[[1;32mINFO Request [91.206.200.190][nobody] 'password=*&username=www&func=auth&out=xml'^[[0m Jul 26 07:48:58 [ 7256:14] ^[[1;32mINFO Request [91.206.200.190][nobody] 'password=*&username=apache&func=auth&out=xml'^[[0m Jul 26 07:49:00 [ 7256:15] ^[[1;32mINFO Request [91.206.200.190][nobody] 'password=*&username=ftpk2mb&func=auth&out=xml'^[[0m Jul 26 07:49:03 [ 7256:16] ^[[1;36mEXTINFO Execute (/usr/sbin/repquota -g -n /dev/mapper/vg0-root) return=0 exited^[[0m Jul 26 07:49:03 [ 7256:16] ^[[1;32mINFO Request [31.*.*.*][www-data] 'key=1006**********gs8e&username=www%2Ddata&func=session%2Enewkey&out=json'^[[0m Jul 26 07:49:03 [ 7256:17] ^[[1;32mINFO Request [91.206.200.190][nobody] 'out=xml&key=10****************fgs8e&username=www%2Ddata&func=auth'^[[0m
Кто-нибудь разобрался где дыра?
если действительно установили пасс (напомню, мое выше - только предположение) - то желательно ничего не трогать, посмотреть /etc/shadow -есть ли там хеш пароля ? какой шелл у www-data ?
прежде чем панически все фиксить (как правильно ошибочно) - нужно осмотреться.
Чем дальше, тем интереснее
А чего фиксить...., все логи обрыл,толком откуда дыра не нашёл. Скорее всего в ISP дыра и сидит.
В shadow есть хэшь пасса, так что пасс действительно поставили! Сам шелл /bin/sh но он вроде как по умолчанию у этого юзера.
В общем вернул пока пасс в пустоту, командой passwd -S www-data (из ISP юзер сразу убрался), копаем дальше.
Заметил такую особенность, при вводе в качестве логина в форме авторизации ISP manager например www-data или любого юзера без пасса: games, proxy, man и т.д. получаю ошибку "Request timeout to panel reached. Panel has not started yet."
Причём по логам ISP видно что панель после этого автоматом перегружается. Это у меня только так?
---------- Добавлено 30.07.2015 в 21:29 ----------
Чем дальше, тем интереснее
так так так, а поподробнее? знаком с багой видимо?