Показано с 1 по 3 из 3

Тема: Отловить вирусяку

  1. #1
    Member
    Регистрация
    27.04.2010
    Сообщений
    61

    По умолчанию Отловить вирусяку

    Ломанули сайт, напихали шеллов, просто удалил все файлы , удалил пользователя ftp, сменил пароль взломанному пользователю. Даже выключал этого пользователя. просто пустая папка домена. и в ней появляется два файла и папка. удаляешь снова появляется.
    когда меняешь права на папку домена например на 577, перестают появлятся. меняешь на 755 сразу появляются.
    Это только у одного пользователя на сервере, у остальных ничего такого нет.

    Не пойму как они появляются сами то?
    куда копать. в папках пользователя больше никаких файлов нет. в логах доступа тож ничего нет.
    Centos 7 ISPmanager Lite 5.259.0

  2. #2
    Senior Member
    Регистрация
    22.10.2014
    Сообщений
    198

    По умолчанию

    Посмотрите в запущенных процессах - возможно, там висит вредоносный код. Крон пользователя тоже проверьте - там бывает висит запуск малвари из папок /var/tmp или /tmp.

  3. #3
    Member
    Регистрация
    27.04.2010
    Сообщений
    61

    По умолчанию

    в кроне пусто, папки пользователя тож все пустые, процесс как найти подозрительный?
    удалил полностью пользователя, создал заново пока не появляется.
    Просто не понятно че за уязвимость, как эксплуатируется. раз использовали, второй раз ломанут.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •