Switch to English version?

Yes

Переключитись на українську версію?

Так

Переключиться на русскую версию?

Да

Przełączyć się na polską wersję?

Tak

Разместите свой проект бесплатно и начните получать предложения от фрилансеров-исполнителей уже спустя минуты после публикации!

Сервер атакует хосты с wordpress сайтами, брутфорс на wp-login.php

Linux и Unix, Администрирование систем и сетей, Настройка ПО и серверов

3 из 3

закрыт без выполнения

публикация
прием ставок
закрыт без выполнения

Приветствую.

Регулярно на сервере запускается неведомый процесс, который занимается атакой на другие хосты с WP сайтами.

Нужно выявить причину взлома, устранить её и сообщить мне, что произошло и как спасаться.

Сервер дедик на centos с веб-мордой vestacp в ДЦ hetzner.

Вредоносный процесс как раз сейчас запущен и получена абуза из ДЦ.

> The IP айпи сервера моего has just been banned by Fail2Ban after 
> 2 attempts against apache-attack. 
> 
> 
> Domain: tratamientohemorroides.org (91.192.110.140) 
> 
> 
> Here are more information about 78.46.109.242: 
> Lines containing IP:айпи сервера in /furanet/sites/*/web/htdocs/logs/access 
> 
> /furanet/sites/tratamientohemorroides.org/web/htdocs/logs/access:78.46.109.242 - - [23/Nov/2019:16:20:02 +0100] "GET /wp-login.php HTTP/1.1" 200 2247 "-" "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 
> /furanet/sites/tratamientohemorroides.org/web/htdocs/logs/access:78.46.109.242 - - [23/Nov/2019:16:20:03 +0100] "POST /wp-login.php HTTP/1.1" 200 2526 "-" "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 
> /furanet/sites/tratamientohemorroides.org/web/htdocs/logs/access:78.46.109.242 - - [23/Nov/2019:16:20:03 +0100] "GET /wp-login.php HTTP/1.1" 200 2247 "-" "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 
> /furanet/sites/tratamientohemorroides.org/web/htdocs/logs/access:78.46.109.242 - - [23/Nov/2019:16:20:03 +0100] "POST /wp-login.php HTTP/1.1" 200 2397 "-" "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 
> /furanet/sites/tratamientohemorroides.org/web/htdocs/logs/access:78.46.109.242 - - [23/Nov/2019:16:20:03 +0100] "POST /xmlrpc.php HTTP/1.1" 403 440 "-" "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 
> 
> Date: Sat Nov 23 16:20:05 CET 2019 
> 
> Unix timestamp: 1574522404.95

P.S. Если вы прочитали задачу и готовы выполнить - укажите в вашем комментарии название пакетного менеджера в centos.

Ставки 10
Обсуждение 2

по умолчанию дата онлайн рейтинг стоимость время выполнения

Еще 10 ставок скрыто

Профиль удален

Задачу прочитал. Пакетный менеджер RPM.

Alexey Ilchmann

помимо стандартного ревьюва кода, базы и блокировки исполняемого кода в каталогах аплоада, рекомендую решение для "бедных" - прогнать drweb-ом. при всей банальности подхода - можно получить сигнатуру вредоносного кода и понять, где чистить и что закрывать... на будущее - теперь придется регулярно чекать ресурс, т. к. он уже, скорее всего, помечен в базе злоумышленника как неустойчивый к взлому.

Актуальные фриланс-проекты в категории Linux и Unix

Развертывание Ruby on Rails проекта на VPS + Входящая маршрутизация электронной почты

Нужна помощь в развертывании платформы для автоматизации запросов на публичную информацию (на базе open-source движка Alaveteli). Проект работает как почтовый маршрутизатор: генерирует уникальные email-адреса для каждого запроса, отправляет их в государственные органы, а ответы…

DevOps, Linux и Unix ∙ ∙ 11 ставок

Максим Милёхин

Харьков 15