Problema FTP parola


(Stănilă Ionuţ Mitică) #1

Bună seara ! Am pățit ceva , în seara asta m-am trezit cu 3 siteuri cu redirect către alte siteuri însă am schimbat parola la toate si la cpanel si la contul de găzduire , însă chiar și după schimbarea parolele tot îmi ștergea fisiere din public_html , am facut si bakup aceasi problema. Deci cum e posibil sa intre in FTP ? Deci parola e destul de complicată, va rog sa ma ajutati sunt disperat
Deci cum e posibil asa ceva nu inteleg, nu mi sa intamplat niciodata și deja mă depășește … care este cauza de m-am trezit cu toate fisiere htacces cu redirect , și anumite foldere fisiere șters, am dat bakup de 4 ori parolele le-am schimbat la fel cu ceva imposibil de spart.
Sunt administrat la server.ro


(Ionuț Staicu) #2

Una din următoarele situații:

  1. serverul e compromis din vina hostingului (caz în care schimbi hostingul, fără discuții)
  2. Ai setat permisiuni aiurea la fișiere și cineva de pe serverul tăuface nebunii
  3. Ai instalat teme/pluginuri nulled.

(cosmos) #3

Deschide un tichet la ei si raporteaza problema !

o parola de genul FFgw5%$^^&6H&%IkJ^I64uik4e86 nu se saprge atat de usor !

Daca schimbi hosting-ul mergi pe un vps. Accesul ssh il poti face cu certificat. Se poate instala si cPanel cred


(Serghei Amelian) #4

Foloseşti Wordpress sau ceva de genul? Cel mai probabil “hacker-ul” n-a avut nevoie de parolă ca să facă modificări in site-ul tau, pur si simplu a folosit vreo vulnerabilitate direct in site (wordpress neupdatat, vreun plugin prost scris etc).


(Stănilă Ionuţ Mitică) #5

Vă mulțumesc de detalii, tin să specific că folosesc script de tip lavalair demo fantezia.us , însă nu am legatura cu wordpress, probabil sa fie de la server , am deschis tichet si astept cu nerăbdare răspuns…


(Stănilă Ionuţ Mitică) #6

Și legat de permisiunea fisierele la htacces este setat 644
La fisierele de tip .php tot 644 iar la foldere 755
Cam ce ar trebui să conțină un fisiere de tip htacces?


(cosmos) #7

Atentie
Si acel script poate avea vulnerabilitati !

https://httpd.apache.org/docs/current/howto/htaccess.html
Cam ce este pe aici ! :smiley:


(Stănilă Ionuţ Mitică) #9

Scriptul nu are ce sa aibe, acolo am mai multe site uri si șterge de unde apuca!


(cosmos) #10

Parerea mea este ca mai bine cauti alt hosting !
In genereal un sistem informatic care a fost compromis de mai multe ori nu mai prezinta siguranta .

Cauta pe forum, ca vei gasi recomandari si pareri legate de diferite firme de hosting !


(István F.) #11

Pe hosting-uri shared sunt foarte populare asa numitele shell-uri, adica fisiere php care sunt panouri de control, eu am administrat o perioada buna servere de genul. Cu ele n-ai nevoie de ftp daca ai talent si permisiunile nu sunt setate cu precizie elvetiana.

Cpanel mereu avea ceva vulnerabilitate daca nu era bine configurat, gen incarca cineva un shell pe un client cu o vulnerabilitate la upload in site si cu shell-ul practic putea face aproape orice. (descarcare baza de date, editare fisiere (daca avea permisiuni), citi fisiere (chiar din alte conturi) sau chiar exec (adica rula alte aplicatii).

Cea mai smechera vulnerabilitate se folosea de apache, care poate rula script-uri cgi (gen perl, sau altceva integrat in apache) cu o setare mai oculta in .htaccess si nu il puteai dezactiva fara sa recompilezi apache. E destul de complicat sa setezi permisiunile in asa fel incat cineva cu experienta sa nu poata rula un script perl cu acces la tot serverul in limitele permisiunilor apache.

Hosturile decente scapa de aceste probleme cu Cloudlinux combinat cu cPanel. (daca ai avea cloudlinux pe server.ro atunci clar e un shell in contul tau, descarca fiecare fisier si da un scan cu un antivirus, in 80% din cazuri ti-l gaseste, cateodata trebuie sa cauti manual fiindca e obfuscat, cel mai usor e sa vezi ultimele fisiere scrise, e 100% printre ele shell-ul.)

Eu cred ca ai pe undeva un shell, sau hostul are. + o vulnerabilitate de upload sau se poate citi o poza fara extensie/cu extensie mai ciudata de php. Ca sa cauti vulnerabilitatea la upload cauta printre log-uri numele shell-ului pe care l-ai gasit.

Mai sunt si vulnerabilitati foarte noi pe care eu cel putin sper ca n-a pus nimeni mana, adica Intel are o vulnerabilitate in kernel care permite accesarea datelor dintr-un cont in altul la virtualizare.