https://opennet.ru/openforum/vsluhforumID1/86933.html ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, и т.д.<br>хотелось бы иметь возможность все это хозяйство как-то сканировать. <br>когда-то один раз мне такое поймал clamav, но это работает не со всеми технологиями такого заражения.<br>Заранее спасибо.<br> https://opennet.ru/openforum/vsluhforumID1/86933.html#11 Sun, 18 Oct 2009 18:57:30 GMT &gt;Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно <br>&gt;обеспечить полную изоляцию контента пользователей друг от друга. С административной указать <br>&gt;в договоре, что пользователь сам ответственен за все изменения контента. Ну <br>&gt;и желательно предоставлять пользователям возможности бэкапа. <br><br>open_base_dir + отключение system (или вообще каждый пользователь в контейнере) используют все, как и договор, где "пользователь сам во всем виноват", но спрос рождает предложение... Если его удастся родить... :)<br><br> https://opennet.ru/openforum/vsluhforumID1/86933.html#10 Sun, 18 Oct 2009 18:55:08 GMT все изолировано, в договорах все прописано... и все-же....<br> https://opennet.ru/openforum/vsluhforumID1/86933.html#9 Sun, 18 Oct 2009 17:25:18 GMT Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно обеспечить полную изоляцию контента пользователей друг от друга. С административной указать в договоре, что пользователь сам ответственен за все изменения контента. Ну и желательно предоставлять пользователям возможности бэкапа. <br><br><br> https://opennet.ru/openforum/vsluhforumID1/86933.html#8 Sun, 18 Oct 2009 15:56:41 GMT &gt;а вы никогда не думали нормально мониторить сервак? <br>&gt;а то советов тут понадавали.... <br>&gt;включите logwatch , настройте на свое мыло и внимательно читайте логи. <br>&gt;видете несколько коннектов с разных IP по одному логину, меняйте пароль. <br><br>Мониторить не помогает, чернушники люди изворотливые... Они будут ломать с машины web-мастера, когда увидят, что все, что они делают, вычищают. У нас они и не с такими хитростями научились бороться (у нас типовые скелеты директорий в document root, мы запрещали заливку по ftp в некоторые директории, они все равно придумали, как это обойти)<br><br>&gt;по поводу зачистки, ищите на предмет iframe <br><br>Уже давно не актуально, используют js-генерацию HTML-кода на лету, на диске будет лежать абракадабра(или даже на взгляд человека нечто пристойное), под которую не подберешь регэксп.<br><br>Единственное решение проблемы, которое мне известно, это глобальный запрет ftp, ботнетоводам лень заморачиваться (на этом этапе) с перехватом нажатий клавиш на затрояненных машинах web-мастеров, по этому s https://opennet.ru/openforum/vsluhforumID1/86933.html#7 Sun, 18 Oct 2009 15:19:24 GMT при чем тут динамический или нет?<br>вообще с головой не в порядке?<br> https://opennet.ru/openforum/vsluhforumID1/86933.html#6 Sun, 18 Oct 2009 14:59:41 GMT &gt;а то советов тут понадавали.... <br>&gt;видете несколько коннектов с разных IP по одному логину, меняйте пароль. <br><br>динамический адрес?<br> https://opennet.ru/openforum/vsluhforumID1/86933.html#5 Sun, 18 Oct 2009 14:43:37 GMT а вы никогда не думали нормально мониторить сервак?<br>а то советов тут понадавали....<br>включите logwatch , настройте на свое мыло и внимательно читайте логи.<br>видете несколько коннектов с разных IP по одному логину, меняйте пароль.<br>по поводу зачистки, ищите на предмет iframe<br> https://opennet.ru/openforum/vsluhforumID1/86933.html#4 Sun, 18 Oct 2009 12:26:26 GMT &gt;ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после <br>&gt;чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, <br>&gt;и т.д. <br><br>А как вы отличите ссылку предусмотренную от непредусмотренной? Собственно если есть список урлов, или конструкций- то есть поиск по сигнатуре- то натравить на структуру каталогов антивирь...<br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/86933.html#3 Sun, 18 Oct 2009 11:57:40 GMT &gt;тут тоже есть проблема, как быть, если малварь сидит не в открытой <br>&gt;области, а, допустим, в админзоне? самая частая у нас ситуация. <br><br>Если найдете решение, пожалуйста, отпишитесь...<br>