DirectAdmin променя сам Index.php на китайски сайт

S

sn1p3r

New Member
Здравейте,
От 3 дена имам проблем с DirectAdmin сървъра ми. Явно някой е направил успешна атака и е качил вирус на сървъра. Качвам снимка на сайта как изглежда и кода, който е качен в index.php. Също забелязах, че .htaccess файла се редактира също и се добавя във всяка една папка + на рандом места се качват файлове.

Някой с опит в directAdmin да има ли да ми помогне да изчистя сървъра.
Знам и разбирам, че всяка помощ заслужава възнаграждение и съм готов да заплатя.

На сървъра съм инсталирал Clamav и в момента съм го пуснал да сканира /home (би трябвало да отнеме известно време - 9 сайта, от които 4 са wordpress).
Смятам като приключи сканирането да инсталирам и Maldet.
 

Прикачени файлове

  • Screenshot 2023-10-30 140407.png
    Screenshot 2023-10-30 140407.png
    530.6 KB · Преглеждания: 25
  • Screenshot 2023-10-30 140443.png
    Screenshot 2023-10-30 140443.png
    344.4 KB · Преглеждания: 24
Благодаря ти за коментара. Намерих фирма, на която да платя да изчистят ще разкажа за момента какво се случва ако някой друг изпадне в подобно положение.

След като получих отговор на тикета ми към DirectAdmin ми посочиха 3 външни фирми, с които работят и избрах едната -> rack911. Получих отговор бързо от тях.
Дадох им достъп (SSH) и започнаха проверката. Горе-долу час по-късно ми казаха, че са остановили проблема и могат да започнат чистенето. Искаха ми данни за фактурата (за момента ми обявиха 150 долара) и започнаха да чистят сайтовете.
Проблема се оказа в "litespeed cache" /мина на тъмната страна, а трябваше да помага :D / Момчето ми каза, че мога да продължа да го ползвам като го изчисти и е на последна версия.
В момента чистят всеки един сайт един по един и все още не е приключило.

Нещо, което ми препоръча и след като приключи ще го направя е да държа сайтовете на отделни акаунти в DirectAdminа. В момента ползвам лиценз, който беше по 2$ ако не се лъжа на месец един акаунт до 10 сайта. За сайтовете, които държах ми беше перфектен, но след днес като един сайт прецака останалите и цял ден се сменят на китайски смятам, че е по-добрия вариант.

Все още си мисля, че в даден момент цената ще се вдигне от 150 долара, понеже са 9 сайта и това ако го чисти ръчно със сигурност ще му отнеме още много време, но ако някой има интерес за това как върви процеса ще си редактирам поста до крайния процес.
 
Можеше да си ги спестиш, то доста сайтове гръмнаха от това:

www.wordfence.com

4 Million WordPress Sites affected by Stored Cross-Site Scripting Vulnerability in LiteSpeed Cache Plugin

On August 14, 2023, our Wordfence Threat Intelligence team identified and began the responsible disclosure process for a stored Cross-Site Scripting (XSS) vulnerability in LiteSpeed Cache plugin, which is actively installed on more than 4,000,000 WordPress websites, making it the most popular...
www.wordfence.com

Но веднага изкараха ъпдейт след новината и можеше бързо да се вземат мерки.
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе