Пришел абуз от хетцнера

2

5

Кто-то стуканул на мой ип:

Greetings,

Valuehost abuse team like to inform you, that we have had mass bruteforce attempts to the Joomla / WordPress control panel on the our shared-hosting server v79.valuehost.ru [217.112.35.78] from your network, from IP address ---

During the last 30 minutes we recorded 1658 attempts like this:

[мой ип] karandashkino.ru - [08/Apr/2014:20:28:46 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:46 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:51 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:57 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"
[мой ип] karandashkino.ru - [08/Apr/2014:20:28:57 +0400] «POST /administrator/index.php HTTP/1.0» 500 1286 "-" "-"

И прочее бла бла бла.

Хетцнер предлагает в 24 часа отписаться о приняты действиях. Пока не банят.
Сам я этим не занимался.

Более того, мои сайт все статичные. У них тупо нет админки и исполняемой части.
Пароль рута от вебмина не палил вроде.
Софт не ставил.

Сходил в статистику трафика.
Нашел за вчера странный пик входящего.

Incoming 8.792 гб
Outgoing 3.948 гб

Что странно. Я ничего не аплоадил.
Та же хрень продолжалась до 10 утра сегодня.

Сейчас поменял рут пароль. И самозабанился после третьего фейла на входе.

В общем эта:
Чего бы проверить мне? И как?

Вариант «купить новый впс и перенеси файлы» - рабочий, но не элегантный.

Ссылка

←	-----BEGIN RSA PRIVATE KEY----- в прошивке от HP Integrated Lights-Out

Брутфорс WP-шки и зараженные CentOS?

→

← 1 2 3 →

не обновлялся, ставил дырявое дерьмо?

anonymous
(09.04.14 12:45:25 MSK)

Ответ на: комментарий от anonymous 09.04.14 12:45:25 MSK

Все всегда свежее из репозитория.

~~dk-~~ ☆
(09.04.14 12:46:50 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 12:46:50 MSK

Свежее из репозитория - это арчик или дебиан стейбл? Две большие разницы, знаете ли.

l0stparadise ★★★★★
(09.04.14 12:48:58 MSK)
Последнее исправление: l0stparadise 09.04.14 12:49:14 MSK (всего исправлений: 1)

Ссылка

Логи проверять, ясное дело. Логины по ssh, вебмин, фтп всякие. Процессы левые смотреть.

И заодно ssh на ключи перенастроить. И самозабан тяжелее поймать, и от лишних брутфорсеров помогает.

l0stparadise ★★★★★
(09.04.14 12:51:26 MSK)
Последнее исправление: l0stparadise 09.04.14 12:51:48 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от dk- 09.04.14 12:46:50 MSK

проверь контрольные суммы пакетов, прогони rkhunter , посмотри открытые порты, запущенные процессы, погляди в мониторилку, видела ли она исходящий трафик, отпишись абузам

anonymous
(09.04.14 12:52:06 MSK)

Если твои сайты действительно статичные, и нет веб-скриптов (phpmyadmin может стоит дырявый?), то 99% что у тебя трой в винде.

А из хецнера рекомендую валить.

~~xtraeft~~ ★★☆☆
(09.04.14 12:53:01 MSK)

Ломанули. Как пить дать ломанули. ссш по ключам хоть?

~~nanoolinux~~ ★★★★
(09.04.14 12:55:28 MSK)

Пароль рута от вебмина не палил вроде.

Webmin - тот еще дуршлаг, я от него отказался в том числе по этой причине. Тебя вполне могли поиметь через него.

Pinkbyte ★★★★★
(09.04.14 12:56:06 MSK)

Ответ на: комментарий от anonymous 09.04.14 12:52:06 MSK

2 чая данному анонимусу

Pinkbyte ★★★★★
(09.04.14 12:56:24 MSK)

Ссылка

Ответ на: комментарий от nanoolinux 09.04.14 12:55:28 MSK

Как пить дать ломанули. ссш по ключам хоть?

Да никто не брутит ssh на пассы, отличные от стандартных (admin, root, блабла) - это экономически нецелесообразно, тем более в данном случае.

~~xtraeft~~ ★★☆☆
(09.04.14 12:57:13 MSK)

Ответ на: комментарий от Pinkbyte 09.04.14 12:56:06 MSK

Webmin - тот еще дуршлаг

И пруфы конечно же ты приведешь?

~~xtraeft~~ ★★☆☆
(09.04.14 12:58:01 MSK)

Ответ на: комментарий от xtraeft 09.04.14 12:53:01 MSK

Стоит свежий вебмин на свежем дебе. Все обновки от хетцнера. Проверяю раз в день. Обновляю сразу.

А валить то почему?

~~dk-~~ ☆
(09.04.14 12:59:33 MSK) автор топика

Ответ на: комментарий от xtraeft 09.04.14 12:58:01 MSK

Да легко: http://www.webmin.com/security.html

В самый низ не листай - там седая древность. Хватает первых 4. И это - публичные закрытые вещи. Сколько незакрытых - я умолчу, ибо разглашать информацию из мэйллиста linux-distros я не имею права.

Pinkbyte ★★★★★
(09.04.14 13:01:36 MSK)

Ответ на: комментарий от dk- 09.04.14 12:59:33 MSK

Есть ли phpmyadmin и доступен ли снаружи?
Кстати, файлы как лил на сервер, по фтп?

~~xtraeft~~ ★★☆☆
(09.04.14 13:02:43 MSK)

Ответ на: комментарий от Pinkbyte 09.04.14 13:01:36 MSK

Хватает первых 4.

Из них ни одна уязвимость не является более-менее серьезной и более того, требует наличия хоть какого-то доступа у злоумышленника.
Ничего интересного типа RCE или RFI (и даже LFI) нету.

Сколько незакрытых - я умолчу, ибо разглашать информацию из мэйллиста linux-distros я не имею права.

Потому что их нет, скорее всего.

Ну все понятно с тобой, можешь дальше навевать таинственную атмосферу.

~~xtraeft~~ ★★☆☆
(09.04.14 13:04:35 MSK)
Последнее исправление: xtraeft 09.04.14 13:05:34 MSK (всего исправлений: 1)

Ответ на: комментарий от xtraeft 09.04.14 13:04:35 MSK

Ну все понятно с тобой, можешь дальше навевать таинственную атмосферу.

Да на здоровье. Мне security-контактов достаточно, чтобы говорить о том, о чём я говорю. А ты можешь пользоваться любым софтом, которым пожелаешь - это и называется свобода ;-)

Из них ни одна уязвимость не является более-менее серьезной и более того, требует наличия хоть какого-то доступа у злоумышленника.

Сразу видно большого аналитика.

Pinkbyte ★★★★★
(09.04.14 13:06:46 MSK)

Ответ на: комментарий от Pinkbyte 09.04.14 13:06:46 MSK

Сразу видно большого аналитика.

А давай ты мне разжуешь на пальцах, как крутой секьюрити аналитик, о первых четырех упомянутых тобой УЯЗВИМОСТЯХ?

1. XSS

A malicious website could create links or Javascript referencing the File Manager module that allowed execution of arbitrary commands via Webmin when the website is viewed by the victim.

If an attacker has control over http://example.com/ , he could create a page with malicious Javascript that could take over a Webmin session at https://example.com:10000/ when http://example.com/ is viewed by the victim.

This vulnerability can be triggered if an attacker changes his Unix username via a tool like chfn, and a page listing usernames is then viewed by the root user in Webmin.

This bug allows a virtual server owner to read or write to arbitrary files on the system by creating malicious symbolic links and then having Virtualmin perform operations on those links.

Ну просто офигеть какие страшные уязвимости. Надоели секьюрити-истерички вроде тебя: нет, такие баги фиксить конечно необходимо, но это даже не critical уровень, тем более когда речь идет о одном юзере на сервере (как у автора этого треда).

~~xtraeft~~ ★★☆☆
(09.04.14 13:10:49 MSK)

Ответ на: комментарий от xtraeft 09.04.14 13:10:49 MSK

Надоели секьюрити-истерички вроде тебя

Ну да конечно, я ж ничего в security не понимаю, ай-яй-яй. Я ж даже ни в одной security team не состою и на соответствующие мэйллисты не подписан. А плашка security на гентушной багзилле мне по блату досталась, да-да-да.

Hint: На той странице опубликованы только те уязвимости, о которых изволил сообщить апстрим вебмина. К примеру: https://bugs.gentoo.org/show_bug.cgi?id=504782. Найдешь мне там ее? А я могу поискать еще, в закрытых багрепортах наберется и remote arbitrary code execution и много веселухи ;-)

Pinkbyte ★★★★★
(09.04.14 13:26:37 MSK)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 13:10:49 MSK

По пунктам - отвечу по поводу первой уязвимости. Я видел как ее применяли вкупе с 3 уязвимостями в разных браузерах, что приводило к замечательным последствиям. А именно - получение root на уязвимом сервере. Если для тебя это пустой звук и ты требуешь прямого remote root exploit-а на ядро - ну извини. Такие что-то не пробегали последнее время.

Отсюда вывод: даже XSS не стоит сбрасывать со счетов, когда речь идет о софте, который работает из под root на сервере.

Pinkbyte ★★★★★
(09.04.14 13:30:24 MSK)
Последнее исправление: Pinkbyte 09.04.14 13:31:40 MSK (всего исправлений: 1)

Ответ на: комментарий от dk- 09.04.14 12:46:50 MSK

я проглядел вебмин, а ведь это дырявое дерьмо, как и любая другая говнопанелька, переустанавливай систему

anonymous
(09.04.14 13:34:49 MSK)

Ответ на: комментарий от Pinkbyte 09.04.14 13:30:24 MSK

Забей, ТС знатный знаток в безопасности.
http://www.linux.org.ru/forum/talks/10365667?cid=10365973 (комментарий)

handbrake ★★★
(09.04.14 13:35:03 MSK)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 13:10:49 MSK

cекьюрити-истерички

за одно это тебя следует обозвать слабоумным школьником и публично высечь розгами

anonymous
(09.04.14 13:37:02 MSK)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 12:53:01 MSK

А из хецнера рекомендую валить.

Что не так с хецнером и куда с него валить?

kvitaliy ★
(09.04.14 13:38:25 MSK)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 13:10:49 MSK

И еще, например: последняя уязвимость в OpenSSL - это всего лишь Information disclosure. Что считается в общем случае не таким уж серьезным делом. Если бы не одно но - масштаб и что именно подвергается раскрытию.

С Webmin-ом - та же песня. Не смотри на суть уязвимости - смотри как в комбинации с другими ее можно применить и насколько это просто.

Pinkbyte ★★★★★
(09.04.14 13:38:29 MSK)
Последнее исправление: Pinkbyte 09.04.14 13:38:54 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 13:02:43 MSK

Вроде нет такой гадости. (Прямо сейчас не могу проверить)

Лил по фтп и\или через веб гуй вебмина.

~~dk-~~ ☆
(09.04.14 13:54:20 MSK) автор топика

Ответ на: комментарий от anonymous 09.04.14 13:34:49 MSK

Проще накатить новый впс. Цена вопрос дополнительные 16 евро.

Просто понять бы «где произошло».

~~dk-~~ ☆
(09.04.14 13:55:15 MSK) автор топика

Ссылка

Ответ на: комментарий от dk- 09.04.14 13:54:20 MSK

Лил по фтп

в винде трой

~~xtraeft~~ ★★☆☆
(09.04.14 13:57:33 MSK)

Повесь логирование исходящих соединений на 80 порт. Типа

iptables -I OUTPUT -p tcp --dport 80 ! -d 127.0.0.1 -j LOG --log-uid

Если бяка еще активна, то быстро спалит uid, что сократит диапазон поиска.

NeOlip ★★
(09.04.14 14:00:14 MSK)

Ответ на: комментарий от Pinkbyte 09.04.14 13:01:36 MSK

Сколько незакрытых - я умолчу, ибо разглашать информацию из мэйллиста linux-distros я не имею права.

так бы и сказал, что сами кулхацкеры и не пропалишь малину.

cipher ★★★★★
(09.04.14 14:01:48 MSK)

Ссылка

Ответ на: комментарий от xtraeft 09.04.14 13:57:33 MSK

можешь сказать, как из консоли (под рутом) сменить пасс на вебмин. принудительно
?

~~dk-~~ ☆
(09.04.14 14:15:06 MSK) автор топика

Ответ на: комментарий от xtraeft 09.04.14 13:57:33 MSK

в винде трой

Вечером устрою внеплановый шмон системе. Но слабо верится.

Еще что заметил:
Мне «закачали» около 12гб трафика. судя по статистике.
Но лишних файлов точно нет.

Хотя, конечно, глупо ожидать именно файлы. сама передача же. Проксей меня может сделали.

~~dk-~~ ☆
(09.04.14 14:16:30 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 14:16:30 MSK

Вечером устрою внеплановый шмон системе. Но слабо верится.

И не найдешь.

~~xtraeft~~ ★★☆☆
(09.04.14 14:21:10 MSK)

Ссылка

Ответ на: комментарий от dk- 09.04.14 14:15:06 MSK

Потрясающая хрень.

В консоли вместо слеша печатается цифра семь.

~~dk-~~ ☆
(09.04.14 14:23:01 MSK) автор топика

Ссылка

Ответ на: комментарий от NeOlip 09.04.14 14:00:14 MSK

Учитывая количество, я бы добавил

-m limit --limit 10/s

router ★★★★★
(09.04.14 14:29:29 MSK)

Ссылка

Сходил в статистику трафика.
Нашел за вчера странный пик входящего.

Читал В OpenSSL обнаружена уязвимость, позволявшая прослушивать зашифрованный трафик ?

router ★★★★★
(09.04.14 14:31:24 MSK)

Ответ на: комментарий от xtraeft 09.04.14 12:57:13 MSK

Да никто не брутит ssh на пассы, отличные от стандартных (admin, root, блабла)

Диванный теоретик detected

router ★★★★★
(09.04.14 14:35:08 MSK)

Ответ на: комментарий от router 09.04.14 14:35:08 MSK

Ну да, все вдсы подряд брутят на сложные пассы.
Ты хотя бы одного современного бота-брутера видел?

~~xtraeft~~ ★★☆☆
(09.04.14 14:36:53 MSK)

Ответ на: комментарий от router 09.04.14 14:35:08 MSK

он за весь тред не спорол чушь, а ты критикуешь сразу. Ведь боты и правда подбирают глупые учётки админа, боба, маркета и ещё несколько десятков с десятком-другим паролей.

anonymous
(09.04.14 14:38:56 MSK)

Ссылка

Ответ на: комментарий от router 09.04.14 14:31:24 MSK

Я в этом мало что понимаю :)

~~dk-~~ ☆
(09.04.14 14:43:27 MSK) автор топика

Ссылка

Ответ на: комментарий от NeOlip 09.04.14 14:00:14 MSK

iptables -I OUTPUT -p tcp --dport 80 ! -d 127.0.0.1 -j LOG --log-uid

Делал. Где потом смотреть лог?
Опять трафик потек в обед.

~~dk-~~ ☆
(09.04.14 18:01:57 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 18:01:57 MSK

Выхлоп ps aux залей куда-нибудь

~~xtraeft~~ ★★☆☆
(09.04.14 18:06:33 MSK)

Ответ на: комментарий от xtraeft 09.04.14 18:06:33 MSK

> ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  10648   788 ?        Ss   12:27   0:00 init [2]  
root         2  0.0  0.0      0     0 ?        S    12:27   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    12:27   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S    12:27   0:00 [kworker/u:0]
root         6  0.0  0.0      0     0 ?        S    12:27   0:00 [migration/0]
root         7  0.0  0.0      0     0 ?        S    12:27   0:00 [watchdog/0]
root         8  0.0  0.0      0     0 ?        S<   12:27   0:00 [cpuset]
root         9  0.0  0.0      0     0 ?        S<   12:27   0:00 [khelper]
root        10  0.0  0.0      0     0 ?        S    12:27   0:00 [kdevtmpfs]
root        11  0.0  0.0      0     0 ?        S<   12:27   0:00 [netns]
root        12  0.0  0.0      0     0 ?        S    12:27   0:00 [sync_supers]
root        13  0.0  0.0      0     0 ?        S    12:27   0:00 [bdi-default]
root        14  0.0  0.0      0     0 ?        S<   12:27   0:00 [kintegrityd]
root        15  0.0  0.0      0     0 ?        S<   12:27   0:00 [kblockd]
root        16  0.0  0.0      0     0 ?        S    12:27   0:00 [kworker/0:1]
root        17  0.0  0.0      0     0 ?        S    12:27   0:00 [khungtaskd]
root        18  0.0  0.0      0     0 ?        S    12:27   0:00 [kswapd0]
root        19  0.0  0.0      0     0 ?        SN   12:27   0:00 [ksmd]
root        20  0.0  0.0      0     0 ?        SN   12:27   0:00 [khugepaged]
root        21  0.0  0.0      0     0 ?        S    12:27   0:00 [fsnotify_mark]
root        22  0.0  0.0      0     0 ?        S<   12:27   0:00 [crypto]
root        93  0.0  0.0      0     0 ?        S    12:27   0:00 [khubd]
root        97  0.0  0.0      0     0 ?        S<   12:27   0:00 [ata_sff]
root       133  0.0  0.0      0     0 ?        S    12:27   0:00 [scsi_eh_0]
root       134  0.0  0.0      0     0 ?        S    12:27   0:00 [scsi_eh_1]
root       140  0.0  0.0      0     0 ?        S    12:27   0:00 [kworker/u:1]
root       170  0.0  0.0      0     0 ?        S<   12:27   0:00 [md]
root       185  0.0  0.0      0     0 ?        S    12:27   0:00 [kjournald]
root       328  0.0  0.0  21604  1556 ?        Ss   12:27   0:00 udevd --daemon
root       439  0.0  0.0  21516  1124 ?        S    12:27   0:00 udevd --daemon
root       451  0.0  0.0      0     0 ?        S    12:27   0:00 [vballoon]
root       454  0.0  0.0      0     0 ?        S<   12:27   0:00 [kpsmoused]
root       456  0.0  0.0  21516  1128 ?        S    12:27   0:00 udevd --daemon
root       507  0.0  0.0      0     0 ?        S    12:27   0:00 [kworker/0:2]
root      1366  0.0  0.0      0     0 ?        S    12:27   0:00 [kjournald]
root      1894  0.0  0.0  52776  1500 ?        Sl   12:27   0:00 /usr/sbin/rsyslogd -c5
root      1935  0.0  0.0   4116   624 ?        Ss   12:27   0:00 /usr/sbin/acpid
root      1971  0.0  0.5 186992 10592 ?        Ss   12:27   0:00 /usr/sbin/apache2 -k start
daemon    2028  0.0  0.0  16672   152 ?        Ss   12:27   0:00 /usr/sbin/atd
root      2045  0.0  0.0  12988   432 ?        Ss   12:27   0:00 /sbin/mdadm --monitor --pid-file /run/mdadm/monitor.pid --daemonise --scan --syslog
root      2061  0.0  0.0  21808  1036 ?        Ss   12:27   0:00 /usr/sbin/cron
ntp       2138  0.0  0.1  39072  2320 ?        Ss   12:27   0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 104:106
proftpd   2164  0.0  0.0  98788  2044 ?        Ss   12:27   0:00 proftpd: (accepting connections)              
root      2167  0.0  0.0   4180   652 ?        S    12:27   0:00 /bin/sh /usr/bin/mysqld_safe
root      2236  0.0  0.0  49928  1216 ?        Ss   12:27   0:00 /usr/sbin/sshd
mysql     2546  0.0  2.0 363096 42056 ?        Sl   12:27   0:04 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/run/mysqld/mysqld.sock --port=3306
root      2547  0.0  0.0   4088   628 ?        S    12:27   0:00 logger -t mysqld -p daemon.error
root      2744  0.0  0.0  52160  1504 tty1     Ss   12:27   0:00 /bin/login --     
root      2745  0.0  0.0  17656   932 tty2     Ss+  12:27   0:00 /sbin/getty 38400 tty2
root      2746  0.0  0.0  17656   940 tty3     Ss+  12:27   0:00 /sbin/getty 38400 tty3
root      2747  0.0  0.0  17656   936 tty4     Ss+  12:27   0:00 /sbin/getty 38400 tty4
root      2748  0.0  0.0  17656   936 tty5     Ss+  12:27   0:00 /sbin/getty 38400 tty5
root      2749  0.0  0.0  17656   936 tty6     Ss+  12:27   0:00 /sbin/getty 38400 tty6
root      2750  0.0  0.0      0     0 ?        S    12:28   0:00 [flush-254:0]
root      2751  0.0  0.1  21524  2840 tty1     S+   12:28   0:00 -bash
root      4062  0.0  1.0  78312 21644 ?        Ss   12:50   0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
www-data  5487  0.0  0.3 187288  7696 ?        S    14:39   0:00 /usr/sbin/apache2 -k start
www-data  5489  0.0  0.4 187576  8616 ?        S    14:41   0:00 /usr/sbin/apache2 -k start
www-data  5490  0.0  0.4 187292  8356 ?        S    14:41   0:00 /usr/sbin/apache2 -k start
www-data  5491  0.0  0.3 187236  8240 ?        S    14:42   0:00 /usr/sbin/apache2 -k start
www-data  5553  0.0  0.4 187300  8436 ?        S    14:53   0:00 /usr/sbin/apache2 -k start
www-data  5558  0.0  0.4 187256  8288 ?        S    14:53   0:00 /usr/sbin/apache2 -k start
www-data  5590  0.0  0.3 187236  7504 ?        S    14:53   0:00 /usr/sbin/apache2 -k start
www-data  7330  0.1  0.3 187104  7328 ?        S    16:08   0:00 /usr/sbin/apache2 -k start
www-data  7333  0.0  0.3 187104  7096 ?        S    16:08   0:00 /usr/sbin/apache2 -k start
www-data  7334  0.2  0.3 187104  7328 ?        S    16:08   0:00 /usr/sbin/apache2 -k start
root      7369  1.0  1.2  81200 24884 ?        S    16:09   0:00 /usr/share/webmin/shell/index.cgi
root      7374  0.0  0.0   4180   576 ?        S    16:09   0:00 sh -c (ps aux) 2>&1
root      7375  0.0  0.0  15308  1092 ?        R    16:09   0:00 ps aux

Таки я лошара?

~~dk-~~ ☆
(09.04.14 18:11:33 MSK) автор топика

Тем временем я обновил пароли на мыле, хетцнере, и заказа новую впску. Надо файло перетащить. Всего-то 70гб.

~~dk-~~ ☆
(09.04.14 18:12:23 MSK) автор топика

Ссылка

Ответ на: комментарий от dk- 09.04.14 18:11:33 MSK

Ничего лишнего не видно, я надеялся что повезет и все просто будет
Ты уверен, что у тебя только статика? Посмотри левые php файлы.

и заказа новую впску.

А реинсталл старой нельзя что ли сделать?

~~xtraeft~~ ★★☆☆
(09.04.14 18:18:56 MSK)
Последнее исправление: xtraeft 09.04.14 18:19:37 MSK (всего исправлений: 1)

Ответ на: комментарий от xtraeft 09.04.14 18:18:56 MSK

А реинсталл старой нельзя что ли сделать?

Так затрет же все файлы же.

Ты уверен, что у тебя только статика? Посмотри левые php файлы.

100% в моих сайтах рнр используется _только_ для инклудов заголовков и футеров. Писал все сам в блокноте. Сто лет назад. Никакой админки и обмена данными нет вообще.

~~dk-~~ ☆
(09.04.14 18:21:26 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 18:21:26 MSK

netstat -nltpu

ntp попробуй потуши

handbrake ★★★
(09.04.14 18:26:32 MSK)

Ответ на: комментарий от handbrake 09.04.14 18:26:32 MSK

> netstat -nltpu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      4062/perl       
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2236/sshd       
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2546/mysqld     
tcp6       0      0 :::80                   :::*                    LISTEN      1971/apache2    
tcp6       0      0 :::21                   :::*                    LISTEN      2164/proftpd: (acce
tcp6       0      0 :::22                   :::*                    LISTEN      2236/sshd       
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           4062/perl       
udp        0      0 78.47.130.68:123        0.0.0.0:*                           2138/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           2138/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2138/ntpd       
udp6       0      0 2a01:4f8:d13:160e:::123 :::*                                2138/ntpd       
udp6       0      0 fe80::21c:14ff:fe01:123 :::*                                2138/ntpd       
udp6       0      0 ::1:123                 :::*                                2138/ntpd       
udp6       0      0 :::123                  :::*                                2138/ntpd

Что это значит?)

~~dk-~~ ☆
(09.04.14 18:39:20 MSK) автор топика

Ответ на: комментарий от dk- 09.04.14 18:39:20 MSK

Это значит, что туры у вас лучше, чем админ. Это затычка, смотри, станет ли лучше.

chkconfig ntp off

ssh лучше перевесь на другой порт,сначала убедись что новый порт не зарезан фаером.
С текущей организацией сайта иметь вас может пол-инета.

handbrake ★★★
(09.04.14 18:52:39 MSK)

Ответ на: комментарий от xtraeft 09.04.14 12:53:01 MSK

А из хецнера рекомендую валить.

tazhate ★★★★★
(09.04.14 18:54:10 MSK)

Ответ на: комментарий от tazhate 09.04.14 18:54:10 MSK

Уходя - валите всех. же.

handbrake ★★★
(09.04.14 18:56:16 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 →

←	-----BEGIN RSA PRIVATE KEY----- в прошивке от HP Integrated Lights-Out

Security

Брутфорс WP-шки и зараженные CentOS?

→

Похожие темы