| Цитата | ||
|---|---|---|
написал:
Получил образ оф. BitrixVM, Арендовал хост, Развернул полученный образ без каких-либо изменений в конфигурацию. На сайт не заходили, На хостинг не заходили, На сервер не заходили. Залился майнер. Почистил через консоль на хостинге, никаких файловых менеджеров winscp, ssh и прочего. Вышел. Прошла неделя майнер снова там. |
В итоге я решил взяться сам, поднял все без вируов, и стал ждать пока появится майнер, проанализировал на время создания файлов майнера - все логи сервера, понял как они залезали: оказалось, что идущий в комплекте с VM "сайт по умолчанию" или default что-то там, который не использовался совсем и вообще не знаю зачем идет в комплекте и есть корень зла. Я то создавал новый в ext_www, а этот по умолчанию думал, что нужен для чего-то одному битриксу известому.
Так вот, "они" (хакеры, боты, скрипты и прочая нечисть) заходили на этот сайт по умолчанию, и так как заходили первыми - их ip вносился в белый список и получал полные права. Далее они разворачивали какое-то древнейшее забагованное допотопное года так из 2005 на битриксе, через уязвимости этого восстановленного сайта получали доступ уровня учетки bitrix и из под нее, делали себе доступ, прописывали свой ssl сертификат для доступа и далее уже ставили майнер и делали все, что могли. У меня есть все логи, разборы как они это делали, файлы, скрипты и прочее.
Собственно поэтому ничего проделанного дополнительно не помогало, ни дотошно сконфигурированный fail2ban, ни настройки фаервола, ни запреты на доступы к определенным возможно уязвимым файлам, ни запреты в php на разные enum и прочее, в моем случае хватило просто восстановить из резервной копии, грохнуть сайт по умолчанию, все обновить до последней актуальной версии, сменить все пароли - ппопробуйте и вы)
