Извините, совсем не понимаю таких людей как вы, исходя из вашего написанного комментария. Ваш настрой не понятен. Ну почему же «неочем» и «заниматься всякой ерундой»? Вам разве не интересно было узнать того, что раньше вы не знали? Времени и так у всех программистов мало. Возможно однажды кому то это поможет решить проблему спама на своем сервере. Никто не говорил что это мега крутой вирусный скрипт, можно и лучше написать. «Правильно настроенный сервр» — это как? Откуда вы знаете какое назначение сервера и для чего он используется? Я так же могу поднять сервер на статике и закрыть наглуго все порты кроме 80 и сказать — пожалуйста ломайте. Если проект один, еще как то можно постоянно за ним следить, но если их очень много — это почти не реально.
Суть написания данного поста заключалась в донесении до владельцев серверов, что у них вот такая штука завелась. Ну не выложить же просто список IP адресов и сказать что вот — зараженные, правда? Хабр читает очень много людей. Думаю хоть кто то да и узнает свой IP из списка и исправит ситуацию. Вот я например не знаю что делать с таким списком зараженных IP, а вы? Просто полечить себя, забыть про остальных и ничего не делать? Мне так же интересно как заразили сайт на чистом Wordpress без экзотических плагинов и лично написанной темой, своими руками. И опыта много в программировании, а как то и заразили. В ближайшее свободное время все выясним и напишем об этом, если это проблема самого движка а не ошибка программиста.
Думаю, что стоит сообщать а не молчать. Что бы грамотно все настроить и поддерживать — нужно очень много свободного времи. По поводу сервера: один раз настроили — все супер, защищено, со временем нужно еще какую то «фичу» прикрутить. Что то забыли прикрыть, что то пропустили в конфиге и получаете… Согласен, если 1 раз настроить сервер для одного проекта и не трогать сервер годами то все будет защищено и боятся нужно будет только DDoS (И то, такое условие не всегда работает, например кто то нашел баг в коде OS или коде какого то демона, взломали сервер, если уязвимость позволяет. Просто так взломали, что бы сделать ваш сервер частью спам ботнета).
Все всегда по разному. Бывает вылазит там где этого не ожидаешь. Нет 100% гарантии что следующая версия например Wordpress — идеально защищенная и без дырок. Можно использовать только свой 1 сервер для одного сайта, без соседей (не виртуальный хост, можно выделенный, или на виртуальной машине) и только свой самописный код или свою CMS, где полный код своей CMS можно вместить в голове и прокрутить несколько раз что бы не оставить уязвимых мест. И все равно, понимаете какая штука, не взломают код, взломают FTP, SSH, брутом подберут пароль, украдут пароль…
— Если сайты свои, старые и нет пока что времени разбираться, можете закрыть все ненужные для работы сайта папки (например: плагинов, кеша, дополнительных библиотек) паролем через htaccess файл с длинным и хорошим паролем. Для статики через файл htaccess можно и вовсе выключить обработку php скриптов (картинки, стили, html, кеш, файлы сессий и т. д.);
— Выставьте корректные права на чтение, запись и выполнение php файлов;
— Обратитесь за помощью к хорошему системному администратору, у них обычно есть пара проверенных решений по поиске webshell-ов в коде;
— На крайний случай поставьте новый чистый движок на новый хостинг, поставьте заново все модули, свои наработки перенесите руками проверяя каждый файл, а базу данных руками или скриптом перенести не проблема. Главное что бы и в базе было чисто и не записывалось в какой то исполняемый файл. Так же можно по базе данных поискать по слову eval.
>Выглядит как минимум интересно, а в чем подвох?
Никакого подвоха нет.
>Я бы не стал хранить свои таски и таски каких то клиентов на другом сервере. На другом бесплатном сервере, что означает отсутствие каких обязательств вами передо мной. Опять же на сайте нет никаких ваших реальных контактов. Отдавать свои таски бесплатно да и еще не известно кому извольте.
Возможно вы правы но извините, пока только так. Будем надеяться все только начинается.
>Отдавать свои таски бесплатно да и еще не известно кому извольте.
Полное ваше право. Но здесь нет никакие злостных направлений. Идея — поделиться с публикой.
>Выше сказанное написано не с целью вас обидеть или поддеть, но именно такие мыли приходят первыми в голову.
Нет, не обидели) пишите пожалуйста. Возможно как то в будущем будут лучшие условия для вас, что бы вы могли пользоваться системой без этих мыслей. Например: присутствие реальных контактов или же наличии платной версии.
Вы же понимаете что практически никакой сервис не несет гарнтий? Даже банки не застрахованы от банкротства. Да, физический реальный адрес обязательно нужен но нет причин для того, что бы не пользоваться бесплатным сервисом. На эту тему можно много разговаривать но такова реальность.
Монетизация не на первом месте, система писалась как «для себя» и используется ежедневно. Хабрахабр дал возможность показать это все публике за что ему большое спасибо. Возможно монетизация и будет в будущем но на функциональности никак это не скажется. Разве что будут какие то дополнительные и эксклюзивные фишки за дополнительную оплату.
>P.S. слишком много синего. Не понятно где ссылка а где просто текст
Очень скоро можно будет настраивать внешний вид системы под себя и очень гибко.
Суть написания данного поста заключалась в донесении до владельцев серверов, что у них вот такая штука завелась. Ну не выложить же просто список IP адресов и сказать что вот — зараженные, правда? Хабр читает очень много людей. Думаю хоть кто то да и узнает свой IP из списка и исправит ситуацию. Вот я например не знаю что делать с таким списком зараженных IP, а вы? Просто полечить себя, забыть про остальных и ничего не делать? Мне так же интересно как заразили сайт на чистом Wordpress без экзотических плагинов и лично написанной темой, своими руками. И опыта много в программировании, а как то и заразили. В ближайшее свободное время все выясним и напишем об этом, если это проблема самого движка а не ошибка программиста.
Думаю, что стоит сообщать а не молчать. Что бы грамотно все настроить и поддерживать — нужно очень много свободного времи. По поводу сервера: один раз настроили — все супер, защищено, со временем нужно еще какую то «фичу» прикрутить. Что то забыли прикрыть, что то пропустили в конфиге и получаете… Согласен, если 1 раз настроить сервер для одного проекта и не трогать сервер годами то все будет защищено и боятся нужно будет только DDoS (И то, такое условие не всегда работает, например кто то нашел баг в коде OS или коде какого то демона, взломали сервер, если уязвимость позволяет. Просто так взломали, что бы сделать ваш сервер частью спам ботнета).
Все всегда по разному. Бывает вылазит там где этого не ожидаешь. Нет 100% гарантии что следующая версия например Wordpress — идеально защищенная и без дырок. Можно использовать только свой 1 сервер для одного сайта, без соседей (не виртуальный хост, можно выделенный, или на виртуальной машине) и только свой самописный код или свою CMS, где полный код своей CMS можно вместить в голове и прокрутить несколько раз что бы не оставить уязвимых мест. И все равно, понимаете какая штука, не взломают код, взломают FTP, SSH, брутом подберут пароль, украдут пароль…
— Если сайты свои, старые и нет пока что времени разбираться, можете закрыть все ненужные для работы сайта папки (например: плагинов, кеша, дополнительных библиотек) паролем через htaccess файл с длинным и хорошим паролем. Для статики через файл htaccess можно и вовсе выключить обработку php скриптов (картинки, стили, html, кеш, файлы сессий и т. д.);
— Выставьте корректные права на чтение, запись и выполнение php файлов;
— Обратитесь за помощью к хорошему системному администратору, у них обычно есть пара проверенных решений по поиске webshell-ов в коде;
— На крайний случай поставьте новый чистый движок на новый хостинг, поставьте заново все модули, свои наработки перенесите руками проверяя каждый файл, а базу данных руками или скриптом перенести не проблема. Главное что бы и в базе было чисто и не записывалось в какой то исполняемый файл. Так же можно по базе данных поискать по слову eval.
Никакого подвоха нет.
>Я бы не стал хранить свои таски и таски каких то клиентов на другом сервере. На другом бесплатном сервере, что означает отсутствие каких обязательств вами передо мной. Опять же на сайте нет никаких ваших реальных контактов. Отдавать свои таски бесплатно да и еще не известно кому извольте.
Возможно вы правы но извините, пока только так. Будем надеяться все только начинается.
>Отдавать свои таски бесплатно да и еще не известно кому извольте.
Полное ваше право. Но здесь нет никакие злостных направлений. Идея — поделиться с публикой.
>Выше сказанное написано не с целью вас обидеть или поддеть, но именно такие мыли приходят первыми в голову.
Нет, не обидели) пишите пожалуйста. Возможно как то в будущем будут лучшие условия для вас, что бы вы могли пользоваться системой без этих мыслей. Например: присутствие реальных контактов или же наличии платной версии.
Вы же понимаете что практически никакой сервис не несет гарнтий? Даже банки не застрахованы от банкротства. Да, физический реальный адрес обязательно нужен но нет причин для того, что бы не пользоваться бесплатным сервисом. На эту тему можно много разговаривать но такова реальность.
Спасибо за комментарий.
>P.S. слишком много синего. Не понятно где ссылка а где просто текст
Очень скоро можно будет настраивать внешний вид системы под себя и очень гибко.