share hosting?
i kakvu pošast imaš?
Da ti nije negdje u cron nešto zapisano?
Da, nasljeđen je sa svim tim projektima i cilj je to počistiti i dovesti u kakav takav red. Eventualno preseliti i na drugi hosting, ali to je u prvom koraku puno posla.
Nisam joj vadio DNK, ali širi se po svim file-ovima i folderima. Radi hrpu svojih malih skriptica po svuda …i injekta se u skoro sve postojeće .php skripte. Hvala Bogu samo injekta, ne dira postojeći code u smislu da ga mijenja. Barem to nisam opazio.
Izgleda dosta strašno i ručno bi bilo preteško počistiti. Tako da sam napravio python programčić koji to automatski čisti i čini se da sam ga dotjerao u final state. Barem izgleda da sve čisti, saznat ću.
Ali da bi saznao, moram moći izolirati očišćeni projekt od ostalih zaraženih. Jer znam da zaraženi projekti imaju dozvolu pisati izvan sebe i da to rade. To sam testirao i to se 100% dešava.
Ma nije, ali zato je zapisano na jedno drugih 10 000 mjesta. (50x200).
Nije problem u tome gdje je zapisano, nego u tome kako prvo reći malicioznom kodu “Ne”, a onda jednog po jednog ubijat.
Jer ovako su kao oni čarobnjaci iz warcrafta…koji su imali onu magiju da di dižu svoju mrtvu vojsku.
U borbi protiv takve vojske, prvo je trebalo ubijati čarobnjake da im se makne magija…tek onda vojnika po vojnika.
Pristupam tom metodom i ovdje. 
Sada ovako sa mobitela i bez googlanja ti mogu reći da r/w permisije imaju više instanci. Trebaš podesiti vlasnika svakog projekta chown , pa onda i njihove permisije . Tako ćeš projektima dati mogućnost da sami rade izmjene koje su prihvaćene, a zabraniti ćeš skriptama njihove radnje …
Ako si an shared hostingu onda ne samo da se kuga siri po tvojim folderima nego vjerojatno i po susjednim, hahaha, to je boljka shared hostinga. A vjerojatno je i ta kuga dosla od susjeda.
Ako si siguran da si ti doveo kugu onda ostani na tom hostingu, ako nisi bjezi odande ko vrag od tamjana jer badava cistis.
E sad kako bi ja to napravio:
Kupio neki paket naprimejr na digitaloceanu
Prebacio projekt po projekt na njega i za svaki projekt napravio poseban racun i username i da samo taj username kao sto je komentar napisao ima pravo pisat po tom projektu. Onda bi ga pocistio. provjerio da je pociscen i tek onda prebacio drugi projekt sa drugim usernameom i cjelim racunom i pocistio i tako dalje. E sad ako su ti projekti bitni ima se smisla to raditi ako nisu mozda najbolej delete all i baciti u kos jer akos e kuga siri iz fodlera u fodler bez obzira sto ti radis na razini cpanela ako kuga to radi preko roota onda i badava permissione slazes.
1 Like
Nisam siguran da sam te najbolje razumio…tj. da je to ono sto trazim.
Znaci nakon tog podesenja skripte iz foldera koje pripadaju jednom vlasniku mogu pisati samo po folderima toga vlasnika?
Ako je tako, onda je to to.
Neznam bas da si u pravu…mislim da svaki share hosting mora imati podesene permisione od accounta do accounta, inace nebi niti jedan mogao postojati. Jerbo po tvome ja bi mogao svima napraviti sra** zato jer mi se danas baš da ići okolo po share hostingu i brisati malo ljudima sto imaju.
Ne kazem da propust ne moze biti i na toj razini…ali takav host je davno vec propao u svoj dar-mar.
Ako moze godaddy si to dozvolit moze svatko…
Citaj komentare. Pa nece oni zaposlit sysadmina i dat mu placu 10 000$ mjesecno pa tebi prodat hosting za 3 dolara godisnje…
Mozes jos googlat. p.s. u ovom gore je rjesenje promjeniti ftp password, hahaha, neki haker je hakirao 150 passworda (citaj hakirao je samo jedan)
P.S. i to nije napravio manualno nego je to sve bot odradio…
P.S.S. badava ti mjenjas passworde kada on ima onaj glavni, odnosno, on mjenja permissione kako njemu pase…
Shared hosting na cpanelu ne radi tako. Svaki nalog je je jedan user. Useri ne mogu citat i posat podatke drugih usera.
Ako mogu onda server nije pravilno podesen i treba bjezat od takvog hosta.
Ako je sve na cpanel addon domenama onda je to sve jedan user i normalno je da se svemu ima pristup na tom nalogu.
Edit:
U stvari posto si rekao folderima onda si u pravu, kuga se moze siriti po svim folderima tog usera
Uzeo bi jaci stroj na digital oceanu i slozio sve u dockere, jedan projekt jedan docker.
Moze svatko naravno, ali nema potrebe nagadjat oko takvih stvari.
Napravio sam noobie projekt, stavio ga sa zaštitom na folderu i pratim.
Pošto znam da unutar svježeg noobie projekta sigurno nemam maliciozni code …te ako se nešto pojavi unutra, onda je očigledno da server ima propuste. U suprotnom sve se širi “legitimno” jer nitko nije ni zaključao vrata. A izvor kuge je najvjerovatnije neki od WP site-ova.
Nakon što se postave pravilno zaštite na svaki projekt, onda će se odati i izvori kuge, zato jer će se unutar njih najezditi kuga, dok u ostalim projektima neće.
Sirac kuge nije user vec superuser. I nije toliko ni problem u serveru vec u malicioznim codovima koji dozvoljavaju propuste. Badava tebi antivirusni, firewalovi, ovaj oni softwer koji te stiti od kuge ako ti sam instaliras maliciozni code i pokrenes ga.
@bozoou
Nemozes znati dali se kuga siri 100% osim ako cekas, ponekad kuga miruje mjesec dana, ponekad pola godine, neke se sire samo na odredjeni datum, sve ovisi o tome koliko veliki troll je kreator. I to je kao sto kazes vjerojatno WP site donio, neki lik instalirao neki plugin koji je shebao server. A ako se kuga siri po WP sitevima onda i nije tak strasno ako nemas WP, ali ako imas WP i prosirilo se na tvoje projekte onda je to vec strasno.
Te kuge rade na bazi spidera, napravi ga i pusti da crawla i svi sitevi su hakirani automatski, kugac niti nezna a niti ga interesira koje siteve je shebo. S jedne strane ga podrzavam, jer kao sto si ti u prijasnjem postu napisao on moze brisat foldere sto rijetko tko radi ili gotovo nitko. Obicno rade deface koji u krajnjem slucaju nema neke stete, ili pa rade da zarade injectanjem adsa, cookiesa, backlinkova ili kako su vec mastoviti…
Nije on u pravu i ne priča/piše ispravno.
Cek, ja nisam u pravu? Ne psiem ja da budem u pravu ili u krivu, ne nagadjam, ja pisem ono sto je. Stavio sma i linkove ako vas zanima mogu jos linkova zakacit gdje je server pao zbog malicioznog coda i sirila se kuga bas kao sto je napisao @bozoou
Davno jos tamo prije desetak godina mozda i vise i sam sam imao susret sa kugom i Godaddy super zasticenim serverima…
Od onda sam na svom VPSu kojeg sam sam zastitio i koji je doslovno neprobojan, no eto i takav server gdje si netko dade truda i uzme vremena da zastiti i dalje moze biti hakiran, bas kao sto sam i gore naveo.
Eto zbog jednog plugina kojeg sam dozvolis nepomaze ti nista… na vrijeme sam reagirao i steta nije napravljena zahvalkjujuci @Base koji mi je skrenuo paznju na to.
No ako kazes da krivo pricam onda napisi sto to krivo pricam i kako je tocno, jer ovako niti si @Hellas u pomogao niti meni, a najmanje @bozoou
1 Like
Svjestan sam i toga…ali vrlo lako je saznati ponešto i o tome.
Ako stavim n broj foldera i svi se oni zaraze unutar dva dana…a ne zaraze se samo oni koji su dobili zabranjen permission za pisanje po njima…onda je više nego jasno što se tu dešava.
Izlistaj zapisane datoteke, vidi koji korisnik je owner. Kasnije kreiraj novog korisnika, pa sa njim folder i pogledaj hoć li u tom folderu biti novih zapisa. Ako ne bude, pokušaj sve te (ili neke ) foldere pridružiti tom novom korisniku.
I još nešto, tog korisnika (već postojećeg koji pravi probleme) izbaci iz wheel grupe (ako je u njoj)
Gdje to vidim?
Nego, sada kada sam pokušao naći taj info, skužio sam zanimljiv detaljčić.
Naime, na tom hostu je bilo 100+ projekata od kojih je pola sada neaktivno. I ja sam nekidan išao redom i brisao sve koji su neaktivni, tako da mi ostanu samo oni koje treba pročistiti.
I što se desilo…nakon par dana su se vratili svi folderi koje sam obrisao. A u njima su bili samo maliciozni file-ovi, dok su originalni file-ovi projekta ostali obrisani.
To sam shvatio na način da je virus sebi negdje popisao putanje ka svojim malicioznim fileovima, pa ih je u nekom momentu sve obnovio. Ako se maliciozni file nalazio unutar nekog foldera, onda u tom procesu su nastali i folderi koji su sadržavli te fileove…a koje sam ja ranije obrisao.
Nego, sada kada sam bacio info na te maliciozne file-ove, piše:
Last modified: Jun 8, 2018, 1:27 PM
Hmm? Kako je moguće da virus “jučer” napravi file na kojem piše da je zadnji puta modificiran tamo u 2018-toj? 
…zapravo, sad sam testirao na kompu. Ako neki file samo kopiram sa jednog mjesta na drugi …onda ostane isto “Last Modifed” vrijeme. Što će reći da virus ima negdje te fileove od kuda ih kopira i raseljava xd. A folderi koji su pri tome nastali imaju očekivano “Last Modifed” vrijeme od nekidan. Sve štima, heh.
U tom slučaju moram imati i karantenu
Morao bi prvo imati jednog korisnika koji će predstavljati karantenu…i tek onda ako folder ne pokaže maliciozno ponašanje u karanteni, tek onda ga puštati među “ozdravljene”.
Jerbo bez karantene bi mogao imati propust kod čišćenja foldera, pa i dalje zaraženi folder pustiti među netom ozdravljene…pa se svi opet povampire. “Vampir” je ovdje odgovarajuća riječ…baš se tako ponašaju. Dižu mrtve i neartikulirano luduju. xd Doduše ne piju krv, ali nije fora kada klijent dođe na svoju web stranicu, a otvori mu se pornjava. Da ne kažem, ima tu i političkih stranica i nije im bilo milo vidjeti da su ponekada u ulozi pornjave, heh.
cPanel permission nad folderima radi zaštite od virusa
ovo je naslov topica, ala nam se smiju ti trolovi ako citaju, ali naravno ne citaju jer ih nezanima.
To povimparenje sam pisao gore ono se moze trigirat na vise nacina cron jobom, databasom, codom u fileu. Vjerojatno sa svim trime ako jedno obrises onda se sve vrati na staro preko druge dve metode. A vracaju vjerojatno jer su skinuli backup, bas da trolaju lose pokusaje ciscenja, kad pomislis da si sve pocistio oni sve vrate na staro. Vec sam napisao koji je prvi korak kad ti host hakiran, maknut ga sa tog hosta, ako nemas VPS onda odi na neki drugi shared. Tek nakon toga mozes cistiti. Ali je veliak fora da ti kad maknes na drugi shared da je vrlo moguce da ces zaraziti i susjede na tom drugom sharedu pa tako i sebe. I onda one tri metode database, cdoe u fileu i cron job dobivaju trecu metodu, odnosno potenciju susjeda koji isto ima tri metode i tako u krug…
NO ja pricam o crnim scenarijima i o toem kako bi taj virus ako je dobro napravljen trebao djelovati, a mozda nije, mozda je simple, mozda samo obrises i enma ga, ali cim si napisao da se on vraca i restora fileove onda je vjerojatnije riejc o gadnijem virusu.
P.S. Molio bih moderatora da promjeni naslov jer je komican, permission and folderima radi zastite… LOL