Forum PHP.pl

Witam. Mam pewien problem, mianowicie ktoś włamał mi się na serwer i podpiął mi się do pliku config.php jednej strony (w pliku zmieniłem dane na błędne i zarówno moja jak i ta druga witryna przestały działać). Ten ktoś również kupił sobie domenę i postawił identyczną stronkę, a co najgorsze pobiera wszystkie dane z mojej bazy. Moje pytanie brzmi jak znaleźć gdzie jest plik na serwerze, który odwołuje się do config.php i łączy się z bazą?

Może jakieś inne rozwiązania?
Mam dedyka, był dobrze zabezpieczony, ale po awarii w serwerowni porobili mi takiego pasztetu, że jedna strona jest skopiowana w kilku katalogach i dopiero muszę to czyścić (oni odmówili przywrócenia wszystkiego do wcześniejszej formy). Może ktoś podpowie gdzie szukać w logach, która domena pobiera informacje z danej bazy.
Jeśli ktoś ma jakiś pomysł to z góry dziękuję za podzielenie się nim.

skoro dane pobiera ( a nie pobrał raz) to szukaj w logach "dziwnych" odwołać, jakiś skryptów (pewnie php).
możesz za pomocą grep wyszukać pliki, które się "odwołuje" do twojego pliku (ścieżki) - aczkolwiek osobiście w takim wypadku bym zamaskowała to w takim skrypcie :-)

a na szybko jeśli znasz domenę to znasz IP - zablokuj go na firewallu

ps. napisz jeszcze, bo może się przydać taka informacja - jakim cudem awaria w serwerowni miała wpływ na zawartość dysku w twojej maszynie ?

Próbuję wyszukać ścieżkę, ale nie znajduje mi nic co by pomogło. Blokowanie Adresu ip zostawię na później, bo teraz testuję niektóre pliki i sprawdzam czy czasem tej strony nie ma u mnie na serwerze, ale trudno przekopać tyle folderów nie będąc do tego jeszcze ekspertem (nie wiem gdzie szukać).

Nie jestem ekspertem w administracji dedykami, dlatego powiedzcie jak laikowi, które logi (ścieżka) przeglądać, gdzie można umieścić stronę, żeby nie była widoczna ani w panelu DA, w jakich plikach dodawać domeny ręcznie, aby je zamaskować i wszystko co wam przyjdzie do głowy.

Ps. W momencie kiedy dodawałem linijkę w htaccess wywaliło błąd u mnie i na tamtej stronie również.


W odpowiedzi na Twoje pytanie ctom

"ps. napisz jeszcze, bo może się przydać taka informacja - jakim cudem awaria w serwerowni miała wpływ na zawartość dysku w twojej maszynie ?"

Nie wiem jakim cudem, ale po awarii nagle padła mi jedna ze stron, za cholerę nie udało się nic zrobić, administratorzy napisali mi, że w plikach coś się pomieszało bo zapytania sql wykonują się w pętli. Do tego jeszcze strona wcale nie działała, tylko biała strona i zero błędów (oczywiście display_errors ON) . Sprawdzałem cache, czyściłem, sprawdzałem konfigurację i nic. Potem doszedłem, że niektórych plików brakuje, ale to i tak już było po fakcie . Skoro brakowało plików to pewnie przekopiowali z dysku lub jakiegoś backup'a i to nie wszystkie. Strona mi nie działała ponad 14 dni zanim przeniosłem bazę na inny silnik.

Ten post edytował Axel88 5.08.2015, 16:09:49

znasz domenę - sprawdź na jaki serwer wskazuje

jak na Twój to sprawdź pliki konfiguracyjne apacha (zakładam, że taki masz serwer www) zobacz czy jakieś inne vhosty nie są includowane

Lipne dane - nie ma takiej firmy


REGISTRANT:
company: Intraverum
street: ul. Antoniewska 91 5
city: 02-977 Warszawa
location: pl
last modified: 2013.04.18

Host to 104.28.23.7

zoe.ns.cloudflare.com [173.245.58.149] US
lee.ns.cloudflare.com [173.245.59.129] US

nameservers: lee.ns.cloudflare.com.
zoe.ns.cloudflare.com.
created: 2014.11.04 08:59:08
last modified: 2014.11.04 11:02:51
renewal date: 2015.11.04 08:59:08

no option

dnssec: Unsigned




REGISTRAR:
nazwa.pl S.A.
ul. Cystersów 20A
31-553 Kraków
Polska/Poland
+48.801 33 22 33
+48.12 297 88 10
+48.12 297 88 08
kontakt@nazwa.pl
www.nazwa.pl

Pisałem do nazwy to również mnie olali, pisali, że nic nie mogą zrobić.

Już nie wiem co i gdzie zrobić (IMG:style_emoticons/default/sad.gif)


Zauważyłem w pliku passwd coś takiego, może ktoś objaśnić?
Nie wygląda mi to poprawnie

A możesz objśnić, jak pozyskałeś zawartośc /etc/shadow? Jeśli jest to współdzielona maszyna to nie świadczy dobrze o umiejetnosciach administratora.

A tak btw to zacznijmy od tego, co za skrypt obsluguje te Twoje witryny?

W pierwszym poście napisałem, że mam "dedyka", czyli serwer dedykowany, więc mam dostęp do wszystkiego. Skrypty stron są różne i do tego zmodyfikowane.