- Регистрация
- 20 Ноя 2013
- Сообщения
- 564
- Реакции
- 132
- Автор темы
- Заблокирован
- #1
На сайте кто то менять данные, пароль менял, от всего, проверил на шелы, удалили что было лишнее + выставил права, ну не помогло подскажите что может быть
Помощь Меняют данные на сайте
- Автор темы Trafim6021
- Дата начала
- Регистрация
- 20 Ноя 2016
- Сообщения
- 1.933
- Решения
- 3
- Реакции
- 4.231
- Модер.
- #2
Такие вещи обычно тянут на мини-расследование.
Включайте логи сервера, FTP, базы данных.
Один из вариантов поиска: Смотрите в какое время меняются данные в БД в нужной вам таблице и по логам сервера ищите, что происходило в это время, обращение по нестандартным URL, к примеру.
Ещё как вариант - вытянуть бэкап сайта и сравнить его с чистой установкой пофайлово. Так можно найти новые файлы, которых нет в стандартной поставке и измененные файлы.
Возможно у вас открыт внешний доступ к БД. Проверьте.
Поищите функцию Eval в файлах CMS.
Если у вас свой сервер или VDS - смотрите логи SSH. Всё ли там в порядке с безопасностью.
Как-то, уже давно, пробегал вопрос с логированием действий пользователей Для просмотра ссылки Войдиили Зарегистрируйся, поищите по форуму.
Включайте логи сервера, FTP, базы данных.
Один из вариантов поиска: Смотрите в какое время меняются данные в БД в нужной вам таблице и по логам сервера ищите, что происходило в это время, обращение по нестандартным URL, к примеру.
Ещё как вариант - вытянуть бэкап сайта и сравнить его с чистой установкой пофайлово. Так можно найти новые файлы, которых нет в стандартной поставке и измененные файлы.
Возможно у вас открыт внешний доступ к БД. Проверьте.
Поищите функцию Eval в файлах CMS.
Если у вас свой сервер или VDS - смотрите логи SSH. Всё ли там в порядке с безопасностью.
Как-то, уже давно, пробегал вопрос с логированием действий пользователей Для просмотра ссылки Войди
Последнее редактирование:
- Регистрация
- 20 Ноя 2013
- Сообщения
- 564
- Реакции
- 132
- Автор темы
- Заблокирован
- #3
Как проверить и закрыть доступ к базе и включить логирование
- Регистрация
- 20 Ноя 2016
- Сообщения
- 1.933
- Решения
- 3
- Реакции
- 4.231
- Модер.
- #4
В принципе, всё это гуглится.
Но если хотите подробнее, то дайте дополнительную информацию, тогда более конкретные действия предложу.
У вас где расположен сайт ? Шаред хостинг ( если так то на каком ), свой сервер (или VDS/VPS), если свой, то какая OS установлена ?
MySQL или MariaDB и версия?
Ну и версию SimplaCMS на всякий случай.
Какие данные меняют ? Возможно проще есть способ отследить.
Но если хотите подробнее, то дайте дополнительную информацию, тогда более конкретные действия предложу.
У вас где расположен сайт ? Шаред хостинг ( если так то на каком ), свой сервер (или VDS/VPS), если свой, то какая OS установлена ?
MySQL или MariaDB и версия?
Ну и версию SimplaCMS на всякий случай.
Какие данные меняют ? Возможно проще есть способ отследить.
- Регистрация
- 20 Ноя 2013
- Сообщения
- 564
- Реакции
- 132
- Автор темы
- Заблокирован
- #5
vps debian MySQL SimplaCMS версию не помню
- Регистрация
- 20 Ноя 2016
- Сообщения
- 1.933
- Решения
- 3
- Реакции
- 4.231
- Модер.
- #6
Откройте конфиг MySQL редактором, которым пользуетесь.
К примеру nano:
nano /etc/mysql/my.cnf
найдите блок [mysqld] и в его конец добавьте строку:
log=/var/log/mysql.log
Проверте есть ли у вас этот файл по заданному пути, если нет, то создайте
и установите права:
# touch /var/log/mysql.log
# chown mysql:mysql /var/log/mysql.log
Перезапустите MySQL, если пользуетесь панелью, то через панель.
Если нет, то командой:
/etc/init.d/mysql restart
Получите логи вида:
В строке Connect указан пользователь, выполняющий запрос
По логу ищите запросы update вида:
то есть ищите выражение UPDATE `имя_нужной_таблицы`
Смотритие время запроса и сверяетесь с логом Web-сервера.Что там в это время происходило.
Не включайте больше чем на несколько суток, может съесть всё свободное место.
Чтобы не править файл конфига, когда потребуется временно отключить логирование,
используйте команду.
# mysql
mysql> SET GLOBAL general_log = 'OFF';
Соответственно, если потребуется снова включить
SET GLOBAL general_log = 'ON';
Всё это без перезапуска MySQL.
Когда закончите расследование, то закомментируйте в конфиге строчку log=
По поводу доступа извне:
Если есть Phpmyadmin то под root зайдите и посмотрите вкладку "Пользователи"
Если вы не подключаетесь к MySQL извне, а у вас в графе Хост, кроме имени localhost, есть ещё значения типа % или Ip-адреса прописаны, то вас это должно насторожить.
В общем случае достаточно прибить таких пользователей, только не удалите root и юзеров, от имени которых работают ваши сайты, но у них должно быть localhost в этой графе.
Или посмотрите через командную строку, запустив клиента mysql:
SELECT User,Host FROM mysql.user;
Также можно прописать запрещающие правила в Iptables, или убрать разрешающие.
И в /etc/mysql/my.cnf убрать или изменить строку bind-address.
Ну и всякое бывает:
У вас лишних пользователй на серевере нет? Посмотрите на всякий случай.
cat /etc/passwd
Есть ещё более изящный способ логирования:
Можно повесить на таблицы триггеры, которые будут писать в другую таблицу лог при операциях UPDATE. Поэтому и спрашивал, какие данные у вас меняют.
К примеру nano:
nano /etc/mysql/my.cnf
найдите блок [mysqld] и в его конец добавьте строку:
log=/var/log/mysql.log
Проверте есть ли у вас этот файл по заданному пути, если нет, то создайте
и установите права:
# touch /var/log/mysql.log
# chown mysql:mysql /var/log/mysql.log
Перезапустите MySQL, если пользуетесь панелью, то через панель.
Если нет, то командой:
/etc/init.d/mysql restart
Получите логи вида:
Код:
Tcp port: 3306 Unix socket: /var/run/mysqld/mysqld.sock
Time Id Command Argument
170122 21:55:01 1 Connect debian-sys-maint@localhost on
1 Quit
2 Connect debian-sys-maint@localhost on
2 QuitПо логу ищите запросы update вида:
Код:
45 Query UPDATE `имя_нужной_таблицы` SETСмотритие время запроса и сверяетесь с логом Web-сервера.Что там в это время происходило.
Не включайте больше чем на несколько суток, может съесть всё свободное место.
Чтобы не править файл конфига, когда потребуется временно отключить логирование,
используйте команду.
# mysql
mysql> SET GLOBAL general_log = 'OFF';
Соответственно, если потребуется снова включить
SET GLOBAL general_log = 'ON';
Всё это без перезапуска MySQL.
Когда закончите расследование, то закомментируйте в конфиге строчку log=
По поводу доступа извне:
Если есть Phpmyadmin то под root зайдите и посмотрите вкладку "Пользователи"
Если вы не подключаетесь к MySQL извне, а у вас в графе Хост, кроме имени localhost, есть ещё значения типа % или Ip-адреса прописаны, то вас это должно насторожить.
В общем случае достаточно прибить таких пользователей, только не удалите root и юзеров, от имени которых работают ваши сайты, но у них должно быть localhost в этой графе.
Или посмотрите через командную строку, запустив клиента mysql:
SELECT User,Host FROM mysql.user;
Также можно прописать запрещающие правила в Iptables, или убрать разрешающие.
И в /etc/mysql/my.cnf убрать или изменить строку bind-address.
Ну и всякое бывает:
У вас лишних пользователй на серевере нет? Посмотрите на всякий случай.
cat /etc/passwd
Есть ещё более изящный способ логирования:
Можно повесить на таблицы триггеры, которые будут писать в другую таблицу лог при операциях UPDATE. Поэтому и спрашивал, какие данные у вас меняют.
Последнее редактирование: