denis94

Mam podobny problem. Na mojej stronie przebywa około 200 użytkowników i strona praktycznie nie ładuje się wcale. Ustawiłem w configu MaxClients 50 lecz nawet taka liczba procesów zdała się na marne. W jaki sposób można temu zaradzić?

Posiada ktoś może jakąś świeżą opinię?

Mam zamiar przenieść swój portal do home.pl lecz mam pewne obawy. Mój znajomy posiada u nich już business server pro lecz bardzo często zamiast jego strony widzę error 503. W internecie znalazłem również to http://www.blog.wortale.net/30-Blad-503---czyli-jak-robia-ludzi-w-konia---3-wrzesien.html

Co o tym myślicie?

Dodatkowo około 20-50 razy dziennie zamiast swojej strony widzę

Internal Server Error.

Support twierdzi, ze wszystko jest ok.

Witam.

Mam zamiar przenieść swoją stronę na jeden z serwerów wirtualnych ovh.

Na stronie jest średnio 130 osób online.

Zużywam średnio 60GB transferu miesięcznie.

Zastanawia mnie to, że liczba jednoczesnych połączeń do bazy danych to tylko 10.

Czy to starczy?

No tak oczywiście, wiem, że się da.

Chodziło mi tutaj o to, że mój skrypt nie ma takiej opcji.

Zostały też skradzione pliki z poza katalogu public_html

Poproś o przeniesienie na inny serwer, jeśli znowu będziesz miał włamania to napewno będzie wina skryptu.

Za pomocą skryptu nie da się pobrać, żadnego pliku.

Skrypt nie pracuje na plikach i nie ma w nim żadnego jakiegokolwiek kodu odpowiedzialnego za otwieranie, edycje, kasowanie, zapisywanie czy pobieranie piku.

Koleżanka, brat, siostra...

Nie ma takiej opcji.

Osoba która umieściła skradzione pliki na swoim serwerze pochodzi z Poznania, ja z Warszawy.

Pliki na 101% wyciekły z serwera a nie z mojego komputera.

Możliwe, że wpuszczono jakiegoś rootkita który zrobił co miał zrobić a potem posprzątał po sobie logi skoro w nich nic nie ma...

A ja nadal muszę walczyć...

Posiadam konto hostingowe które nawet nie ma dostępu do ssh a mimo to włamywacz pobrał wszystkie pliki z mojego konta, umieścił je na swoim serwerze pod prawie identycznie domeną i podaje się za autora

W logach ftp które dostałem od hostingodawcy widnieje tylko moje ip.

Skoro w logach ftp nic nie ma... pliki musiały się wydostać inaczej....

Sprawa wraz ze wszystkimi logami z wszystkich włamań które zaczęły się już w styczniu trafiła na policję oraz do CERT.

W 1and1 nie ma niektórych funkcji które są już standardem.

Zadzwoniłem do nich zapytać czy jest u nich funkcja wildcard do dynamicznego tworzenia subdomen ale przy telefonie siedziała tak tępa kobieta, że nie wiedziała o czym ja do niej w ogóle mówię.

Postanowiłem napisać email, po 12 dniach odpisali, że "zapytają się o wildcard w jakimś tam dziale i odpiszą", oczywiście nie odpisali do dziś a ja o wildcard mogę sobie pomarzyć. Szkoda tylko, że serwer już kupiłem....

ODRADZAM

Witam. Przeprowadziłem kolejne testy.

Na kilka godzin usunąłem pliki z serwera tak więc moje skryptu nie było. Zmieniłem hasła. W tym czasie było logowanie do phpmyadmin zarejestrowane w logach apache tak więc moim zdaniem wyjaśnia to, że problem leży wyżej.

Oprócz tego skontaktowałem się ze znajomym znającym się na rzeczy, wykonującym częściowe lub całkowite audyty bezpieczeństwa który zaoferował mi pomoc.

Po wstępnych oględzinach stwierdził, że priorytetową sprawą to zaktualizowanie oprogramowania na serwerze w tym mysql oraz apache które są nieaktualne.

Istnieje również prawdopodobieństwo podatności serwera na buffer overflow i jutro zostanie to przez niego sprawdzone.

W ten weekend były kolejne 2 włamy

Po połączenie z bazą usuwam zmienne za pomocą unset. Czy można je jakoś wyświetlić skoro są usuwane odrazu po połączaniu z bazą?

Wgląd do kodu.. Hmm Trochę tego jest, bo w sumie to można to nazwać CMS-em.

Włamanie do bazy - przechowuję na serwerze plik z danymi do bazy i w jakiś sposób atakujący być może mógł je wydobyć ale...

Ale włamanie do ftp wydaje się nie możliwe ponieważ żaden skrypt który posiadam nie wykorzystuje ftp a tym bardziej w żadnym pliku na serwerze nie przychowuję hasłą do ftp więc w jaki inny sposób atakujący mógł je zdobyć?

Miłoszu. Posiadasz własny hosting czy twoim zdaniem jest możliwe wydobycie hasła do ftp gdy żaden skrypt z niego nie korzysta?

Tez to robiłem a ciasteczka są usuwane po każdym zamknięciu przeglądarki. Niestety on musi mieć jakiś inny sposób wyciągania haseł.

Witaj. Zastosowałem się do twoich rad.

5 godzin po formacie komputera atakujący zalogował się do phpmyadmin.

Administrator zupełnie nie chce współpracować od razu twierdzi, że to moja wina i mam radzić sobie sam.

A co jeżeli plik config znajduje sie poza katalogiem public_html i nie da się go w żaden sposób wyświetlić za pomocą przeglądarki lub pobrać? Dostęp do config jest tylko z poziomu ftp.

Niczego nie można wykluczać ale stronę posiadam na serwerze wirtualnym i sam nie mam dostępu do administratora DA.

Administracja hostingu raczej nie udostępniła by hasła osobie trzeciej a jeżeli nawet to przecież zauważyła by to, że osoba korzysta z ich konta.

Dobrze, PRZYJMIJMY, że skrypt ma dziurę który w jakiś sposób pozwala wyświetlić te dane bazy i w taki sposób atakujący wchodzi do phpmyadmin ale cały czas nie mogę pojąć w jaki sposób był on zdolny zmienić treść plików na serwerze? W bazie danych nie są przechowywane dane kont ftp.

Czy skanowanie popularnymi antywirusami może pomóc wykryć ewentualnego keylogera na komputerze?

Skanowałem wiele razy, zaopatrzyłem się w dodatkowe firewale, poblokowałem numery ip, hosty lecz nic z tego

Witam. Współpracuję ze stroną portalradiowy.pl. Problem dotyczy również mnie, praktycznie zawsze kiedy włamano się na portalradiowy.pl moja strona również jest atakowana.

Hasła są zmieniane niemal codziennie.

Atakujący raz wyedytował moje pliki php umieszczając w nich złośliwy kod który o określonej dacie, miał wykonać zapytanie do bazy usuwające rekordy.

Największy problem to to, że atakujący bez żadnego problemu wchodzi sobie do phpmyadmin i robi w nim co chce.

W logach apache widzę, że osoba normalnie loguje się do phpmyadmin otrzymując token.

Serwer jest zarządzany przez administrację hostingu. Twierdzą oni, że jest w pełni zabezpieczony i nie jest możliwe aby komukolwiek udało się włamać do phpmyadmin. Logi ftp nic nie wykazują.

Strona posiada zabezpieczenia przed sqlinjection i nie stoi na tym samym serwerze co portalradiowy.pl a w zupełnie innej firmie.

Nie zrozumiałe jest dla mnie w jaki sposób atakujący potrafi wyedytować pliki i skąd posiada hasła do konta ftp oraz bazy danych (nie zostawiając po sobie żadnego śladu).

Hasła ftp są zmieniane bardzo często i nie są używane w żadnym skrypcie, znam je tylko ja.

Wraz z kolegą jesteśmy bezradni.

Strona przestała działać sama a w testowym pliku mam tylko to

<?php
echo "test";
?>

i występuje error 500.

Inne pliki działają, nie działa tylko php.

Posiadam darmowy pakiet na dzień dobry a ty?

Od kilku godzin nie działa u nich php

Jak narazie od 2 dni próbuję uruchomić swoje konto. Jak widać pan z redhosti woli przesiadywać na tym forum (sprawdziłem kiedy był ostatnio) niż zajmować się klientami o odpisywać na emaile. Chat online nie działa a odpowiedź na email uzyskuję tylko raz dziennie, taka to jest z nimi rozmowa. Pierwsze wrażenie nowego klienta: olewają klientów, support bardzo słaby. Zobaczymy co będzie dalej.

Dzięki ustawiłem limit, dwa dni i narazie wszystko jest ok

Ta komenda działać działa ale po kilku wywołaniach przestaje.

Tearz używam:

/usr/local/bin/php /home/user/domains/domena.pl/cron3.php

ale problem jest podobny. Po kilku odpaleniach skryptu przez crona potem nie odpala się zostawiając kilkanaście uruchomionych procesów.

Skoro timeout powinien zabijać skrypty nic nie robiące to czy w takim razie jest to wina złej konfiguracji serwera?

W pliku tym znajduje się tylko połączenie z bazą oraz zapytanie dodające rekord do bazy. No właśnie najdziwniejsze jest to, że taki pliczek php powinien być uruchomiony maksymalnie 5 sekund a jego proces nie zamyka się przez kilka godzin. Dodałem wpis crona z twoją komendą, zobaczę czy coś się zmieni.

Dzięki za zainteresowanie pozdrawiam.