Search the Community

Добрый день. Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным. Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы. Починил. Проходит дня 3-4 - ситуация повторилась вновь. .htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов. Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил. Но чувствую что в какой то момент снова может оказаться такая беда. Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня. Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор? Так же - как можно защитить сайт от вирусных атак? Спасибо!

Нужен тот кто сможет разобраться! Хостинг прислал такую информацию: C вашей услуги VDS-OVZ-Улёт зафиксирована массовая рассылка почтовых сообщений. Мы подозреваем, что сервер рассылает спам, а это запрещено правилами предоставления наших услуг (https://firstvds.ru/company/documents/contract-vds-oferta, Приложение 1, раздел V).Сейчас исходящий почтовый трафик сервера автоматически заблокирован.ЭТО ЛЕГАЛЬНАЯ РАССЫЛКА?Если это легальная рассылка, то мы разблокируем 25 порт и добавим IP адрес вашего сервера в “белый” список.Для этого вам необходимо выполнить два условия:1. Ваш сервер должен быть на виртуализации KVM. Как сменить виртуализацию: https://firstvds.ru/technology/faq/openvz-kvm#shift2. Ответом на данное сообщение, отправьте детали рассылки:- Каким образом подписчики дают согласие на получение рассылки? (Согласно закону о рекламе, у вас должна быть информация о том, в какое время и с какого IP-адреса каждый пользователь дал подтверждение на рассылку. Иначе рассылка классифицируется как СПАМ)- Пример письма, где есть возможность быстро отписаться от рассылки.В случае обнаружения несоответствия полученных ответов действительности или при получении жалоб от Spamcop, Spamhaus и подобных сервисов разрешение на рассылку аннулируется.ВЫ НЕ ДЕЛАЕТЕ НИКАКИХ РАССЫЛОК? Если не вы инициировали эту рассылку, то ваш сервер взломан. Я ИМ ОТВЕТИЛ ЧТО НИКАКОЙ РАССЫЛКИ НЕ ДЕЛАЛ!!! ПОПРОСИЛ ПОМОЧЬ!!! ОНИ ОТВЕТИЛИ: В почтовой очереди более 32 тыс писем на отправку:[root@umimart /]# exim -bpc32489Пример свежих из них:0m 1.6K 1ebmSE-00009N-Gh <[email protected]>[email protected] 1.6K 1ebmSE-00009Q-Hn <[email protected]>[email protected] 1.6K 1ebmSE-00009T-Ij <[email protected]>[email protected] 1.6K 1ebmSE-00009W-JS <[email protected]>[email protected] 1.6K 1ebmSE-00009Z-KA <[email protected]>[email protected]Заблокировал следующие спам-скрипты:/var/www/sergo/data/www/ehlektronik.ru/catalog/controller/event/oxhopcir.php/var/www/sergo/data/www/applemen.ru/admin/view/template/tool/zjnilwsb.phpОднако все равно нужно провести чистку от вредоносных и спам-скриптов.Следующая команда покажет рассылающие скрипты из почтовых заголовков:grep -R 'X-PHP-Originating' /var/spool/exim/input/|awk '{print $3}'|grep php|awk -F : '{print $2}'|sort|uniq -cВременно остановили почтовый сервер exim, примите меры и завершите чистку.По окончании сообщите, пожалуйста.P.s. Еще подозрительные файлы:/var/www/sergo/data/www/applesweet.ru/xml.php/var/www/sergo/data/www/applemen.ru/xml.php/var/www/sergo/data/www/ehlektronik.ru/xml.php Проверка нашими администраторами платная:Стоимость проверки до 10 сайтов (на одном сервере, проверка части сайтов одного пользователя не производится) - 1000 рублей, свыше 10 сайтов - 1000 рублей/час.Однако предварительно надо будет выполнять ряд профилактических мер от повторного взлома:- Обновите все используемые CMS и все шаблоны/плагины/скрипты используемые на сайте, регулярно делайте обновления. - Не используйте nulled-версии (не лицензионные) CMS. - Смените пароли доступа по ftp и ssh. Меняйте пароли периодически и не используйте простые и одинаковые пароли. - Создавая/изменяя пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующих правил: - Длина пароля не менее 10 символов. - Включайте в пароль заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), а также используйте специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.). - Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе. - Настройте резервное копирование сайтов. - В файле конфигурации PHP (php.ini) добавьте disable_functions неиспользуемые у вас на сайтах функции: disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source

Добрый день уважаемые пользователи OpenCart. Открываю эту тему с целью собрать и предоставить максимальную информацию о том как обеспечить свой сайт. По возможности максимально буду отвечать на разные вопросы и обсуждать разные алгоритмы их решения.

Доброго времени суток. Не могу решить проблему с защитой папки админ паролем. Переименовал саму папку, переписал пути к ней. Далее создал файл .htaccess в этом каталоге. В нем прописал следующее: AuthType Basic AuthName "Access Denied" require valid-user Это для проверки, без пути файла с паролями. Но уже тут, на этапе проверки, получил не предложение авторизоваться, а 404. Что примечательно, в корневом каталоге, в .htaccess включен mod_rewrite (RewriteEngine On). В нем прописаны урлы до гугл сайтмап, редирект папки download на 404, склейка дублей главной страницы и закрытие логов error.txt. Если временно удалить этот htaccess, то 404 с админки пропадает. Если же его вернуть, но очистить htaccess из папки admin, 404 так же нет. Происходит какой то конфликт правил редиректов основного htaccess с admin/htaccess. Никак не могу разобраться где подвох...

Друзья нужен совет! Недавно наш интернет магазин полностью скопировали и разместили на другом домене. Причем судя по всему скопированы данные были не в статике а полностью со скриптами и бд. Мы написали письма хостинговой компании где все это лежит, также в яндекс и так далее. Хотел бы понять есть ли способы защиты от таких вещей? Сменить пароль на фтп и mysql это все понятно. Но хотелось бы реализовать систему как на платных движках, примерно такую: на отдельном хостинге лежит файлик в котором прописан наш домен. При загрузке сайта происходит запрос к этому файлу, если названия доменов совпадают то сайт работает. Если есть другие решения поделитесь пожалуйста.