Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Нехорошие люди видимо залили Шелл на сайт...


ikochkin

Recommended Posts

Добрый вечер всем.

 

Сегодня на хосте с сайтом на Опенкарт нашли походу Шелл, залитый к нам. Кто залил - не известно, но есть одно предположение.

Когда залили - если верно наше предположение, но не более 2-3 недель назад, если предположение не верно, то тогда не известно.

 

Шел обнаружили благодаря антивирусу хостера, который поругался на один файл.Файл лежал в корне сайта, назывался License.php

 

Файл прикладываю к посту, если вдруг кому интересно взглянуть.

 

Вопрос, можно ли понять и как, мог ли где то еще в каких то файлах нагадить этот Шелл или лица, его воткнувшие.

Как можно почистить сайт от него, чтобы быть точно удостоверенным в том, что все в норме.

 

Мне поступило одно предложение, но оно основано на сносе всего сайта, и перестановке всего шаблона со всеми модулями. В этом подходе не нравится то, что в шаблон внесено не маленькое количество правок, и при такой зачистке все это похерится. правки делались разными людьми, какого то конкретного лога, что, где и как они делали, тоже нет.

 

Сайт сам только стартовал, и фактически денег и продаж еще не приносил. 

 

Посоветуйте плиз, какие варианты есть, выйти из этой ситуации с наименьшими потерями.

license.php

Надіслати
Поділитися на інших сайтах


Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Надіслати
Поділитися на інших сайтах

  • 4 weeks later...

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Надіслати
Поділитися на інших сайтах

10 минут назад, drOC сказал:

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Это профилактические методы, топик стартеру они не помогут. Да и использование системы контроля версий автоматически удорожает стоимость разработки.

 

 

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Надіслати
Поділитися на інших сайтах


22 часа назад, Yoda сказал:

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Надіслати
Поділитися на інших сайтах

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...
В 31.01.2019 в 15:02, warezliker сказал:

Что можно предпринять...?

 

В 04.01.2019 в 10:05, spectre сказал:

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Это не дорого.

Надіслати
Поділитися на інших сайтах


В 31.01.2019 в 15:02, warezliker сказал:

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Любить Варез ещё больше.

Надіслати
Поділитися на інших сайтах


  • 10 months later...

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php

Надіслати
Поділитися на інших сайтах


14 часов назад, Goxa сказал:

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php 65 \u043a\u0411 · 2 downloads

 

Это удобный файловый менеджер. Не исключено, что какой-то разработчик использовал его для работ, но не удалил. Если сайт заражен, то обращайтесь. Очистка с гарантией на 1 год.

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.