Перейти к содержанию
ikochkin

Нехорошие люди видимо залили Шелл на сайт...

Рекомендуемые сообщения

Добрый вечер всем.

 

Сегодня на хосте с сайтом на Опенкарт нашли походу Шелл, залитый к нам. Кто залил - не известно, но есть одно предположение.

Когда залили - если верно наше предположение, но не более 2-3 недель назад, если предположение не верно, то тогда не известно.

 

Шел обнаружили благодаря антивирусу хостера, который поругался на один файл.Файл лежал в корне сайта, назывался License.php

 

Файл прикладываю к посту, если вдруг кому интересно взглянуть.

 

Вопрос, можно ли понять и как, мог ли где то еще в каких то файлах нагадить этот Шелл или лица, его воткнувшие.

Как можно почистить сайт от него, чтобы быть точно удостоверенным в том, что все в норме.

 

Мне поступило одно предложение, но оно основано на сносе всего сайта, и перестановке всего шаблона со всеми модулями. В этом подходе не нравится то, что в шаблон внесено не маленькое количество правок, и при такой зачистке все это похерится. правки делались разными людьми, какого то конкретного лога, что, где и как они делали, тоже нет.

 

Сайт сам только стартовал, и фактически денег и продаж еще не приносил. 

 

Посоветуйте плиз, какие варианты есть, выйти из этой ситуации с наименьшими потерями.

license.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возможно кто-то из тех кто вносил правки — поставил nulled плагин, чтобы не платить за него, вот и всплыл шелл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, drOC сказал:

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Это профилактические методы, топик стартеру они не помогут. Да и использование системы контроля версий автоматически удорожает стоимость разработки.

 

 

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, Yoda сказал:

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Нет. Сын путаете с opcache.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Только в репах пхп на дебиане/убунту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 31.01.2019 в 15:02, warezliker сказал:

Что можно предпринять...?

 

В 04.01.2019 в 10:05, spectre сказал:

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Это не дорого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 31.01.2019 в 15:02, warezliker сказал:

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Любить Варез ещё больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 09.02.2019 в 01:29, Yoda сказал:

Любить Варез ещё больше.

Лишь бы сказать что-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 09.02.2019 в 00:07, florapraktik сказал:

Это не дорого.

 

Да уже вопрос, вроде как, решен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 10.02.2019 в 10:44, warezliker сказал:

Лишь бы сказать что-нибудь.

Завидуйте молча!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Yoda сказал:

Завидуйте молча!

Я думаю, что, конкретно в вашем случае, завидовать особо нечему

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.