Jump to content
Sign in to follow this  
ikochkin

Нехорошие люди видимо залили Шелл на сайт...

Recommended Posts

Добрый вечер всем.

 

Сегодня на хосте с сайтом на Опенкарт нашли походу Шелл, залитый к нам. Кто залил - не известно, но есть одно предположение.

Когда залили - если верно наше предположение, но не более 2-3 недель назад, если предположение не верно, то тогда не известно.

 

Шел обнаружили благодаря антивирусу хостера, который поругался на один файл.Файл лежал в корне сайта, назывался License.php

 

Файл прикладываю к посту, если вдруг кому интересно взглянуть.

 

Вопрос, можно ли понять и как, мог ли где то еще в каких то файлах нагадить этот Шелл или лица, его воткнувшие.

Как можно почистить сайт от него, чтобы быть точно удостоверенным в том, что все в норме.

 

Мне поступило одно предложение, но оно основано на сносе всего сайта, и перестановке всего шаблона со всеми модулями. В этом подходе не нравится то, что в шаблон внесено не маленькое количество правок, и при такой зачистке все это похерится. правки делались разными людьми, какого то конкретного лога, что, где и как они делали, тоже нет.

 

Сайт сам только стартовал, и фактически денег и продаж еще не приносил. 

 

Посоветуйте плиз, какие варианты есть, выйти из этой ситуации с наименьшими потерями.

license.php

Share this post


Link to post
Share on other sites

Возможно кто-то из тех кто вносил правки — поставил nulled плагин, чтобы не платить за него, вот и всплыл шелл.

Share this post


Link to post
Share on other sites

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Share this post


Link to post
Share on other sites

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Share this post


Link to post
Share on other sites
10 минут назад, drOC сказал:

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Это профилактические методы, топик стартеру они не помогут. Да и использование системы контроля версий автоматически удорожает стоимость разработки.

 

 

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Share this post


Link to post
Share on other sites
22 часа назад, Yoda сказал:

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Share this post


Link to post
Share on other sites
23 минуты назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Нет. Сын путаете с opcache.

Share this post


Link to post
Share on other sites
4 часа назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Только в репах пхп на дебиане/убунту.

Share this post


Link to post
Share on other sites

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Share this post


Link to post
Share on other sites
В 31.01.2019 в 15:02, warezliker сказал:

Что можно предпринять...?

 

В 04.01.2019 в 10:05, spectre сказал:

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Это не дорого.

Share this post


Link to post
Share on other sites
В 31.01.2019 в 15:02, warezliker сказал:

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Любить Варез ещё больше.

Share this post


Link to post
Share on other sites
В 09.02.2019 в 01:29, Yoda сказал:

Любить Варез ещё больше.

Лишь бы сказать что-нибудь.

Share this post


Link to post
Share on other sites
В 09.02.2019 в 00:07, florapraktik сказал:

Это не дорого.

 

Да уже вопрос, вроде как, решен.

Share this post


Link to post
Share on other sites
В 10.02.2019 в 10:44, warezliker сказал:

Лишь бы сказать что-нибудь.

Завидуйте молча!

Share this post


Link to post
Share on other sites
16 часов назад, Yoda сказал:

Завидуйте молча!

Я думаю, что, конкретно в вашем случае, завидовать особо нечему

 

Share this post


Link to post
Share on other sites

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php

Share this post


Link to post
Share on other sites
14 часов назад, Goxa сказал:

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php 65 \u043a\u0411 · 2 downloads

 

Это удобный файловый менеджер. Не исключено, что какой-то разработчик использовал его для работ, но не удалил. Если сайт заражен, то обращайтесь. Очистка с гарантией на 1 год.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.