Нехорошие люди видимо залили Шелл на сайт...

[ikochkin]

Добрый вечер всем.

 

Сегодня на хосте с сайтом на Опенкарт нашли походу Шелл, залитый к нам. Кто залил - не известно, но есть одно предположение.

Когда залили - если верно наше предположение, но не более 2-3 недель назад, если предположение не верно, то тогда не известно.

 

Шел обнаружили благодаря антивирусу хостера, который поругался на один файл.Файл лежал в корне сайта, назывался License.php

 

Файл прикладываю к посту, если вдруг кому интересно взглянуть.

 

Вопрос, можно ли понять и как, мог ли где то еще в каких то файлах нагадить этот Шелл или лица, его воткнувшие.

Как можно почистить сайт от него, чтобы быть точно удостоверенным в том, что все в норме.

 

Мне поступило одно предложение, но оно основано на сносе всего сайта, и перестановке всего шаблона со всеми модулями. В этом подходе не нравится то, что в шаблон внесено не маленькое количество правок, и при такой зачистке все это похерится. правки делались разными людьми, какого то конкретного лога, что, где и как они делали, тоже нет.

 

Сайт сам только стартовал, и фактически денег и продаж еще не приносил. 

 

Посоветуйте плиз, какие варианты есть, выйти из этой ситуации с наименьшими потерями.

license.php

[denisweeks]

Возможно кто-то из тех кто вносил правки — поставил nulled плагин, чтобы не платить за него, вот и всплыл шелл.

[spectre]

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

[drOC]

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

[Yoda]

10 минут назад, drOC сказал:

Для ssh используйте ограничение попыток входа с помощью fail2ban, двухфакторную аутентификацию. Ограничение по IP и использование сертификатов.

Для безопасности и исходников сайта - систему контроля версий, например, GIT с последующей валидацией посредством crontab.

По возможности, ограничение доступа по IP для админки посредством htaccess, captcha, 2fa и тд.

Не используйте варезные скрипты.

По возможности, обновляйте систему, используя модификаторы vQmod/OCmod вместо правок в исходниках ядра.

Это профилактические методы, топик стартеру они не помогут. Да и использование системы контроля версий автоматически удорожает стоимость разработки.

 

 

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

[Flint2000]

22 часа назад, Yoda сказал:

В данном случае необходима чистка системы, смена всех паролей и для пущей уверенности  в спокойном  сне крайне  желательно поставить suhosin на сервер 

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

[Yoda]

23 минуты назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Нет. Сын путаете с opcache.

[destreser]

4 часа назад, Flint2000 сказал:

Если я не ошибають, то в php 5.6 suhosin интегрирован в сборку

Только в репах пхп на дебиане/убунту.

[warezliker]

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

[florapraktik]

В 31.01.2019 в 15:02, warezliker сказал:

Что можно предпринять...?

 

В 04.01.2019 в 10:05, spectre сказал:

Могу квалифицированно проверить сайт на шеллы-вирусы и прочую фигню

плюс сделать необходимые действия по безопасности 

Это не дорого.

[Yoda]

В 31.01.2019 в 15:02, warezliker сказал:

Аналогично, нашли шелл на сайте. Модули там вряд-ли при делах - сайт не трогали уже очень давно, а шеллу буквально пару недель. Шелл удалили.

Чем можно посканировать сайт или директорию с файлами сайта, чтобы понять, есть ли еще зловреды?

Что можно предпринять, чтобы шелл не залили повторно?

Любить Варез ещё больше.

[warezliker]

В 09.02.2019 в 01:29, Yoda сказал:

Любить Варез ещё больше.

Лишь бы сказать что-нибудь.

[warezliker]

В 09.02.2019 в 00:07, florapraktik сказал:

Это не дорого.

 

Да уже вопрос, вроде как, решен.

[Yoda]

В 10.02.2019 в 10:44, warezliker сказал:

Лишь бы сказать что-нибудь.

Завидуйте молча!

[warezliker]

16 часов назад, Yoda сказал:

Завидуйте молча!

Я думаю, что, конкретно в вашем случае, завидовать особо нечему

 

[Goxa]

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php

[halfhope]

14 часов назад, Goxa сказал:

У меня такая же ситуация, хостеры нашли public_html/admin/sh.php. Мы только обновились до 2.3 в праздники, шаблон- лицензия, все дополнения - лицензия...Ставят авторы и такая ситуация. Вот файл, может кто что подскажет...

sh.php 65 \u043a\u0411 · 2 downloads

 

Это удобный файловый менеджер. Не исключено, что какой-то разработчик использовал его для работ, но не удалил. Если сайт заражен, то обращайтесь. Очистка с гарантией на 1 год.