Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

 

Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным.

Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы.

Починил.

Проходит дня 3-4 - ситуация повторилась вновь.

.htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов.

Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил.

Но чувствую что в какой то момент снова может оказаться такая беда.

Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня.

 

Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор?

Так же - как можно защитить сайт от вирусных атак?

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, empty сказал:

Перенес сайт на хостинг клиента

так а сайт вы делали? или вы просто перенесли?

1 минуту назад, empty сказал:

хостинг Hetcer

vds?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

рядом на аккаунте хоста вп не стоит случайно ? у меня у клинта такая хрень была что через вп лезли. удалили вп и все пропало

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, nikifalex сказал:

так а сайт вы делали? или вы просто перенесли?

vds?

 

Сайт делал я, домен клиентский, хостинг предыдущего руководителя, делал у себя на хостинге, потом перенес.

Вроде vds.

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, dedvjbed сказал:

рядом на аккаунте хоста вп не стоит случайно ? у меня у клинта такая хрень была что через вп лезли. удалили вп и все пропало

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

Перенести пока не вариант, потому что ещё полгода пользования, возврата средств они не делают а клиент платить заново не намерен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, empty сказал:

а клиент платить заново не намерен...

 

если клиент не намерен платить а вы не в курсе - лучше просто разойдитесь)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

возможно что с джумлы лезет. в общем помашите клиенту ручкой и пусть он сам там со своими помойками разруливает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, spectre сказал:

 

если клиент не намерен платить а вы не в курсе - лучше просто разойдитесь)

 

22 минуты назад, dedvjbed сказал:

возможно что с джумлы лезет. в общем помашите клиенту ручкой и пусть он сам там со своими помойками разруливает.

 

Понимаю и согласен, но они потом перейдут ко мне, это раз, и помимо директа сарафанное радио тоже работает и они мне уже двух клиентов привели, а могут ещё, так что мне лучше решить эту проблему и ещё сотрудничать.

 

Вы мне лучше скажите - знает кто что почитать, или где посмотреть какие ещё настройки сделать, помимо настройки прав, сокрытия админки, двойной аутентификации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если с других сайтов лезут то нечего вы не сделаете только переводить на отдельный аккаунт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, dedvjbed сказал:

если с других сайтов лезут то нечего вы не сделаете только переводить на отдельный аккаунт

Понял вас, спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если есть возможность, настройте open_basedir для каждого сайта в аккаунте на его корень, а не общую папку. Это может помочь, если лезет через дырявые плагины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если там vds то все что нужно это дать root доступ грамотному сисадмину. Он все сделает.

 

Делать же по советам форума - делать только больнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, nikifalex сказал:

Если там vds то все что нужно это дать root доступ грамотному сисадмину. Он все сделает.

 

Делать же по советам форума - делать только больнее.

Я вас понял, спасибо.

Но мне доступы не дадут, там админ сам умный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, empty сказал:

Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm

дополнения с варезопомойки ocmod.net - кандидат раз

 

8 часов назад, empty сказал:

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

еще кандидаты

 

в большинстве случаев все как обычно

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, AlexDW сказал:

дополнения с варезопомойки ocmod.net - кандидат раз

 

Про вот это не знал, спасибо. Вообще не думал что это варезник, просто в гугле вбил и все... Даже на вирустотал не проверил, моя ошибка, этот окмод будет удален.

По поводу того что с других аккаунтов лезет все уже узнал и работаю над этим.

Пароли все сложные.

А вот по поводу настроек фтп и прочего - спасибо.

Если ещё сделаю двухфакторную аутентификацию на админку - это очень поможет? Или не особо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, empty сказал:

Если ещё сделаю двухфакторную аутентификацию на админку - это очень поможет? Или не особо?

 

если пароль сложный, то смысла особиго в 2ф нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Вы комментируете как гость. Если у вас есть аккаунт, пожалуйста, войдите
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От Kapitoxaxa
      Ребята подскажите пожалуйста как это победить. Присутствует такая табличка только когда захожу на сайт через оперу.

    • От wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • От Umimart
      Нужен тот кто сможет разобраться!
      Хостинг прислал такую информацию: 
      C вашей услуги VDS-OVZ-Улёт 
      зафиксирована массовая рассылка почтовых сообщений. Мы подозреваем, что сервер рассылает спам, а это запрещено правилами предоставления наших услуг (https://firstvds.ru/company/documents/contract-vds-oferta, Приложение 1, раздел V).

      Сейчас исходящий почтовый трафик сервера автоматически заблокирован.

      ЭТО ЛЕГАЛЬНАЯ РАССЫЛКА?
      Если это легальная рассылка, то мы разблокируем 25 порт и добавим IP адрес вашего сервера в “белый” список.

      Для этого вам необходимо выполнить два условия:
      1. Ваш сервер должен быть на виртуализации KVM. Как сменить виртуализацию: https://firstvds.ru/technology/faq/openvz-kvm#shift

      2. Ответом на данное сообщение, отправьте детали рассылки:

      - Каким образом подписчики дают согласие на получение рассылки? (Согласно закону о рекламе, у вас должна быть информация о том, в какое время и с какого IP-адреса каждый пользователь дал подтверждение на рассылку. Иначе рассылка классифицируется как СПАМ)

      - Пример письма, где есть возможность быстро отписаться от рассылки.

      В случае обнаружения несоответствия полученных ответов действительности или при получении жалоб от Spamcop, Spamhaus и подобных сервисов разрешение на рассылку аннулируется.

      ВЫ НЕ ДЕЛАЕТЕ НИКАКИХ РАССЫЛОК?
      Если не вы инициировали эту рассылку, то ваш сервер взломан.
       
      Я ИМ ОТВЕТИЛ ЧТО НИКАКОЙ РАССЫЛКИ НЕ ДЕЛАЛ!!!
      ПОПРОСИЛ ПОМОЧЬ!!!
      ОНИ ОТВЕТИЛИ:
       
      В почтовой очереди более 32 тыс писем на отправку:
      [root@umimart /]# exim -bpc
      32489

      Пример свежих из них:
      0m 1.6K 1ebmSE-00009N-Gh <linnea.f@ehlektronik.ru>
      k.mahl@telia.com
      0m 1.6K 1ebmSE-00009Q-Hn <elvira.j@ehlektronik.ru>
      thungstrom@gmail.com
      0m 1.6K 1ebmSE-00009T-Ij <elvira.j@ehlektronik.ru>
      stephennie_91@hotmail.com
      0m 1.6K 1ebmSE-00009W-JS <linnea.f@ehlektronik.ru>
      hanseungsoo@gmail.com
      0m 1.6K 1ebmSE-00009Z-KA <elvira.j@ehlektronik.ru>
      emmanueltetteh@hotmail.com

      Заблокировал следующие спам-скрипты:
      /var/www/sergo/data/www/ehlektronik.ru/catalog/controller/event/oxhopcir.php
      /var/www/sergo/data/www/applemen.ru/admin/view/template/tool/zjnilwsb.php

      Однако все равно нужно провести чистку от вредоносных и спам-скриптов.
      Следующая команда покажет рассылающие скрипты из почтовых заголовков:
      grep -R 'X-PHP-Originating' /var/spool/exim/input/|awk '{print $3}'|grep php|awk -F : '{print $2}'|sort|uniq -c
      Временно остановили почтовый сервер exim, примите меры и завершите чистку.
      По окончании сообщите, пожалуйста.

      P.s. Еще подозрительные файлы:
      /var/www/sergo/data/www/applesweet.ru/xml.php
      /var/www/sergo/data/www/applemen.ru/xml.php
      /var/www/sergo/data/www/ehlektronik.ru/xml.php
       
      Проверка нашими администраторами платная:
      Стоимость проверки до 10 сайтов (на одном сервере, проверка части сайтов одного пользователя не производится) - 1000 рублей, свыше 10 сайтов - 1000 рублей/час.

      Однако предварительно надо будет выполнять ряд профилактических мер от повторного взлома:
      - Обновите все используемые CMS и все шаблоны/плагины/скрипты используемые на сайте, регулярно делайте обновления. 
      - Не используйте nulled-версии (не лицензионные) CMS. 
      - Смените пароли доступа по ftp и ssh. Меняйте пароли периодически и не используйте простые и одинаковые пароли. 
      - Создавая/изменяя пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующих правил: 
      - Длина пароля не менее 10 символов. 
      - Включайте в пароль заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), а также используйте специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.). 
      - Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе. 
      - Настройте резервное копирование сайтов. 
      - В файле конфигурации PHP (php.ini) добавьте disable_functions неиспользуемые у вас на сайтах функции: 
      disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source
    • От alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • От kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.