Jump to content

Recommended Posts

Добрый день.

 

Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным.

Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы.

Починил.

Проходит дня 3-4 - ситуация повторилась вновь.

.htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов.

Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил.

Но чувствую что в какой то момент снова может оказаться такая беда.

Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня.

 

Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор?

Так же - как можно защитить сайт от вирусных атак?

 

Спасибо!

Share this post


Link to post
Share on other sites

Могу помочь в лс

Share this post


Link to post
Share on other sites
1 минуту назад, empty сказал:

Перенес сайт на хостинг клиента

так а сайт вы делали? или вы просто перенесли?

1 минуту назад, empty сказал:

хостинг Hetcer

vds?

 

Share this post


Link to post
Share on other sites

рядом на аккаунте хоста вп не стоит случайно ? у меня у клинта такая хрень была что через вп лезли. удалили вп и все пропало

Share this post


Link to post
Share on other sites
24 минуты назад, nikifalex сказал:

так а сайт вы делали? или вы просто перенесли?

vds?

 

Сайт делал я, домен клиентский, хостинг предыдущего руководителя, делал у себя на хостинге, потом перенес.

Вроде vds.

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

Share this post


Link to post
Share on other sites
25 минут назад, dedvjbed сказал:

рядом на аккаунте хоста вп не стоит случайно ? у меня у клинта такая хрень была что через вп лезли. удалили вп и все пропало

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

Перенести пока не вариант, потому что ещё полгода пользования, возврата средств они не делают а клиент платить заново не намерен...

Share this post


Link to post
Share on other sites
4 минуты назад, empty сказал:

а клиент платить заново не намерен...

 

если клиент не намерен платить а вы не в курсе - лучше просто разойдитесь)

Share this post


Link to post
Share on other sites

возможно что с джумлы лезет. в общем помашите клиенту ручкой и пусть он сам там со своими помойками разруливает.

Share this post


Link to post
Share on other sites
25 минут назад, spectre сказал:

 

если клиент не намерен платить а вы не в курсе - лучше просто разойдитесь)

 

22 минуты назад, dedvjbed сказал:

возможно что с джумлы лезет. в общем помашите клиенту ручкой и пусть он сам там со своими помойками разруливает.

 

Понимаю и согласен, но они потом перейдут ко мне, это раз, и помимо директа сарафанное радио тоже работает и они мне уже двух клиентов привели, а могут ещё, так что мне лучше решить эту проблему и ещё сотрудничать.

 

Вы мне лучше скажите - знает кто что почитать, или где посмотреть какие ещё настройки сделать, помимо настройки прав, сокрытия админки, двойной аутентификации.

Share this post


Link to post
Share on other sites

если с других сайтов лезут то нечего вы не сделаете только переводить на отдельный аккаунт

Share this post


Link to post
Share on other sites
17 минут назад, dedvjbed сказал:

если с других сайтов лезут то нечего вы не сделаете только переводить на отдельный аккаунт

Понял вас, спасибо!

Share this post


Link to post
Share on other sites

Если есть возможность, настройте open_basedir для каждого сайта в аккаунте на его корень, а не общую папку. Это может помочь, если лезет через дырявые плагины.

Share this post


Link to post
Share on other sites

Если там vds то все что нужно это дать root доступ грамотному сисадмину. Он все сделает.

 

Делать же по советам форума - делать только больнее.

Share this post


Link to post
Share on other sites
14 минут назад, nikifalex сказал:

Если там vds то все что нужно это дать root доступ грамотному сисадмину. Он все сделает.

 

Делать же по советам форума - делать только больнее.

Я вас понял, спасибо.

Но мне доступы не дадут, там админ сам умный.

Share this post


Link to post
Share on other sites
8 часов назад, empty сказал:

Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm

дополнения с варезопомойки ocmod.net - кандидат раз

 

8 часов назад, empty сказал:

На этом аккаунте ещё несколько пользователей, сайты с джумлой, возможно и с вордпрессом.

еще кандидаты

 

в большинстве случаев все как обычно

 

Share this post


Link to post
Share on other sites
16 часов назад, AlexDW сказал:

дополнения с варезопомойки ocmod.net - кандидат раз

 

Про вот это не знал, спасибо. Вообще не думал что это варезник, просто в гугле вбил и все... Даже на вирустотал не проверил, моя ошибка, этот окмод будет удален.

По поводу того что с других аккаунтов лезет все уже узнал и работаю над этим.

Пароли все сложные.

А вот по поводу настроек фтп и прочего - спасибо.

Если ещё сделаю двухфакторную аутентификацию на админку - это очень поможет? Или не особо?

Share this post


Link to post
Share on other sites
2 часа назад, empty сказал:

Если ещё сделаю двухфакторную аутентификацию на админку - это очень поможет? Или не особо?

 

если пароль сложный, то смысла особиго в 2ф нет

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Similar Content

    • By Kapitoxaxa
      Ребята подскажите пожалуйста как это победить. Присутствует такая табличка только когда захожу на сайт через оперу.

    • By wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • By Umimart
      Нужен тот кто сможет разобраться!
      Хостинг прислал такую информацию: 
      C вашей услуги VDS-OVZ-Улёт 
      зафиксирована массовая рассылка почтовых сообщений. Мы подозреваем, что сервер рассылает спам, а это запрещено правилами предоставления наших услуг (https://firstvds.ru/company/documents/contract-vds-oferta, Приложение 1, раздел V).

      Сейчас исходящий почтовый трафик сервера автоматически заблокирован.

      ЭТО ЛЕГАЛЬНАЯ РАССЫЛКА?
      Если это легальная рассылка, то мы разблокируем 25 порт и добавим IP адрес вашего сервера в “белый” список.

      Для этого вам необходимо выполнить два условия:
      1. Ваш сервер должен быть на виртуализации KVM. Как сменить виртуализацию: https://firstvds.ru/technology/faq/openvz-kvm#shift

      2. Ответом на данное сообщение, отправьте детали рассылки:

      - Каким образом подписчики дают согласие на получение рассылки? (Согласно закону о рекламе, у вас должна быть информация о том, в какое время и с какого IP-адреса каждый пользователь дал подтверждение на рассылку. Иначе рассылка классифицируется как СПАМ)

      - Пример письма, где есть возможность быстро отписаться от рассылки.

      В случае обнаружения несоответствия полученных ответов действительности или при получении жалоб от Spamcop, Spamhaus и подобных сервисов разрешение на рассылку аннулируется.

      ВЫ НЕ ДЕЛАЕТЕ НИКАКИХ РАССЫЛОК?
      Если не вы инициировали эту рассылку, то ваш сервер взломан.
       
      Я ИМ ОТВЕТИЛ ЧТО НИКАКОЙ РАССЫЛКИ НЕ ДЕЛАЛ!!!
      ПОПРОСИЛ ПОМОЧЬ!!!
      ОНИ ОТВЕТИЛИ:
       
      В почтовой очереди более 32 тыс писем на отправку:
      [root@umimart /]# exim -bpc
      32489

      Пример свежих из них:
      0m 1.6K 1ebmSE-00009N-Gh <linnea.f@ehlektronik.ru>
      k.mahl@telia.com
      0m 1.6K 1ebmSE-00009Q-Hn <elvira.j@ehlektronik.ru>
      thungstrom@gmail.com
      0m 1.6K 1ebmSE-00009T-Ij <elvira.j@ehlektronik.ru>
      stephennie_91@hotmail.com
      0m 1.6K 1ebmSE-00009W-JS <linnea.f@ehlektronik.ru>
      hanseungsoo@gmail.com
      0m 1.6K 1ebmSE-00009Z-KA <elvira.j@ehlektronik.ru>
      emmanueltetteh@hotmail.com

      Заблокировал следующие спам-скрипты:
      /var/www/sergo/data/www/ehlektronik.ru/catalog/controller/event/oxhopcir.php
      /var/www/sergo/data/www/applemen.ru/admin/view/template/tool/zjnilwsb.php

      Однако все равно нужно провести чистку от вредоносных и спам-скриптов.
      Следующая команда покажет рассылающие скрипты из почтовых заголовков:
      grep -R 'X-PHP-Originating' /var/spool/exim/input/|awk '{print $3}'|grep php|awk -F : '{print $2}'|sort|uniq -c
      Временно остановили почтовый сервер exim, примите меры и завершите чистку.
      По окончании сообщите, пожалуйста.

      P.s. Еще подозрительные файлы:
      /var/www/sergo/data/www/applesweet.ru/xml.php
      /var/www/sergo/data/www/applemen.ru/xml.php
      /var/www/sergo/data/www/ehlektronik.ru/xml.php
       
      Проверка нашими администраторами платная:
      Стоимость проверки до 10 сайтов (на одном сервере, проверка части сайтов одного пользователя не производится) - 1000 рублей, свыше 10 сайтов - 1000 рублей/час.

      Однако предварительно надо будет выполнять ряд профилактических мер от повторного взлома:
      - Обновите все используемые CMS и все шаблоны/плагины/скрипты используемые на сайте, регулярно делайте обновления. 
      - Не используйте nulled-версии (не лицензионные) CMS. 
      - Смените пароли доступа по ftp и ssh. Меняйте пароли периодически и не используйте простые и одинаковые пароли. 
      - Создавая/изменяя пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующих правил: 
      - Длина пароля не менее 10 символов. 
      - Включайте в пароль заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), а также используйте специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.). 
      - Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе. 
      - Настройте резервное копирование сайтов. 
      - В файле конфигурации PHP (php.ini) добавьте disable_functions неиспользуемые у вас на сайтах функции: 
      disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source
    • By alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • By kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.