Задолбали вирусы.

[Yamaradg]

Всем привет. Народ!
Такая проблема:
ocstore 2.3.2
и вот такая тема:

 

Не могу запустить магаз уже месяц вожусь с вирусами которые коверкают  файлы - то один то другой.
Вопрос - это распространенная проблема или нет для оксторе?
Как решать такие вещи?

Хостинг говорит надо обновлять оксторе - но разрабы темы говорят что не надо - новая версия 3-я еще сырая.
+ как я подозреваю это может же и вообще не помочь в решении проблемы.

P.S. Буду благодарен за любые советы и рекомендации..
 

Змінено 10 травня 2019 користувачем Yamaradg

[Medialine]

1 минуту назад, Yamaradg сказал:

Всем привет. Народ!
Такая проблема:
ocstore 2.3.2
и вот такая тема:

 

Не могу запустить магаз уже месяц вожусь с вирусами которые коверкают  файлы - то один то другой.
Вопрос - это распространенная проблема или нет для оксторе?
Как решать такие вещи?
 

дело вовсе не в теме, и не в движке. Обратитесь к хостеру, какие там есть инструмены для безопасности, прежде всего обратите внимание на ограничение FTP доступа.

[Yamaradg]

7 minutes ago, Medialine said:

дело вовсе не в теме, и не в движке. Обратитесь к хостеру, какие там есть инструмены для безопасности, прежде всего обратите внимание на ограничение FTP доступа.

а какие есть варианты кроме пароля хорошего?
по ай пи я так понимаю ограничивать смысла ж нет - если вдруг кому то доступ дать надо из разрабов.

Змінено 10 травня 2019 користувачем Yamaradg

[dedvjbed]

а конкретно что за вирусы и как коверкуют ?

[Yamaradg]

Just now, dedvjbed said:

а конкретно что за вирусы и как коверкуют ?

изменения файлов системных происходят.
и потом что то не работает на сайте после этого.
разные файлы - нет закономерностей.

[dedvjbed]

как конкретно изменяются ? затираются, или что то в них прописывается ?

рядом на аккаунте вп и джумлы нет случайно ?

[Yamaradg]

1 minute ago, dedvjbed said:

как конкретно изменяются ? затираются, или что то в них прописывается ?

рядом на аккаунте вп и джумлы нет случайно ?

изменяются названия файлов на абракадабру иногда.
на моем аккаунте нет на соседних без понятия. )

Змінено 10 травня 2019 користувачем Yamaradg

[mpn2005]

Писал уже в другой теме:

 

1) Чистить всё что найдёте.

2) Менять пароли на фтп, в админку к БД.

3) Просматривать логи на предмет подозрительной активности. Ищите в логах по строке ".php"

4) Во все подпапки сайта (первой вложенности в корне,кроме admin. И так же в подпапках в папке admin) можно разложить файлы ".htaccess" c запретом на открытие файлов php. (Тут есть много других приёмов, но они уже требуют некотрой квалификации в настройке сервера. И зависят от используемых пакетов.)

 

И так по кругу. Пока не пеерстанут появляться левые файлы.

 

Если есть заведомо чистый бэкап, то можно на него откатиться.

[mpn2005]

Можете попросить хостера настроить блокировку прямого доступа к php скриптам кроме: index.php и admin/index.php

 

И дальше чистить, менять пароли.

Чистить менять пароли.

И так по кругу...

 

И прогонять сканерами и следить.

Если уже подцепили, то вычистить не так просто.

 

Доступ к админке оставить только себе по ip. Если надо будет для работ, откроете на время.

[krluch]

Где качали окстор?

Тему покупали у официалов или где-то скачали, а может кто-то устанавливал и настраивал?

У меня за 6 лет ни разу не было вирусов на этой cms

[Yamaradg]

все качал и покупал  с оф источников.
но доработками фрилансеры и служба хостинга занимались.(было дело.)

Змінено 10 травня 2019 користувачем Yamaradg

[n3bo]

aibolit залейте на хост, выполните скрипт, посмотрите что он вам даст. Далее поменяйте доступы все и ждите

[mpn2005]

1 час назад, Yamaradg сказал:

все качал и покупал  с оф источников.
но доработками фрилансеры и служба хостинга занимались.(было дело.)

Простые доступы в админку делали?

Может когда давали кому-то. Например admin/admin или admin/12345 и т.д.

 

[Yamaradg]

@mpn2005
да. делал.

Змінено 10 травня 2019 користувачем Yamaradg

[mpn2005]

1 минуту назад, Yamaradg сказал:

@mpn2005
да. делал.

Вот Вам и источник. Вероятность очень велика. Внедрили шелл, подождали пару месяцев и вуая. Ни откатить ни в логах найти.

А дальше эксплуатация и/или шантаж в полный рост. 

 

Я в другой теме выкладывал лог со своей демки с неудачным логинами в админку. И дня не проходит без обращений.

Каждый день от 10 и пболее попыток подбора.

 

[markimax]

1 час назад, Yamaradg сказал:

все качал и покупал  с оф источников.
но доработками фрилансеры и служба хостинга занимались.(было дело.)

"Шалтай болтай"
1. У вас есть еще домены на логине? (и там сайты на joomla и .wp)
2 Вы защитили по IP админку? (закрыть админку по IP) предоставлять разработчикам по IP доступ
3. Пароль в 6 символов взламывается за пару часов брутфорсом (скорее всего) 
4. Предоставляли ли доступ "фрилансерам" с fl.ru? (или не "доверенным")

 

[Yamaradg]

17 minutes ago, markimax said:

"Шалтай болтай"
1. У вас есть еще домены на логине? (и там сайты на joomla и .wp)
2 Вы защитили по IP админку? (закрыть админку по IP) предоставлять разработчикам по IP доступ
3. Пароль в 6 символов взламывается за пару часов брутфорсом (скорее всего) 
4. Предоставляли ли доступ "фрилансерам" с fl.ru? (или не "доверенным")

 

1. нет
2. нет
3. пароль был простой для фрилансеров временный(несколько дней)
4, да

пока что восстановился с 100-й попытки со нового бекапа(самого старого) - все вроде работает.

вопрос по ай пи - если он динамический как закрывать тогда?

Змінено 10 травня 2019 користувачем Yamaradg

[markimax]

7 минут назад, Yamaradg сказал:

1. нет
2. нет
3. пароль был простой для фрилансеров временный(несколько дней)
4, да

пока что восстановился с 100-й попытки со нового бекапа(самого старого) - все вроде работает.

вопрос по ай пи - если он динамический как закрывать тогда?

1. Закройте по IP доступ к админке (да неудобно, зато безопасно, для разрабов просите IP и открываете им доступ, или временно)
2.  "Сильный" пароль
3. Никаких сайтов на одном логине хостера (один логин- один сайт)

[markimax]

... выключите показ ошибок и переименуйте error.log
"Показ" ошибок "стимулирует" хакеров