Защита сайта

[TALINOR]

Добрый день. 

Помогите пожалуйста разобраться.

Для специалистов мой вопрос может показаться смешным, для аматоров как я, важным.

Сайт админил разработчик, которые не всегда выполнял свою работу в срок и поэтому пришлось отказаться от его услуг.

Но есть подозрение что он оставил на сайте для себя лозейки.

Помогите пожалуйста понять так ли это.

1. Возможно ли как то прописать в htacesse линки на свой сайт, или сайты которые он захочет указать для своих целей. 

Пример из файла строк которые я не понимаю для чего?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?crawler.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]

RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?changeagain.me/ru/.*$ [NC]
RewriteRule .* http://www.changeagain.me [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteCond %{HTTP_REFERER} ilovevitaly\.com   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.ilovevitaly\.com   [NC]
RewriteRule .* - [F]

2. Можно как то найти админера, не зная место его расположения ?

3. Антивирус хостинга не видит вирусов.

4. В админке нет лишних учёток (Возможно ли как то скрыть учетку, что бы она не отображалась в админке)

 

Змінено 24 грудня 2020 користувачем TALINOR

[buslikdrev]

 

 

Если он что-то вшил ему не обязательно, что-то писать в htaccess, но если эти строки добавляет что-то, значит он что-то вшил.

[TALINOR]

Как там. "Без Лоха, жизнь плоха"  

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

[drunksteep]

Главное чтобы не было eval, и он мог вообще зашифровать код это надо чекать

Змінено 24 грудня 2020 користувачем drunksteep

[TALINOR]

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

[spectre]

12 минут назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

 

а как вам помочь если вы аматор?

 

вам нужно просканировать сайт на предмет дыр и уязвимостей, больше ничего сверхъестественного

 

Если вы не понимаете что это значит - то стоит поискать исполнителя который умеет это делать

[KomissarJuve]

47 минут назад, TALINOR сказал:

Как там. "Без Лоха, жизнь плоха"  

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

вы странный !

ваш код щупать надо

 

[Tom]

53 минуты назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

Начните с себя.

Присылая конец разговора, ваших мыслей и выдранный единственный файл, всё что вам посоветуют , как раз и есть или платная помощь или написать более подробно.

Так как проблема ваша может быть шире , чем htaccess , то все предположения будут :

• Бесконечными
• Бесполезными
• Наобум

Хотите получить помощь, начинайте не с надутых щёк, а с более развёрнутых вопросов, которые вам же,  как не крути помогут получить более точный ответ.

Здесь нет победителей битвы экстрасенсов. Даже из числа аматоров.

Увы.

Если вопрос состоял только в этом

1 час назад, TALINOR сказал:

Возможно ли

То точный ответ - Да, это возможно.

[HyperLabTeam]

1 час назад, TALINOR сказал:

Не кому не интересно помочь. Люди даже такого слова не знают.

мы от вас ждем того же

[TALINOR]

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Змінено 24 грудня 2020 користувачем TALINOR

[TALINOR]

2 часа назад, TALINOR сказал:

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Вы могли бы точно ответить так ли это ?

Читаю информацию но меня терзают смутные сомнения.

Змінено 24 грудня 2020 користувачем TALINOR

[Tom]

Ваша проблема может быть как только в файле htaccess , так и в целом в самом магазине.

По минимуму, скачайте архив вашей версии опенкарт и замените на дефолтный htaccess.

Ну а далее, если есть возможность, то можно попробовать Айболит.

https://revisium.com/ai/

Смените доступы на хостинг, по фтп, в админку.

Как вариант можно отключить контроллер функции бэкап/восстановления и поставить двух-факторную авторизацию в админку.

[Venter]

3 часа назад, TALINOR сказал:

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Один файл ни о чем не скажет и не каждый антивирус покажет, может быть есть бекдоры или еще что.

Если так боитесь то наймите специалиста который просмотрит все файлы и весь код вашего магазина, а ваш файл хетачес можете пока в помойку кинуть

[Shureg]

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

[Yoda]

14 минут назад, Shureg сказал:

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

[Shureg]

29 минут назад, Yoda сказал:

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

[Yoda]

16 минут назад, Shureg сказал:

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

[Shureg]

3 минуты назад, Yoda сказал:

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

12 минут назад, Yoda сказал:

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег....

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

[Shureg]

19 минут назад, Yoda сказал:

Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Ну, если такая возможность есть, то (технически) лучше с нее и начать  
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история

[Yoda]

52 минуты назад, Shureg сказал:

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

 

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

47 минут назад, Shureg сказал:

Ну, если такая возможность есть, то (технически) лучше с нее и начать  
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история

 

99% без сломанных ног не понимают потенциальных последствий. Как показывает практика, действие - лучшее решение вопроса.
Кто то судами грозится, несет пургу какую то... А а как только вдруг показываешь фото, как человек заходит в подьезд - сразу - "ой а я ничего такого не имел ввиду".
Даже тут уже было  несколько героев, которые были очень смелые до определенного момента.

 

[Shureg]

11 минут назад, Yoda сказал:

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

[spectre]

это не закладка, это так, поднасрать

 

настоящие закладки никогда себя не выдают и очень умело эксплуатируются

 

я имею ввиду в денежном плане 

[TALINOR]

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Змінено 25 грудня 2020 користувачем TALINOR

[Shureg]

7 минут назад, TALINOR сказал:

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

[TALINOR]

Только что, Shureg сказал:

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

Большое спасибо.

Ещё раз прошу прощения если резко высказывался.

Если что то предметно найду, объязательно отпишусь о ходе и дам информацию.