Jump to content

Recommended Posts

Добрый день. 

Помогите пожалуйста разобраться.

Для специалистов мой вопрос может показаться смешным, для аматоров как я, важным.

Сайт админил разработчик, которые не всегда выполнял свою работу в срок и поэтому пришлось отказаться от его услуг.

Но есть подозрение что он оставил на сайте для себя лозейки.

Помогите пожалуйста понять так ли это.

1. Возможно ли как то прописать в htacesse линки на свой сайт, или сайты которые он захочет указать для своих целей. 

Пример из файла строк которые я не понимаю для чего?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?crawler.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]

RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?changeagain.me/ru/.*$ [NC]
RewriteRule .* http://www.changeagain.me [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteCond %{HTTP_REFERER} ilovevitaly\.com   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.ilovevitaly\.com   [NC]
RewriteRule .* - [F]

2. Можно как то найти админера, не зная место его расположения ?

3. Антивирус хостинга не видит вирусов.

4. В админке нет лишних учёток (Возможно ли как то скрыть учетку, что бы она не отображалась в админке)

 

Edited by TALINOR

Share this post


Link to post
Share on other sites

 

 

Если он что-то вшил ему не обязательно, что-то писать в htaccess, но если эти строки добавляет что-то, значит он что-то вшил.

  • +1 1

Share this post


Link to post
Share on other sites

Как там. "Без Лоха, жизнь плоха" ;) 

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

Share this post


Link to post
Share on other sites

Главное чтобы не было eval, и он мог вообще зашифровать код это надо чекать

Edited by drunksteep

Share this post


Link to post
Share on other sites

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

Share this post


Link to post
Share on other sites
12 минут назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

 

а как вам помочь если вы аматор?

 

вам нужно просканировать сайт на предмет дыр и уязвимостей, больше ничего сверхъестественного

 

Если вы не понимаете что это значит - то стоит поискать исполнителя который умеет это делать

Share this post


Link to post
Share on other sites
47 минут назад, TALINOR сказал:

Как там. "Без Лоха, жизнь плоха" ;) 

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

вы странный !

ваш код щупать надо

 

Share this post


Link to post
Share on other sites
53 минуты назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

Начните с себя.

Присылая конец разговора, ваших мыслей и выдранный единственный файл, всё что вам посоветуют , как раз и есть или платная помощь или написать более подробно.

Так как проблема ваша может быть шире , чем htaccess , то все предположения будут :

  • Бесконечными
  • Бесполезными
  • Наобум

Хотите получить помощь, начинайте не с надутых щёк, а с более развёрнутых вопросов, которые вам же,  как не крути помогут получить более точный ответ.

Здесь нет победителей битвы экстрасенсов. Даже из числа аматоров.

Увы.

Если вопрос состоял только в этом

1 час назад, TALINOR сказал:

Возможно ли

То точный ответ - Да, это возможно.

Share this post


Link to post
Share on other sites
1 час назад, TALINOR сказал:

Не кому не интересно помочь. Люди даже такого слова не знают.

мы от вас ждем того же

Share this post


Link to post
Share on other sites

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Edited by TALINOR

Share this post


Link to post
Share on other sites
2 часа назад, TALINOR сказал:

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Вы могли бы точно ответить так ли это ?

Читаю информацию но меня терзают смутные сомнения.

Edited by TALINOR

Share this post


Link to post
Share on other sites

Ваша проблема может быть как только в файле htaccess , так и в целом в самом магазине.

По минимуму, скачайте архив вашей версии опенкарт и замените на дефолтный htaccess.

Ну а далее, если есть возможность, то можно попробовать Айболит.

https://revisium.com/ai/

Смените доступы на хостинг, по фтп, в админку.

Как вариант можно отключить контроллер функции бэкап/восстановления и поставить двух-факторную авторизацию в админку.

  • +1 1

Share this post


Link to post
Share on other sites
3 часа назад, TALINOR сказал:

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Один файл ни о чем не скажет и не каждый антивирус покажет, может быть есть бекдоры или еще что.

Если так боитесь то наймите специалиста который просмотрит все файлы и весь код вашего магазина, а ваш файл хетачес можете пока в помойку кинуть

Share this post


Link to post
Share on other sites

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

Share this post


Link to post
Share on other sites
14 минут назад, Shureg сказал:

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

Share this post


Link to post
Share on other sites
29 минут назад, Yoda сказал:

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

Share this post


Link to post
Share on other sites
16 минут назад, Shureg сказал:

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Share this post


Link to post
Share on other sites
3 минуты назад, Yoda сказал:

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

12 минут назад, Yoda сказал:

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег....

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

Share this post


Link to post
Share on other sites
19 минут назад, Yoda сказал:

Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Ну, если такая возможность есть, то (технически) лучше с нее и начать :-D 
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история ;)

Share this post


Link to post
Share on other sites
52 минуты назад, Shureg сказал:

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

 

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

47 минут назад, Shureg сказал:

Ну, если такая возможность есть, то (технически) лучше с нее и начать :-D 
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история ;)

 

99% без сломанных ног не понимают потенциальных последствий. Как показывает практика, действие - лучшее решение вопроса.
Кто то судами грозится, несет пургу какую то... А а как только вдруг показываешь фото, как человек заходит в подьезд - сразу - "ой а я ничего такого не имел ввиду".
Даже тут уже было  несколько героев, которые были очень смелые до определенного момента.

 

Share this post


Link to post
Share on other sites
11 минут назад, Yoda сказал:

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

Share this post


Link to post
Share on other sites

это не закладка, это так, поднасрать

 

настоящие закладки никогда себя не выдают и очень умело эксплуатируются

 

я имею ввиду в денежном плане 

Share this post


Link to post
Share on other sites

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Edited by TALINOR

Share this post


Link to post
Share on other sites
7 минут назад, TALINOR сказал:

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

  • +1 1

Share this post


Link to post
Share on other sites
Только что, Shureg сказал:

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

Большое спасибо.

Ещё раз прошу прощения если резко высказывался.

Если что то предметно найду, объязательно отпишусь о ходе и дам информацию.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.