Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Защита сайта


TALINOR

Recommended Posts

Добрый день. 

Помогите пожалуйста разобраться.

Для специалистов мой вопрос может показаться смешным, для аматоров как я, важным.

Сайт админил разработчик, которые не всегда выполнял свою работу в срок и поэтому пришлось отказаться от его услуг.

Но есть подозрение что он оставил на сайте для себя лозейки.

Помогите пожалуйста понять так ли это.

1. Возможно ли как то прописать в htacesse линки на свой сайт, или сайты которые он захочет указать для своих целей. 

Пример из файла строк которые я не понимаю для чего?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?crawler.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]

RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?changeagain.me/ru/.*$ [NC]
RewriteRule .* http://www.changeagain.me [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteCond %{HTTP_REFERER} ilovevitaly\.com   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.ilovevitaly\.com   [NC]
RewriteRule .* - [F]

2. Можно как то найти админера, не зная место его расположения ?

3. Антивирус хостинга не видит вирусов.

4. В админке нет лишних учёток (Возможно ли как то скрыть учетку, что бы она не отображалась в админке)

 

Змінено користувачем TALINOR
Надіслати
Поділитися на інших сайтах


 

 

Если он что-то вшил ему не обязательно, что-то писать в htaccess, но если эти строки добавляет что-то, значит он что-то вшил.

  • +1 1
Надіслати
Поділитися на інших сайтах

Как там. "Без Лоха, жизнь плоха" ;) 

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

Надіслати
Поділитися на інших сайтах


Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

Надіслати
Поділитися на інших сайтах


12 минут назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

 

а как вам помочь если вы аматор?

 

вам нужно просканировать сайт на предмет дыр и уязвимостей, больше ничего сверхъестественного

 

Если вы не понимаете что это значит - то стоит поискать исполнителя который умеет это делать

Надіслати
Поділитися на інших сайтах

47 минут назад, TALINOR сказал:

Как там. "Без Лоха, жизнь плоха" ;) 

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасибо за помощь.

вы странный !

ваш код щупать надо

 

Надіслати
Поділитися на інших сайтах


53 минуты назад, TALINOR сказал:

Спасибо.

Всегда прихожу к выводу. "Спасение утопающих, дело рук самих утопающих"

Не кому не интересно помочь. Люди даже такого слова не знают.

Да уж.

Начните с себя.

Присылая конец разговора, ваших мыслей и выдранный единственный файл, всё что вам посоветуют , как раз и есть или платная помощь или написать более подробно.

Так как проблема ваша может быть шире , чем htaccess , то все предположения будут :

  • Бесконечными
  • Бесполезными
  • Наобум

Хотите получить помощь, начинайте не с надутых щёк, а с более развёрнутых вопросов, которые вам же,  как не крути помогут получить более точный ответ.

Здесь нет победителей битвы экстрасенсов. Даже из числа аматоров.

Увы.

Если вопрос состоял только в этом

1 час назад, TALINOR сказал:

Возможно ли

То точный ответ - Да, это возможно.

Надіслати
Поділитися на інших сайтах

1 час назад, TALINOR сказал:

Не кому не интересно помочь. Люди даже такого слова не знают.

мы от вас ждем того же

Надіслати
Поділитися на інших сайтах


Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Змінено користувачем TALINOR
Надіслати
Поділитися на інших сайтах


2 часа назад, TALINOR сказал:

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Вы могли бы точно ответить так ли это ?

Читаю информацию но меня терзают смутные сомнения.

Змінено користувачем TALINOR
Надіслати
Поділитися на інших сайтах


Ваша проблема может быть как только в файле htaccess , так и в целом в самом магазине.

По минимуму, скачайте архив вашей версии опенкарт и замените на дефолтный htaccess.

Ну а далее, если есть возможность, то можно попробовать Айболит.

https://revisium.com/ai/

Смените доступы на хостинг, по фтп, в админку.

Как вариант можно отключить контроллер функции бэкап/восстановления и поставить двух-факторную авторизацию в админку.

  • +1 1
Надіслати
Поділитися на інших сайтах

3 часа назад, TALINOR сказал:

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего начинали Вы. 

Для Вас достаточно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайта Антивирусом Хостинга  - ничего не показала

Провекра сайта - разными онлайн сервисами, так же ничего не показала.

Админка чистая.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и цель такого размещения, а главное как обнаружить. Поэтому надеялся на совет от компетентных людей.

 Как обычно Форумы существую не для помощи а скорее для определённых интересов каждого.

Всё равно спасибо. Негативный опыт, тоже опыт. 

Один файл ни о чем не скажет и не каждый антивирус покажет, может быть есть бекдоры или еще что.

Если так боитесь то наймите специалиста который просмотрит все файлы и весь код вашего магазина, а ваш файл хетачес можете пока в помойку кинуть

Надіслати
Поділитися на інших сайтах

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

Надіслати
Поділитися на інших сайтах


14 минут назад, Shureg сказал:

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при наличии доступа к коду и какой-никакой квалификации дырки можно так спрятать, что никакой скрипт-айболит их не найдет.
У вас  два варианта:
1. Проверить скриптом и надеяться, что разработчик "лазейки" сильно не прятал.
(быстро и дешево/бесплатно)
2. На чистый ОС установить то, что можно скачать/получить заведомо чистым, и, просматривая, переносить изменения со старого сайта, вдумчиво и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

Надіслати
Поділитися на інших сайтах


29 минут назад, Yoda сказал:

C уважением, но это бесполезно...

 

В такой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) ограничить доступ на любые *.php кроме index и отключить  вывод ошибок.

б) ограничить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get так и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вычистить мусор с фронта типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фронта  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить более изощренные техники - в виде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в большинстве случаев это избыточно.

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

Надіслати
Поділитися на інших сайтах


16 минут назад, Shureg сказал:

Это сделать, конечно, стоит, но не вместо, а в дополнение к "пересбору" сайта.
Это общие методы защиты, применимы во всех случаях против атак "снаружи".
Но когда "злодей"  уже похозяйничал внутри, такого может быть недостаточно. Скажем, от закладки file_get_contents с последующей записью полученного в какой-нить файл или бд это не спасет. А можно ж еще и закодировать...

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Надіслати
Поділитися на інших сайтах


3 минуты назад, Yoda сказал:

Ну.........

Нууу... это слова не мужа а мальчика...

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег.... порядок цифр на десятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время пересбора, отсутствия решений автоматизации управления процессами, некачественной обработки заказов-клиентов. Какой пересбор. Да это же бомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еще подставляется пушка в ответ. А еще можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

12 минут назад, Yoda сказал:

Я не знаю где вы плаваете, но проекты моих друзей и пересбор - это очень, очень много денег....

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

Надіслати
Поділитися на інших сайтах


19 минут назад, Yoda сказал:

Это может звучать смешно, но на моей практике были истории со сломанными ногами за такие проделки.

Ну, если такая возможность есть, то (технически) лучше с нее и начать :-D 
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история ;)

Надіслати
Поділитися на інших сайтах


52 минуты назад, Shureg сказал:

Да не обязательно же это все даже. Это не взлом ради спама, у таких закладок другая цель. Оставит где нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еще какие мелкие пакости.
И если "закладчик" не торопится, то активизирует "закладку" через пару месяцев. А  до этого все будет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, читать логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

Обычно в такой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

 

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

47 минут назад, Shureg сказал:

Ну, если такая возможность есть, то (технически) лучше с нее и начать :-D 
Не ноги ломать, конечно, а прийти и объяснить последствия опрометчивых действий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история ;)

 

99% без сломанных ног не понимают потенциальных последствий. Как показывает практика, действие - лучшее решение вопроса.
Кто то судами грозится, несет пургу какую то... А а как только вдруг показываешь фото, как человек заходит в подьезд - сразу - "ой а я ничего такого не имел ввиду".
Даже тут уже было  несколько героев, которые были очень смелые до определенного момента.

 

Надіслати
Поділитися на інших сайтах


11 минут назад, Yoda сказал:

Если все грамотно зафильтровать и мониторить, сколько закладок не оставляй - побреешь руку.

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

Надіслати
Поділитися на інших сайтах


это не закладка, это так, поднасрать

 

настоящие закладки никогда себя не выдают и очень умело эксплуатируются

 

я имею ввиду в денежном плане 

Надіслати
Поділитися на інших сайтах

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Змінено користувачем TALINOR
Надіслати
Поділитися на інших сайтах


7 минут назад, TALINOR сказал:

Доброе утро.

Спасибо всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айболит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что делать дальше.

Но так не кто и не ответил.

Эта запись в .htacesse содержит вирусный код ?

Или это всётаки блокировка от спама "Блокировка краулеров"


RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасибо.

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

  • +1 1
Надіслати
Поділитися на інших сайтах


Только что, Shureg сказал:

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

Большое спасибо.

Ещё раз прошу прощения если резко высказывался.

Если что то предметно найду, объязательно отпишусь о ходе и дам информацию.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.