Взломали сайт

[Loysik]

Ребят, подскажите кто может сталкивался. Сайту 2 года стоит на хостинге ukrnames, в какой-то момент сайт начал выдавать ошибки и при заходе на главную страницу, а после на переход в подгруппы товаров адрес сайта прогружается, а сама картинка сайта не меняется ( все остается на главное даже после прогруза ). Обратился к хостингу сделали откат на 3 дня назад и проблема ушла на 2 дня. Вчера попытался зайти на сайт выдало ошибку что сайт без сертификата и злоумышленники могут забрать данные, я перешел дальше и сайт вообще не грузит, попытался зайти через админку. Через админку зашел но после каждого клика выдает "error", после соглашения ошибка пропадает и так постоянно. Сделал откат но все равно думаю проблема не уйдет. Общался с хостингом они скинули мне скрин моих сайлов ftp ( прикрепил ), появились не понятные файлы и хостинг говорит что нет толку от откатов бэкапы заражены так-же вирусом и нужно чистить только вручную. Так-же сделал откат сайта и поставил защиту только для себя в вход в админку по ip адресу. Все равно сайт слетел ( слетает постоянно ночью ). Что делать вообще не знаю, как это решить. Может есть спец. кто знает в чем проблема и как это убрать, помогите.

[buslikdrev]

Скорее покупайте:

 

[Loysik]

1 минуту назад, buslikdrev сказал:

Скорее покупайте:

 

Это точно поможет?

[buslikdrev]

Только что, Loysik сказал:

Это точно поможет?

Спросите у исполнителя.

[esculapra]

Сравнивай время создания/модификации файлов. Есть согфт для проверки на вирусняк.

Сканер AI-BOLIT предназначен для проверки сайта на вирусы и взлом.

IronWASP - десктопная прога, находит уязвимости на сайте.

Можно запаковать в архив и скачать на локалку - если антивирусник найдет проблему, то заблокирует занрузку. Да, прийдется потратить время.

Поиск вручную наиболее эффективен, но способ трудоемкий.

[Shureg]

54 минуты назад, Loysik сказал:

Это точно поможет?

Не точно.
Точных способов только два:
1. Тотальный просмотр всех файлов сайта вручную - чаще всего, нецелесообразно, второй способ быстрее. 
2. На чистом хостинге создание(восстановление) сайта с нуля, где есть возможность - из исходников разных модулей и т.п., где потребуется - перенос после проверки(просмотра)  со старого.

Змінено 15 грудня 2021 користувачем Shureg

[Shureg]

12 минут назад, esculapra сказал:

Сравнивай время создания/модификации файлов.

Время легко выставляется какое угодно
 

12 минут назад, esculapra сказал:

Есть согфт для проверки на вирусняк.

Сканер AI-BOLIT предназначен для проверки сайта на вирусы и взлом.

Может найти.  Может не найти.
 

14 минут назад, esculapra сказал:

IronWASP - десктопная прога, находит уязвимости на сайте.

Вообще к ситуации отношения не имеет.

 

15 минут назад, esculapra сказал:

Можно запаковать в архив и скачать на локалку - если антивирусник найдет проблему, то заблокирует занрузку.

Не найдет.

[esculapra]

20 минут назад, Shureg сказал:

Вообще к ситуации отношения не имеет.

К данной ситуации действительно не имеет, но на будущее нужно знать про этот инструмент. В некоторых модкулях бывают уязвимости, так IronWASP их находит.

22 минуты назад, Shureg сказал:

Время легко выставляется какое угодно

Хакеры обычно с этим не заморачиваются - знаю, о чем пишу.

23 минуты назад, Shureg сказал:

Не найдет.

У меня Аваст - он ,как правило, находит.

[esculapra]

25 минут назад, Shureg сказал:

Может найти.  Может не найти.

У айболита есть режим параноидального сканирования. В таком режиме он выдаст кучу файлов, которые посчитает зараженными.

И вообще я не хочу спорить. Я давно занимаюсь проблемами безопасности и собрал уже небольшую коллекцию эксплойтов. Просто поделился своим опытом. А антихакера по стандартам опенкарты до сих пор не доделал - руки не доходят, хотя моя нестандартная версия защищает сайты на раз.

[Venter]

1 час назад, esculapra сказал:

Сканер AI-BOLIT предназначен для проверки сайта на вирусы и взлом.

он не видит самые простые бекдоры или допустим возможность залить на хост что то

[Venter]

2 часа назад, Loysik сказал:

Это точно поможет?

нет!!!! лучше всего обратитесь к каму нибудь исполнителю который сможет решить данную проблему, потому что ни модули, не найдут все дыры в коде. 

чаще всего айболит помогает потому как простые типа хакеры не сильно заморачиваются на счет создания дыр в коде

[Venter]

желательно сравнить код с дефолтным опенкартом, не каждую строку смотреть и хотяб кол-во строк в том и том файле совпадают или нет.

а лучше действительно нанять специалиста. Допустим я могу написать так код что у вас будет стоять модификатор в бд и вы его в админке не увидите и поэтому удалить его никак через админку, только если в бд лезть

[Shureg]

Опенкартовая система модификаторов вообще потенциально опасна. Можно запихать шелл в БД, и по запросу "вытаскивать" в кэш модификатров, а поюзав - прятать обратно. И никакой айболит ничего не найдёт. Причём почти вся необходимая функциональность уже есть штатная, всего лишь небольшое, безобидно выглядящее допиливание требуется.
К счастью, 99+% атакующим эти нюансы нафиг не нужны, чтобы разбираться, они массовкой берут.

Змінено 15 грудня 2021 користувачем Shureg

[Loysik]

Дополнительная защита админки - Модули - OpenCart Форум (opencartforum.com)

поможет в дальнейшем или есть что-то интересней для защиты?

[Loysik]

Странно то что на сайт не добавили рекламу, только убили сайт и добавили вирус и все. То есть цель была убить чтобы с трудом восстановить.

[Shureg]

4 минуты назад, Loysik сказал:

Дополнительная защита админки - Модули - OpenCart Форум (opencartforum.com)

поможет в дальнейшем или есть что-то интересней для защиты?

Лучшая защита - хороший уникальный пароль админки (и при этом не иметь параллельно пользователя "admin" с паролем qwerty123) и хороший хостер.
За пароль у вас не знаю, а хостер так себе.

[esculapra]

33 минуты назад, Venter сказал:

он не видит самые простые бекдоры или допустим возможность залить на хост что то

Если бэкдор с открытым кодом, он пропустит, но если видит eval, base64_decode и другие опасные функции, то зафиксирует опасность. Ионкуб он не видит, а зря.

[Dimasscus]

37 минут назад, Loysik сказал:

Странно то что на сайт не добавили рекламу, только убили сайт и добавили вирус и все. То есть цель была убить чтобы с трудом восстановить.

откуда такая уверенность что цель была убить:)) вы ж не знаете что кто и зачем

[Dimasscus]

39 минут назад, Loysik сказал:

Дополнительная защита админки - Модули - OpenCart Форум (opencartforum.com)

поможет в дальнейшем или есть что-то интересней для защиты?

зачем вам модуль если админку можно закрыть по ip ? :))

[Dimasscus]

43 минуты назад, Shureg сказал:

Опенкартовая система модификаторов вообще потенциально опасна. Можно запихать шелл в БД, и по запросу "вытаскивать" в кэш модификатров, а поюзав - прятать обратно. И никакой айболит ничего не найдёт. Причём почти вся необходимая функциональность уже есть штатная, всего лишь небольшое, безобидно выглядящее допиливание требуется.
К счастью, 99+% атакующим эти нюансы нафиг не нужны, чтобы разбираться, они массовкой берут.

вот хостер клиента прислал уведомление что третий день какой то мудак перебором страдает:))

[esculapra]

28 минут назад, Loysik сказал:

Странно то что на сайт не добавили рекламу, только убили сайт и добавили вирус

Есть несколько категорий (по моей классификации) : фишер, спамер, майлер, бэкдор и еще несколько других. Спамер рассылает спам, - как правило, он работает овместно с майлером. Майлер собирает почтовые ящики. Фишер собирает конфиденциалку, в том числе номера карт и пр. Бэкдор открывает дотуп к редактированию/загрузке - это самый опасный!!! На шаред-хотинге бэк открывает доступ ко всей системе (чужие сайты в том числе) - я на локалке проверял.

[esculapra]

4 минуты назад, Dimasscus сказал:

зачем вам модуль если админку можно закрыть по ip

Если IP статитика, согласен.

[Dimasscus]

2 минуты назад, esculapra сказал:

Если IP статитика, согласен.

пул провайдера. 

ну или если вообще плавающий- тогда переименовать и спрятать :))

 

[Venter]

12 минут назад, Dimasscus сказал:

ну и как доказательство "безопасного вп" :))

сам по себе чистый вп безопасен, а вот плагины/модули к нему вот в них бывает уязвимость

[Dimasscus]

Только что, Venter сказал:

сам по себе чистый вп безопасен, а вот плагины/модули к нему вот в них бывает уязвимость

ну как и опенкарт в принципе