Взломали сайт, как вылечить

[RomodinR]

Добрый день! Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. Проверили сайт на наличие вредоносного кода, вот такой отчет.

 

Как лечить? И где искать уязвимость?

[AlexDW]

подключаетесь через FTP, ищите папку и файлы с названием "уязвимость - здесь!" и удаляете

 

а если серьезно, судя по постановке вопроса - обратитесь к специалистам

например к halfhope

[Shureg]

Добрый день! Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. Проверили сайт на наличие вредоносного кода, вот такой отчет.

 

Как лечить? И где искать уязвимость?

А с чего вы решили, что сайт взломан? Прогнали сканер уязвимостей, который предположил возможное наличие некритических уязвимостей, которые возможно могут позволить взломать (а могут и не позволить).

  То, чем вы проверяли - вредоносный код не ищет и не детектирует.

Про посетителей по прямой ссылке я вообще не понял - почему это вдруг стало признаком взлома? Или у вас на сайте по этой ссылке какая-то левая страница нарисовалась?

Змінено 25 квітня 2016 користувачем Shureg

[Otvet]

Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. 

это может быть кто то парсит либо конкуренты сканируют, изучайте логи доступа: с каких подсетей, какие страницы, какой юзерагент

[RoooM]

Был случай, после установки модуля для заполнения анкеты - начался бешеный загран трафик на сайт. Хотя в админке новых анкет не появлялось. Только нагрузка на сервер пошла. Звонок хостеру и блокировка 5-6 айпишников всё исправила. Модуль и ныне там, работает, анкеты приходят.

[RomodinR]

А с чего вы решили, что сайт взломан? Прогнали сканер уязвимостей, который предположил возможное наличие некритических уязвимостей, которые возможно могут позволить взломать (а могут и не позволить).

  То, чем вы проверяли - вредоносный код не ищет и не детектирует.

Про посетителей по прямой ссылке я вообще не понял - почему это вдруг стало признаком взлома? Или у вас на сайте по этой ссылке какая-то левая страница нарисовалась?

 

Да всё верно, левая ссылка

[RomodinR]

Появляются дополнительные разделы с папками, уходят спам письма с сайта.

Мои программисты говорят что нужно обновить до ОС2.1 и проблема уйдет... Но я как то не уверен что это правильное решение.

[chukcha]

Обманываю вас ваши программисты..

Даже если вы обновитесь, то, возможно, проблема не уйдет

Нужен анализ попедения

 

Как минимум!!!

http логи

ftp логи

[ashap]

Обманываю вас ваши программисты..

Даже если вы обновитесь, то, возможно, проблема не уйдет

Нужен анализ попедения

 

Как минимум!!!

http логи

ftp логи

ну так они обновят, сотрут и  с нуля поставят - вот и уйдет гыгыгыгыг))

[chukcha]

Что уйдет? дырка в ftp?

 

С таким же успехом накатить поверх чистый ocStore

Змінено 25 квітня 2016 користувачем chukcha

[ashap]

Что уйдет? дырка в ftp?

 

С таким же успехом накатить поверх чистый ocStore

с каким успехом? а если шелы лежат чистый опенкарт их не заменит если они отдельно от движка

и фтп обновят и хостера обновят

и модули купят и поставят из источников 

[RomodinR]

Да лежат шеллы, то есть я правильно понял переходом на новую версию не поможет? с первого взгляда по логам ничего критичного нет

[zyto]

Мало того что переход на новую версию не поможет - так у вас ещё слетит дизайн и большая часть дополнительных модулей.

Т.е. фактически у вас будет новый чистый магазин.

 

ЗЫ Приятный сайтик...

[RomodinR]

Мало того что переход на новую версию не поможет - так у вас ещё слетит дизайн и большая часть дополнительных модулей.

Т.е. фактически у вас будет новый чистый магазин.

 

ЗЫ Приятный сайтик...

Спасибо!

[Shureg]

У вас бэкапы есть со времен "чистого" сайта?

 

На локалке восстанавливайте файлы из бэкапов. БД можно взять текущую, чтобы не терять данные, но предварительно просмотреть на предмет новых посторонних пользователей админки (удалить, если найдутся). Удалите и установите заново все необходимые ocmod-ы. Смените пароли и логины администраторов.

Попросите хостера полностью очистить ваш аккаунт до дефолтного состояния. Перенесите сайт из локалки на хостинг.

[halfhope]

Вопрос решен.

[Zernycha]

может хоть в теорий рассказать, что было. интересно

[halfhope]

может хоть в теорий рассказать, что было. интересно

 

Ок. Сейчас запилю пост в этом разделе. 

 

UPD: передумал, чуть позже напишу, как появится время.

Змінено 29 квітня 2016 користувачем halfhope