Перейти к содержанию
RomodinR

Взломали сайт, как вылечить

Рекомендуемые сообщения

Добрый день! Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. Проверили сайт на наличие вредоносного кода, вот такой отчет.

 

Как лечить? И где искать уязвимость?

post-696343-0-37008000-1461582421_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

подключаетесь через FTP, ищите папку и файлы с названием "уязвимость - здесь!" и удаляете

 

а если серьезно, судя по постановке вопроса - обратитесь к специалистам

например к halfhope

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день! Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. Проверили сайт на наличие вредоносного кода, вот такой отчет.

 

Как лечить? И где искать уязвимость?

А с чего вы решили, что сайт взломан? Прогнали сканер уязвимостей, который предположил возможное наличие некритических уязвимостей, которые возможно могут позволить взломать (а могут и не позволить).

  То, чем вы проверяли - вредоносный код не ищет и не детектирует.

Про посетителей по прямой ссылке я вообще не понял - почему это вдруг стало признаком взлома? Или у вас на сайте по этой ссылке какая-то левая страница нарисовалась?

Изменено пользователем Shureg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проблема такая, взломали сайт на ocStore1.5.5.1.2 (autosupermag.ru) на сайте увеличилось количество посетителей, заходят по прямой ссылке и сразу выходят. 

это может быть кто то парсит либо конкуренты сканируют, изучайте логи доступа: с каких подсетей, какие страницы, какой юзерагент

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Был случай, после установки модуля для заполнения анкеты - начался бешеный загран трафик на сайт. Хотя в админке новых анкет не появлялось. Только нагрузка на сервер пошла. Звонок хостеру и блокировка 5-6 айпишников всё исправила. Модуль и ныне там, работает, анкеты приходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А с чего вы решили, что сайт взломан? Прогнали сканер уязвимостей, который предположил возможное наличие некритических уязвимостей, которые возможно могут позволить взломать (а могут и не позволить).

  То, чем вы проверяли - вредоносный код не ищет и не детектирует.

Про посетителей по прямой ссылке я вообще не понял - почему это вдруг стало признаком взлома? Или у вас на сайте по этой ссылке какая-то левая страница нарисовалась?

 

Да всё верно, левая ссылка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Появляются дополнительные разделы с папками, уходят спам письма с сайта.

Мои программисты говорят что нужно обновить до ОС2.1 и проблема уйдет... Но я как то не уверен что это правильное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обманываю вас ваши программисты..

Даже если вы обновитесь, то, возможно, проблема не уйдет

Нужен анализ попедения

 

Как минимум!!!

http логи

ftp логи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обманываю вас ваши программисты..

Даже если вы обновитесь, то, возможно, проблема не уйдет

Нужен анализ попедения

 

Как минимум!!!

http логи

ftp логи

ну так они обновят, сотрут и  с нуля поставят - вот и уйдет гыгыгыгыг))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что уйдет? дырка в ftp?

 

С таким же успехом накатить поверх чистый ocStore

Изменено пользователем chukcha

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что уйдет? дырка в ftp?

 

С таким же успехом накатить поверх чистый ocStore

с каким успехом? а если шелы лежат чистый опенкарт их не заменит если они отдельно от движка

и фтп обновят и хостера обновят

и модули купят и поставят из источников 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да лежат шеллы, то есть я правильно понял переходом на новую версию не поможет? с первого взгляда по логам ничего критичного нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мало того что переход на новую версию не поможет - так у вас ещё слетит дизайн и большая часть дополнительных модулей.

Т.е. фактически у вас будет новый чистый магазин.

 

ЗЫ Приятный сайтик...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мало того что переход на новую версию не поможет - так у вас ещё слетит дизайн и большая часть дополнительных модулей.

Т.е. фактически у вас будет новый чистый магазин.

 

ЗЫ Приятный сайтик...

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У вас бэкапы есть со времен "чистого" сайта?

 

На локалке восстанавливайте файлы из бэкапов. БД можно взять текущую, чтобы не терять данные, но предварительно просмотреть на предмет новых посторонних пользователей админки (удалить, если найдутся). Удалите и установите заново все необходимые ocmod-ы. Смените пароли и логины администраторов.

Попросите хостера полностью очистить ваш аккаунт до дефолтного состояния. Перенесите сайт из локалки на хостинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос решен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

может хоть в теорий рассказать, что было. интересно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

может хоть в теорий рассказать, что было. интересно

 

Ок. Сейчас запилю пост в этом разделе. 

 

UPD: передумал, чуть позже напишу, как появится время.

Изменено пользователем halfhope

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Похожий контент

    • От vovaray
      Добрый день. Есть сайт https://okupi.net/ , с утра его взломали, висит фраза K4RNOS WAS HERE! HACKED! WWW.CYBER-DEMONS.COM, доступ к админке есть, сайт стоит на официально купленном шаблоне shop-store 2. Ничего на него не заливалось. Восстановление вплоть до копии 2-х месячной давности не дает результатов, все остается по прежнему. 
       
      Может есть какие либо подсказки, буду очень признателен и спасибо
    • От Alex54765
      Уважаемые форумчане! 
      Очень нужна Ваша помощь! 

      Заказал магазин на опенкарт у фрилансера. После того как он сдал работу, я сменил все пароли на хостинге, в админ-панеле и даже на хостинге сделал возможным доступ к FTP только с моего IP. 

      НО каким-то чудом, в один прекрасный вечер я зашел на свой сайт, а его некоторые элементы потемнели в частности верхняя часть, каталог товаров, вообщем были голубого цвета, а стали темно-синие. Утром все стало на свои места, как будь-то и не происходило ничего.
      Случилось это после переписки с фрилансером (может совпадение-не знаю) о дальнейшем сотрудничестве, но как я  уже писал утром все восстановилось. 
      К тому же на тестовом сайте где фрилансер ранее показывал результат своей работы ситуация в тот вечер была аналогичная с моим уже готовым сайтом.

      Также сайт не проходит индексацию в гугл-вебмастер когда добавляю страницы,  пишет "Переадресовано" (скрин прикрепил), а в яндекс говорит что ваш сайт является зеркалом сайта с приставкой https://имя сайта  хотя домен я регистрировал без https:

      Сообщил о всем происходящем фрилансеру, он тестовый сайт удалил, с индексацией вопрос решить не может.

      Вообщем есть серьезное подозрение о том что фрилансер сделал копию сайта или зеркало (не знаю как правильно) надеясь на то что я обращусь к нему за решением данного вопроса.

      Повторюсь, пароли все поменял и доступ у фтп только с моего айпи.

      На скрине адрес сайта скрыл. Возможно это не правильно. Погуляв по форуму увидел что люди почему-то не указывают адресов своих магазинов, вот и я не стал. Не обессудьте.

      Очень надеюсь что кто-то откликнется.
      Благодарю за любой ответ.

       

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.