thvanx

Уже который месяц заражают сайт.

Рекомендуемые сообщения

thvanx    0

Доброго времени суток. Уже который месяц взламывают сайт и заражают shell скриптом. Помогите пожалуйста залатать уязвимость. Ниже предоставляю логи, где злоумышленник заражает сайт.

 

Пробовал менять все пароли, ftp, база данных, админку, сделал двух этапную аутентификацию в админку. Не помогло(

 

Как ему это удается..?

 

 

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:04 +0300] "GET /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 301 322 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:06 +0300] "GET /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 120 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:07 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:15 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 14248 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:18 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 23018 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:23 +0300] "GET / HTTP/1.0" 200 171691 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:36 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 23678 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:47 +0300] "GET /catalog/view/theme/lexus_superstore/fonts/fontawesome-webfont.woff?v=4.0.3 HTTP/1.0" 200 44432 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/stylesheet/font-awesome.min.css" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:16 +0300] "GET /wp-rss.php HTTP/1.0" 200 20374 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:20 +0300] "GET / HTTP/1.0" 200 171694 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:33 +0300] "POST /wp-rss.php HTTP/1.0" 200 18244 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:29:05 +0300] "POST /wp-rss.php HTTP/1.0" 200 13100 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:29:17 +0300] "POST /wp-rss.php HTTP/1.0" 200 18324 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 545

А почему вы решили что именно вас взламывают ?

90% - это хостера взламали

Или если у вас есть еще сайты на WP

 

/wp-rss.php

 

Я бы хостеру претензию предъявил в первую очередь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
halfhope    163

Это означает, что сайт находится под контролем ботнета, он вставляет в начало файлов eval, смещая его табуляцией, чтобы при открытии файла, вредоносный код находился за пределами рабочей области редактора и его не было видно "человеческим глазом". Таким образом, заражая различные файлы сайта, он "пускает корни" на вашем сайте. Нужно убирать все сразу, иначе заражение произойдет вновь.

 

Если не получится, то я предоставляю услуги по очистке, пользователям форума - небольшая скидка. Гарантия 6 месяцев.

 

Из недавних уязвимостей софта на сервере, которые часто используют, есть уязвимость в proftpd.

Изменено пользователем halfhope

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
thvanx    0

А почему вы решили что именно вас взламывают ?

90% - это хостера взламали

Или если у вас есть еще сайты на WP

 

 

Я бы хостеру претензию предъявил в первую очередь

А что предъявить хостеру, что сказать...? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 545

А что предъявить хостеру, что сказать...? 

Ну потому что если вы всё вычистили а заражения продолжаются, то заражают через него

Пусть подымает свои логи, "баррикадирует" дырки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chukcha    1 017

Что такое все вычистил?

 

Если атака целенаправленная, то загрузку шела можно замаскировать и под обычный файл, которую, не так просто определить

 

 

логи http

логи ftp

+ логи админки -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 545

Вообще не плохо было бы если бы автор поста дал url своего сайта

Там уже можно посмотреть, может у него в магазине разрешена загрузка изображений или файлов на сервер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sammy95    67

Если думаете что виноват хостер - просто смените хостера.

 

Но я бы ещё подумал на предмет воровства паролей от ftp - просканировать свой комп свежим антивирусом и не хранить пароли в ftp-клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shuterr    0

Парень выше дал верный ответ про ботнета. Один раз залив шелл вы обречены, хоть заменяйтесь поролями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
thvanx    0

Просканировал аиболитом, удалил все вредоносные скрипты, поменял все пароли, перенес сайт на другой хостинг, установил слежку за сайтом, любое изменение файлов, теперь сразу приходит уведомление на почту.

 

Послежу некоторое время...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Allzip    0

Послежу некоторое время...

Как успехи? Что то выявилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kassir    0

Просканировал аиболитом, удалил все вредоносные скрипты, поменял все пароли, перенес сайт на другой хостинг, установил слежку за сайтом, любое изменение файлов, теперь сразу приходит уведомление на почту.

 

Послежу некоторое время...

 

Здравствуйте. Тоже интересно, а что за слежку установили? Не поделитесь ссылкой?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SlideShow    21

Это означает, что сайт находится под контролем ботнета, он вставляет в начало файлов eval, смещая его табуляцией, чтобы при открытии файла, вредоносный код находился за пределами рабочей области редактора и его не было видно "человеческим глазом". Таким образом, заражая различные файлы сайта, он "пускает корни" на вашем сайте. Нужно убирать все сразу, иначе заражение произойдет вновь.

 

Если не получится, то я предоставляю услуги по очистке, пользователям форума - небольшая скидка. Гарантия 6 месяцев.

 

Из недавних уязвимостей софта на сервере, которые часто используют, есть уязвимость в proftpd.

как вы это поняли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SlideShow    21

Доброго времени суток. Уже который месяц взламывают сайт и заражают shell скриптом. Помогите пожалуйста залатать уязвимость. Ниже предоставляю логи, где злоумышленник заражает сайт.

 

Пробовал менять все пароли, ftp, база данных, админку, сделал двух этапную аутентификацию в админку. Не помогло(

 

Как ему это удается..?

 

 

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:04 +0300] "GET /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 301 322 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:06 +0300] "GET /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 120 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:25:07 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:15 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 14248 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:18 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 23018 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:23 +0300] "GET / HTTP/1.0" 200 171691 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:36 +0300] "POST /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php HTTP/1.0" 200 23678 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/development/less/opencart/skins/watch/vars/vars.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:26:47 +0300] "GET /catalog/view/theme/lexus_superstore/fonts/fontawesome-webfont.woff?v=4.0.3 HTTP/1.0" 200 44432 "www.МойСайт.ru /catalog/view/theme/lexus_superstore/stylesheet/font-awesome.min.css" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:16 +0300] "GET /wp-rss.php HTTP/1.0" 200 20374 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:20 +0300] "GET / HTTP/1.0" 200 171694 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:28:33 +0300] "POST /wp-rss.php HTTP/1.0" 200 18244 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:29:05 +0300] "POST /wp-rss.php HTTP/1.0" 200 13100 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

www.МойСайт.ru  36.250.176.222 - - [27/May/2016:07:29:17 +0300] "POST /wp-rss.php HTTP/1.0" 200 18324 "www.МойСайт.ru /wp-rss.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"

 

на хостинге один магазин или есть еще сайты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SlideShow    21

Вообще не плохо было бы если бы автор поста дал url своего сайта

Там уже можно посмотреть, может у него в магазине разрешена загрузка изображений или файлов на сервер

Это было бы слишком просто, думаю у него визитка на joomla стоит да и делов то...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
halfhope    163

как вы это поняли?

 

опыт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
laim731    21

Давай линк на сайт в ПМ проверю на дыры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу