Перейти к содержанию

Рекомендуемые сообщения

Привет. Такая проблема возникла, сегодня сайт был заблокирован хостером по поводу вредоносной активности. В тех.поддержке объяснили, что сайт возможно был взломан или заражен каким-то образом. Модули никакие не устанавливал, все стандартное стоит как при установки. Вчера зайдя на сайт из поиска через гугл, главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал. 

 

Вот такая папка находится рядом с корневой:

0357a52d52b44d2a890ee455c6b5b883.png

в папке modules находится папка mod_menu > tmpl  а дальше уже пусто

 

а вот в самой папке public_html

b2d667a748e7458e87373f605d635a9f.png

 

da99b441d6b94e7a8e7bcc589b54f6d1.png

 

Если не ошибаюсь, то раньше файлов с расширеним .suspected и wp-ss.php/wp-ss.zip, 1.php и 404.company.php и mysql-adminer.php не было

 

Откуда капать, какими программами или модулями можно провериться (если можно)? 

 

Заранее спасибо

 

 

 

 

 

 

 

 

Изменено пользователем Xlebosolniy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Xlebosolniy,

 

Да, откройте любой из этих файлов и если там что-то такое:

<?php eval(base64 decode("DQpdfdu8Ggf9cvsdRfcds9ssdsSSRTFdxkfQ==")); ?>

Да вломали, И уже видно, есть файлов небыло.

https://www.revisium.com/ai/ Проверяйте.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, есть такие строчки в файлах с расширением .suspected 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

делаю проверку через ai-bolit и проблема на 2 пункте


1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог

2. подключиться к серверу по ssh, перейти в папку сайта

 

в адресной строке нужно перейти в папку сайта ? как это сделать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Xlebosolniy, Спросите хостера про доступ по ssh, если есть возможность то нужно использовать например putty

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С этим вроде разобрался) сначала после ввода логина вылетала ошибка 

8db9cfac92134429a6328850d510a4c7.png

 

ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С этим тоже разобрался и теперь проблема с 3 пунктом

3. выполнить команду в командной строке
   php ai-bolit.php

 

415add5c57544c5088d251dc3235537d.png

файл этот в директории есть 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ai-bolit можно запустить и через http зачем обязательно SSH ?

встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 )

в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются.

откуда чего ползет так и не определил, решал проблему костыльными методами )

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

напишите какие файлы вам выдала техподдержка.

21 минуту назад, Eldaeron сказал:

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти...

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра.

тс а шаблон какой ?

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Шаблон стандартный. Никаких модулей не ставил вообще. 

 

Список, который дала тех поддержка



/home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php
/home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php
/home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php
/home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php
/home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php
/home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected
/home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected
/home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected
/home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected
/home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected
/home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected
/home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected

 

Да, было именно admin/admin

 

 

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них  есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили)

 

 

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил 

Изменено пользователем Xlebosolniy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Xlebosolniy сказал:

Список, который дала тех поддержка

так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше )

1 час назад, Xlebosolniy сказал:

или какой-то скрытый скрипт подгружает

где то есть дыра и через нее подгружается

1 час назад, Xlebosolniy сказал:

вроде как это вордпрессовские куски

я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет.

может конечно я не прав, так как конкретно откуда это лезет не нашел (

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение.

 

Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders).

Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации:

1. Настроить проверку на изменения в файлах сайта.

2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t

3. Настроить php.ini - все потенциально опасные функции выключены.

4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции.

5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess.

6. Настроить ежедневного резервное копирование файлов сайта и базы данных.

7. Настроить ежедневную проверку сайта на вирусы.

8. Проводить проверку обновлений CMS и плагинов.

9. Настроить настроить ежеминутную проверку доступности сайта.

Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать.

Кому интересно пишите в личку помогу.

Изменено пользователем unixweb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM )))

надо искать дыру.

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев (

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

можно переименовать, но все пути переписывать придется, в файлах и модификаторах.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 28.04.2017 в 18:16, Xlebosolniy сказал:

главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал

Ну вот это как то совсем зря, зря.... :)

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Список, который дала тех поддержка

Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой.

 

10 часов назад, Xlebosolniy сказал:

есть ли такая возможность чтобы скрыть страницу site.ru/admin

Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме

Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того.

 

В 28.04.2017 в 19:17, Xlebosolniy сказал:

делаю проверку через ai-bolit и проблема на 2 пункте

Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Да, было именно admin/admin

Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно...

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено?

По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных...

 

16 часов назад, kvr66 сказал:

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ?

бухали... :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 29.04.2017 в 23:00, Xlebosolniy сказал:

попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет

помогло ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.