Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Взломан/заражен сайт


Xlebosolniy

Recommended Posts

Привет. Такая проблема возникла, сегодня сайт был заблокирован хостером по поводу вредоносной активности. В тех.поддержке объяснили, что сайт возможно был взломан или заражен каким-то образом. Модули никакие не устанавливал, все стандартное стоит как при установки. Вчера зайдя на сайт из поиска через гугл, главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал. 

 

Вот такая папка находится рядом с корневой:

0357a52d52b44d2a890ee455c6b5b883.png

в папке modules находится папка mod_menu > tmpl  а дальше уже пусто

 

а вот в самой папке public_html

b2d667a748e7458e87373f605d635a9f.png

 

da99b441d6b94e7a8e7bcc589b54f6d1.png

 

Если не ошибаюсь, то раньше файлов с расширеним .suspected и wp-ss.php/wp-ss.zip, 1.php и 404.company.php и mysql-adminer.php не было

 

Откуда капать, какими программами или модулями можно провериться (если можно)? 

 

Заранее спасибо

 

 

 

 

 

 

 

 

Змінено користувачем Xlebosolniy
Надіслати
Поділитися на інших сайтах


Xlebosolniy,

 

Да, откройте любой из этих файлов и если там что-то такое:

<?php eval(base64 decode("DQpdfdu8Ggf9cvsdRfcds9ssdsSSRTFdxkfQ==")); ?>

Да вломали, И уже видно, есть файлов небыло.

https://www.revisium.com/ai/ Проверяйте.

  • +1 2
Надіслати
Поділитися на інших сайтах

делаю проверку через ai-bolit и проблема на 2 пункте


1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог

2. подключиться к серверу по ssh, перейти в папку сайта

 

в адресной строке нужно перейти в папку сайта ? как это сделать

Надіслати
Поділитися на інших сайтах


Xlebosolniy, Спросите хостера про доступ по ssh, если есть возможность то нужно использовать например putty

  • +1 1
Надіслати
Поділитися на інших сайтах

С этим вроде разобрался) сначала после ввода логина вылетала ошибка 

8db9cfac92134429a6328850d510a4c7.png

 

ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без

Надіслати
Поділитися на інших сайтах


С этим тоже разобрался и теперь проблема с 3 пунктом

3. выполнить команду в командной строке
   php ai-bolit.php

 

415add5c57544c5088d251dc3235537d.png

файл этот в директории есть 

 

Надіслати
Поділитися на інших сайтах


ai-bolit можно запустить и через http зачем обязательно SSH ?

встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 )

в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются.

откуда чего ползет так и не определил, решал проблему костыльными методами )

  • +1 1
Надіслати
Поділитися на інших сайтах

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

Надіслати
Поділитися на інших сайтах


10 минут назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

  • +1 1
Надіслати
Поділитися на інших сайтах

33 минуты назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

напишите какие файлы вам выдала техподдержка.

21 минуту назад, Eldaeron сказал:

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань.

  • +1 1
Надіслати
Поділитися на інших сайтах

kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти...

  • +1 1
Надіслати
Поділитися на інших сайтах

Шаблон стандартный. Никаких модулей не ставил вообще. 

 

Список, который дала тех поддержка



/home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php
/home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php
/home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php
/home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php
/home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php
/home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected
/home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected
/home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected
/home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected
/home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected
/home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected
/home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected

 

Да, было именно admin/admin

 

 

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них  есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили)

 

 

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. 

Надіслати
Поділитися на інших сайтах


Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил 

Змінено користувачем Xlebosolniy
Надіслати
Поділитися на інших сайтах


1 час назад, Xlebosolniy сказал:

Список, который дала тех поддержка

так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше )

1 час назад, Xlebosolniy сказал:

или какой-то скрытый скрипт подгружает

где то есть дыра и через нее подгружается

1 час назад, Xlebosolniy сказал:

вроде как это вордпрессовские куски

я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет.

может конечно я не прав, так как конкретно откуда это лезет не нашел (

Надіслати
Поділитися на інших сайтах

Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы)

Надіслати
Поділитися на інших сайтах


Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение.

 

Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders).

Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации:

1. Настроить проверку на изменения в файлах сайта.

2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t

3. Настроить php.ini - все потенциально опасные функции выключены.

4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции.

5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess.

6. Настроить ежедневного резервное копирование файлов сайта и базы данных.

7. Настроить ежедневную проверку сайта на вирусы.

8. Проводить проверку обновлений CMS и плагинов.

9. Настроить настроить ежеминутную проверку доступности сайта.

Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать.

Кому интересно пишите в личку помогу.

Змінено користувачем unixweb
Надіслати
Поділитися на інших сайтах


unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM )))

надо искать дыру.

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев (

  • +1 1
Надіслати
Поділитися на інших сайтах

А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно?

Надіслати
Поділитися на інших сайтах


В 28.04.2017 в 18:16, Xlebosolniy сказал:

главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал

Ну вот это как то совсем зря, зря.... :)

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Список, который дала тех поддержка

Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой.

 

10 часов назад, Xlebosolniy сказал:

есть ли такая возможность чтобы скрыть страницу site.ru/admin

Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме

Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того.

 

В 28.04.2017 в 19:17, Xlebosolniy сказал:

делаю проверку через ai-bolit и проблема на 2 пункте

Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Да, было именно admin/admin

Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно...

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено?

По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных...

 

16 часов назад, kvr66 сказал:

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ?

бухали... :oops:

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...
В 29.04.2017 в 23:00, Xlebosolniy сказал:

попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет

помогло ?

Надіслати
Поділитися на інших сайтах

  • 1 month later...

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.