Xlebosolniy Опубліковано: 28 квітня 2017 Share Опубліковано: 28 квітня 2017 (змінено) Привет. Такая проблема возникла, сегодня сайт был заблокирован хостером по поводу вредоносной активности. В тех.поддержке объяснили, что сайт возможно был взломан или заражен каким-то образом. Модули никакие не устанавливал, все стандартное стоит как при установки. Вчера зайдя на сайт из поиска через гугл, главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал. Вот такая папка находится рядом с корневой: в папке modules находится папка mod_menu > tmpl а дальше уже пусто а вот в самой папке public_html Если не ошибаюсь, то раньше файлов с расширеним .suspected и wp-ss.php/wp-ss.zip, 1.php и 404.company.php и mysql-adminer.php не было Откуда капать, какими программами или модулями можно провериться (если можно)? Заранее спасибо Змінено 28 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options...
Eldaeron Опубліковано: 28 квітня 2017 Share Опубліковано: 28 квітня 2017 Xlebosolniy, Да, откройте любой из этих файлов и если там что-то такое: <?php eval(base64 decode("DQpdfdu8Ggf9cvsdRfcds9ssdsSSRTFdxkfQ==")); ?> Да вломали, И уже видно, есть файлов небыло. https://www.revisium.com/ai/ Проверяйте. 2 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 28 квітня 2017 Автор Share Опубліковано: 28 квітня 2017 Да, есть такие строчки в файлах с расширением .suspected Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 28 квітня 2017 Автор Share Опубліковано: 28 квітня 2017 делаю проверку через ai-bolit и проблема на 2 пункте 1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог 2. подключиться к серверу по ssh, перейти в папку сайта в адресной строке нужно перейти в папку сайта ? как это сделать Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 28 квітня 2017 Share Опубліковано: 28 квітня 2017 Xlebosolniy, Спросите хостера про доступ по ssh, если есть возможность то нужно использовать например putty 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Bitvise SSH Client и просто putty? Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим вроде разобрался) сначала после ввода логина вылетала ошибка ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим тоже разобрался и теперь проблема с 3 пунктом 3. выполнить команду в командной строке php ai-bolit.php файл этот в директории есть Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 ai-bolit можно запустить и через http зачем обязательно SSH ? встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 ) в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются. откуда чего ползет так и не определил, решал проблему костыльными методами ) 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 10 минут назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 33 минуты назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком напишите какие файлы вам выдала техподдержка. 21 минуту назад, Eldaeron сказал: Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань. 1 Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Xlebosolniy Опубліковано: 28 квітня 2017 Автор Share Опубліковано: 28 квітня 2017 Да, есть такие строчки в файлах с расширением .suspected Надіслати Поділитися на інших сайтах More sharing options...
Xlebosolniy Опубліковано: 28 квітня 2017 Автор Share Опубліковано: 28 квітня 2017 делаю проверку через ai-bolit и проблема на 2 пункте 1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог 2. подключиться к серверу по ssh, перейти в папку сайта в адресной строке нужно перейти в папку сайта ? как это сделать Надіслати Поділитися на інших сайтах More sharing options...
Eldaeron Опубліковано: 28 квітня 2017 Share Опубліковано: 28 квітня 2017 Xlebosolniy, Спросите хостера про доступ по ssh, если есть возможность то нужно использовать например putty 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Bitvise SSH Client и просто putty? Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим вроде разобрался) сначала после ввода логина вылетала ошибка ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим тоже разобрался и теперь проблема с 3 пунктом 3. выполнить команду в командной строке php ai-bolit.php файл этот в директории есть Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 ai-bolit можно запустить и через http зачем обязательно SSH ? встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 ) в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются. откуда чего ползет так и не определил, решал проблему костыльными методами ) 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 10 минут назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 33 минуты назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком напишите какие файлы вам выдала техподдержка. 21 минуту назад, Eldaeron сказал: Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань. 1 Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Bitvise SSH Client и просто putty? Надіслати Поділитися на інших сайтах More sharing options...
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим вроде разобрался) сначала после ввода логина вылетала ошибка ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без Надіслати Поділитися на інших сайтах More sharing options...
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 С этим тоже разобрался и теперь проблема с 3 пунктом 3. выполнить команду в командной строке php ai-bolit.php файл этот в директории есть Надіслати Поділитися на інших сайтах More sharing options...
kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 ai-bolit можно запустить и через http зачем обязательно SSH ? встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 ) в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются. откуда чего ползет так и не определил, решал проблему костыльными методами ) 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 10 минут назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 33 минуты назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком напишите какие файлы вам выдала техподдержка. 21 минуту назад, Eldaeron сказал: Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань. 1 Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Надіслати Поділитися на інших сайтах More sharing options...
Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 10 минут назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 33 минуты назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком напишите какие файлы вам выдала техподдержка. 21 минуту назад, Eldaeron сказал: Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань. 1 Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 33 минуты назад, Xlebosolniy сказал: техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком напишите какие файлы вам выдала техподдержка. 21 минуту назад, Eldaeron сказал: Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы. бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань. 1 Надіслати Поділитися на інших сайтах More sharing options... Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Eldaeron Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти... 1 Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра. тс а шаблон какой ? 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Шаблон стандартный. Никаких модулей не ставил вообще. Список, который дала тех поддержка /home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php /home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected /home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php /home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php /home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php /home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php /home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php /home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php /home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected /home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected /home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected /home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected /home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected /home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected /home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected Да, было именно admin/admin Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили) я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. Надіслати Поділитися на інших сайтах More sharing options...
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 (змінено) Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил Змінено 29 квітня 2017 користувачем Xlebosolniy Надіслати Поділитися на інших сайтах More sharing options...
kvr66 Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 1 час назад, Xlebosolniy сказал: Список, который дала тех поддержка так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше ) 1 час назад, Xlebosolniy сказал: или какой-то скрытый скрипт подгружает где то есть дыра и через нее подгружается 1 час назад, Xlebosolniy сказал: вроде как это вордпрессовские куски я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет. может конечно я не прав, так как конкретно откуда это лезет не нашел ( Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options... unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
Xlebosolniy Опубліковано: 29 квітня 2017 Автор Share Опубліковано: 29 квітня 2017 Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы) Надіслати Поділитися на інших сайтах More sharing options...
unixweb Опубліковано: 29 квітня 2017 Share Опубліковано: 29 квітня 2017 (змінено) Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение. Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders). Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации: 1. Настроить проверку на изменения в файлах сайта. 2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t 3. Настроить php.ini - все потенциально опасные функции выключены. 4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции. 5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess. 6. Настроить ежедневного резервное копирование файлов сайта и базы данных. 7. Настроить ежедневную проверку сайта на вирусы. 8. Проводить проверку обновлений CMS и плагинов. 9. Настроить настроить ежеминутную проверку доступности сайта. Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать. Кому интересно пишите в личку помогу. Змінено 29 квітня 2017 користувачем unixweb Надіслати Поділитися на інших сайтах More sharing options...
kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM ))) надо искать дыру. меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев ( 1 Надіслати Поділитися на інших сайтах More sharing options... Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options... kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Взломан/заражен сайт
Xlebosolniy Опубліковано: 30 квітня 2017 Автор Share Опубліковано: 30 квітня 2017 А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно? Надіслати Поділитися на інших сайтах More sharing options...
kvr66 Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 можно переименовать, но все пути переписывать придется, в файлах и модификаторах. 1 Надіслати Поділитися на інших сайтах More sharing options... Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
Blondi Опубліковано: 30 квітня 2017 Share Опубліковано: 30 квітня 2017 В 28.04.2017 в 18:16, Xlebosolniy сказал: главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал Ну вот это как то совсем зря, зря.... В 29.04.2017 в 20:09, Xlebosolniy сказал: Список, который дала тех поддержка Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой. 10 часов назад, Xlebosolniy сказал: есть ли такая возможность чтобы скрыть страницу site.ru/admin Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача. В 29.04.2017 в 20:09, Xlebosolniy сказал: Вообще на этом домене стоял сайт, который заказывался в какой-то фирме Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того. В 28.04.2017 в 19:17, Xlebosolniy сказал: делаю проверку через ai-bolit и проблема на 2 пункте Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками. В 29.04.2017 в 20:09, Xlebosolniy сказал: Да, было именно admin/admin Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно... В 29.04.2017 в 20:09, Xlebosolniy сказал: я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных... 16 часов назад, kvr66 сказал: меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? бухали... Надіслати Поділитися на інших сайтах More sharing options...
kvr66 Опубліковано: 9 травня 2017 Share Опубліковано: 9 травня 2017 В 29.04.2017 в 23:00, Xlebosolniy сказал: попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет помогло ? Надіслати Поділитися на інших сайтах More sharing options... 1 month later... Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
Xlebosolniy Опубліковано: 2 липня 2017 Автор Share Опубліковано: 2 липня 2017 да вроде бы пока все хорошо) Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts