Взломан/заражен сайт

[Xlebosolniy]

Привет. Такая проблема возникла, сегодня сайт был заблокирован хостером по поводу вредоносной активности. В тех.поддержке объяснили, что сайт возможно был взломан или заражен каким-то образом. Модули никакие не устанавливал, все стандартное стоит как при установки. Вчера зайдя на сайт из поиска через гугл, главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал. 

 

Вот такая папка находится рядом с корневой:

в папке modules находится папка mod_menu > tmpl  а дальше уже пусто

 

а вот в самой папке public_html

 

 

Если не ошибаюсь, то раньше файлов с расширеним .suspected и wp-ss.php/wp-ss.zip, 1.php и 404.company.php и mysql-adminer.php не было

 

Откуда капать, какими программами или модулями можно провериться (если можно)? 

 

Заранее спасибо

 

 

 

 

 

 

 

 

Змінено 28 квітня 2017 користувачем Xlebosolniy

[Eldaeron]

Xlebosolniy,

 

Да, откройте любой из этих файлов и если там что-то такое:

<?php eval(base64 decode("DQpdfdu8Ggf9cvsdRfcds9ssdsSSRTFdxkfQ==")); ?>

Да вломали, И уже видно, есть файлов небыло.

https://www.revisium.com/ai/ Проверяйте.

[Xlebosolniy]

Да, есть такие строчки в файлах с расширением .suspected 

 

[Xlebosolniy]

делаю проверку через ai-bolit и проблема на 2 пункте

1. скопировать из папки /ai-bolit/ файлы на сервер в корневой каталог

2. подключиться к серверу по ssh, перейти в папку сайта

 

в адресной строке нужно перейти в папку сайта ? как это сделать

[Eldaeron]

Xlebosolniy, Спросите хостера про доступ по ssh, если есть возможность то нужно использовать например putty

[Xlebosolniy]

Bitvise SSH Client и просто putty?

[Xlebosolniy]

С этим вроде разобрался) сначала после ввода логина вылетала ошибка 

 

ну после запуска от админа перестало, когда повторно стал логиниться опять вылетает эта ошибка. Открывал как от админа, так и без

[Xlebosolniy]

С этим тоже разобрался и теперь проблема с 3 пунктом

3. выполнить команду в командной строке
   php ai-bolit.php

 

файл этот в директории есть 

 

[kvr66]

ai-bolit можно запустить и через http зачем обязательно SSH ?

встречался с такой проблемой, могу сразу сказать, что удалением лишних файлов не обойтись, тут будет эта дрянь прописана и в родных файлах, смотрите к примеру ваш index.php, могу на 99% сказать что там тоже прописано, посмотрите на его права 755 вместо 644 )

в принципе ai-bolit вытащит все зараженые файлы. но просто удалением и чисткой не обойтись, на следующий день снова появляются.

откуда чего ползет так и не определил, решал проблему костыльными методами )

[Xlebosolniy]

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

[Eldaeron]

10 минут назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

[kvr66]

33 минуты назад, Xlebosolniy сказал:

техподдержка скинула мне список файлов из-за которых проблемы, но что с этими файлами делать? что из них удалять, как понять какой участок кода отвечает за эти проблемы? и вообще, каким образом все это могло проникнуть если сайт никому неизвестный толком

напишите какие файлы вам выдала техподдержка.

21 минуту назад, Eldaeron сказал:

Сохраните рисунки, папку image, если у вас чистый ОС и все остальное без модулей, удаляйте к чертовой бабушке, и просто установите с нуля ОС. Только смотрите в папку image тоже могут быть нежелательные файлы.

бесполезно. если есть дыра то сколько не перезаливай движок на чистую, толку 0. так и будет лезть эта срань.

[Eldaeron]

kvr66, Согласен. Может просто пароль был банальный admin/admin, может ftp открыт. Нужно тогда просто последнюю версии ставить... Там же закрывают дыры... И смотреть что за сборка, откуда скачана. Так же смотреть логи, как атаку произвели, точку входа так сказать найти...

[kvr66]

да нет это не изза пароля в админку и фтп, могу точно сказать. где то дыра.

тс а шаблон какой ?

[Xlebosolniy]

Шаблон стандартный. Никаких модулей не ставил вообще. 

 

Список, который дала тех поддержка

/home/p2557475/domains/2557475.ru/public_html/admin/controller/extension/payment/sagepay_server.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/wp-xmlrpc.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/controller/localisation/rss_feeder.class.php_backup
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/catalog/start.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/en-gb/marketing/title15.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/payment/ocstore_yk_company_MP.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/total/redsistem.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/ru-ru/extension/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/login.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/arhive.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/search.php
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/access.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/language/english/total/pas.php.suspected
/home/p2557475/domains/2557475.ru/public_html/admin/model/tool/test53.php
/home/p2557475/domains/2557475.ru/public_html/system/smsgate/title.php
/home/p2557475/domains/2557475.ru/public_html/system/storage/modification/admin/proxy71.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/api/currency.php
/home/p2557475/domains/2557475.ru/public_html/catalog/language/en-gb/mail/proxy.php
/home/p2557475/domains/2557475.ru/public_html/catalog/model/total/css.php
/home/p2557475/domains/2557475.ru/public_html/mysql-adminer.php
/home/p2557475/domains/2557475.ru/public_html/559571e0a2.php.suspected
/home/p2557475/domains/2557475.ru/public_html/0970252d74.php.suspected
/home/p2557475/domains/2557475.ru/public_html/44af6827fe.php.suspected
/home/p2557475/domains/2557475.ru/public_html/5cc39561cb.php.suspected
/home/p2557475/domains/2557475.ru/public_html/320995e550.php.suspected
/home/p2557475/domains/2557475.ru/public_html/267ad5e64d.php.suspected
/home/p2557475/domains/2557475.ru/public_html/93910bac16.php.suspected

 

Да, было именно admin/admin

 

 

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме и был он на вордпрессе, но так как сайт был сделан совсем не так как хотелось, знакомые попросили сделать чтонибудь похожее на интернет магазин. В директории появились файлы, wp-ss и в них  есть что-то типо wp-content/themes/, вроде как это вордпрессовские куски, может они влезли и чтото натворили)

 

 

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено? и как он загружает? с какого-то сервера или что? просто я думаю, если убрать эти участки и через техподдержку поставить вход в фтп только для моего ип может тогда они не смогут влезть? но я даже не понимаю, что удалять. 

[Xlebosolniy]

Сборка скачивалась с myopencart.com и еще вспомнил, что я все таки ставил vqmod но скачивал его помоему с оф.сайта, но модули все равно никакие не грузил 

Змінено 29 квітня 2017 користувачем Xlebosolniy

[kvr66]

1 час назад, Xlebosolniy сказал:

Список, который дала тех поддержка

так это они вам дали список зараженных файлов, а не файлов в которых есть уязвимость. если не чистить, то с каждым днем зараженных файлов будет все больше )

1 час назад, Xlebosolniy сказал:

или какой-то скрытый скрипт подгружает

где то есть дыра и через нее подгружается

1 час назад, Xlebosolniy сказал:

вроде как это вордпрессовские куски

я так это понимаю, что все это писалось под вп, поэтому что бы замаскировать это дерьмо и называется под вп, но на опенкарте видно нашлась похожая дыра и через нее все это лезет.

может конечно я не прав, так как конкретно откуда это лезет не нашел (

[Xlebosolniy]

Как я понял все это зарыто так глубоко, что можно копать до бесконечности) попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет) спасибо всем за ответы)

[unixweb]

Самый простой способ решения этой задачи, удалить все и восстановить все из резервной копии - это временное решение.

 

Другой вариант решения задачи, скачать все с хостинга на локальную машину и загрузить opencart с официального сайта, после прогнать все файлы в программе для контроля версий файлов - Beyond Compare (Compare, sync, and merge files and folders).

Рекомендую после устранения инородных файлов, арендовать виртуальный сервер KVM и выполнить рекомендации:

1. Настроить проверку на изменения в файлах сайта.

2. Настроить и включить Selinux - разрешаем процессу apache чтение файлов, контекст httpd_sys_content_t

3. Настроить php.ini - все потенциально опасные функции выключены.

4. На сервере включить и настроить Apache mod_security - может защитить сайт от множества веб-атак, включая SQL инъекции.

5. Настроить дополнительную защиту административной части сайта по средствам fail2ban или .htaccess.

6. Настроить ежедневного резервное копирование файлов сайта и базы данных.

7. Настроить ежедневную проверку сайта на вирусы.

8. Проводить проверку обновлений CMS и плагинов.

9. Настроить настроить ежеминутную проверку доступности сайта.

Могу в этом помочь, тут работы достаточно, сделаю работу не дорого. Это обезопасит ваш сайт и будет сложней его скомпрометировать.

Кому интересно пишите в личку помогу.

Змінено 29 квітня 2017 користувачем unixweb

[kvr66]

unixweb, все это конечно хорошо, но это не решение проблемы, все же не могут брать KVM )))

надо искать дыру.

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ? не предложений, не предположений, не комментариев (

[Xlebosolniy]

А можете подсказать, есть ли такая возможность чтобы скрыть страницу site.ru/admin? либо по ип адресу чтобы открывалась или переименовать с /admin на другое где можно?

[kvr66]

можно переименовать, но все пути переписывать придется, в файлах и модификаторах.

[Blondi]

В 28.04.2017 в 18:16, Xlebosolniy сказал:

главную страницу перекрыл рекламнный баннер, но значения этому никакого не предал

Ну вот это как то совсем зря, зря....

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Список, который дала тех поддержка

Судя по тому что заражены даже языковые файлы, то размазана обфусцированная зараза равномерно по всему движку, если нет более ранних бэкапов, то выковыривать руками из каждого файла. Ну или сносить все и ставить по новой.

 

10 часов назад, Xlebosolniy сказал:

есть ли такая возможность чтобы скрыть страницу site.ru/admin

Переименовывать смысла нету, идеальный вариант закрыть в htaccess по IP адресу, это если он статический, если динамический, то через htpasswd добавить дополнительную аутентификацию на уровне апача.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Вообще на этом домене стоял сайт, который заказывался в какой-то фирме

Если все файлы старого движка, и база, были удалены, то никакой роли не играет. Вордпресс был скорее использован как база для малвари, не более того.

 

В 28.04.2017 в 19:17, Xlebosolniy сказал:

делаю проверку через ai-bolit и проблема на 2 пункте

Им можно проверить на локалке с под винды, и не мучить хостинг пиковыми нагрузками.

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

Да, было именно admin/admin

Полно скриптов, которые автоматически ищут и подбирают стандартные пароли на админку во всех известных CMS, так что неудивительно...

 

В 29.04.2017 в 20:09, Xlebosolniy сказал:

я не могу понять логику, если удалить эти куски то оно обратно забирается за счет очередной загрузки или какой-то скрытый скрипт подгружает обратно это все если замечает что что-то было удалено?

По сути да, есть некий загрузчик, залитый через дыру, и он уже втягивает основной код. может контролировать целостность малвари, может нет, зависит от уровня атакующего, и насколько он прицепился именно к вам. По большому счету такие вещи делаются ботнетами массово, и как бы выпадение одного зараженного IP никто и не заметит, но есть и более интересные C&C которые проверяют как дела у их подопечных...

 

16 часов назад, kvr66 сказал:

меня вот интересует, а что же наши гуру опенкарта нечего по этому поводу не выскажут ?

бухали...

[kvr66]

В 29.04.2017 в 23:00, Xlebosolniy сказал:

попробую тогда все удалить, загрузить версию которая не была заражена и заблокировать все доступы к хостингу по ип и посмотрю что из этого выйдет

помогло ?

[Xlebosolniy]

да вроде бы пока все хорошо)