Перейти к содержанию
snejzel

взлом через папку logs

Рекомендуемые сообщения

Здравствуйте, подскажите такая проблема, версия сайта 1.5.5.1.2, в папке /system/logs появляется файл error.php, с содержанием http://prntscr.com/hlr8xg и далее не спешно начинается подгрузка левых зашифрованных файлов http://prntscr.com/hlr950 с непонятными названиями, например 6a7xtaf3.php, их может быть 2-3 и более, происходить это может в течении нескольких дней, если эти файлы не удалить, то в какой то момент все сайты на хостинге словят одинаковый вирус с мобильной рекламой и прочей гадостью. Как поподробнее понять что за дара, и как пофиксить, так как на хостинге есть еще магазин такой же версии, но у такой проблемы нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обычно такой взлом происходит через админку. Сам шелл заливается через встроенную систему Бэкап-Восстановление, вызывает преднамеренно ошибку которая записывается в логе, в момент импорта переписывает тип лога ошибок в тот самый error.php, а там уже дело за малым, так как сам файл это простецкий загрузчик.

На форуме полно спецов по лечению.Я бы как минимум рекомендовал менять все доступы, а саму возможность Бэкап/Восстановление вообще отключить , отключив к примеру контроллер.....

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, koras сказал:

Дед с чашкой прав,

:-D

Исчо бы.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
44 минуты назад, koras сказал:

Дед с чашкой прав, я со своей стороны посоветовал админку вообще выносить на поддомен и ограничивать доступ только через подсеть. 

system тоже надо выносить в другое место, не держать в основном разделе.

Не надо ничего выносить на поддомен. достаточно в корне проекта разметстить исполняемые файлы а все остальное вынести на уровень выше и закрыть доступ к админке или по ip или через htpass

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Админку взломали. Подобрали пароль. Рекомендую использовать сложные пароли и следить за изменениями в файлах, а так же поставить HTTP авторизацию на административный раздел.

 

На правах рекламы - "Помогу разобраться с последствиями. Гарантия 6 месяцев."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата

Дед с чашкой

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, zlatoff сказал:

А я думал что это Джеф Бриджес, сыгравший великого большого Лебовски!

 

А если по теме: то по безопасности ОС в первых же строках есть упоминиание что файл лога с ошибками надо переименовать )

Не помогает переименовывание!
Так как этот метод подразумевает автоматический подключение ботом в админку со взломанным паролем.
Изменение названия лога на .php, который может соответственно выполниться.
Лучший способ защиты от этой атаки - это закрывать админку и удалять весь контроллер export/import.
Так как по сути этот функционал неявная дыра, позволяющая выполнить в базу запрос.

  • +1 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо за ответы, попробую сделать, надеюсь поможет) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, zlatoff сказал:

Хоть вы и дуете на палец, но вы открыли мне глаза! Это логично.

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, snastik сказал:

Очень жаль, что вопрос пальцев вас больше волнует, чем глупости которые вы пишите.

Пост был не для того чтобы вы включили логично, а чтобы читатели топика имели правильное понимание. А тут вот еще вскрылось, что вы дикий шалун-фантазер и у вам видятся пальцы. Не тяжело так жить?

Вообщето предполагал, что при наличии такой авы у вас все в порядке с чувством юмора. Увы, то же иногда ошибаюсь.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.