Всем привет !
Прошу специалистов подсказать, как обнаружить и закрыть дыры в сайте .
Подменяется или появляются такие страницы, как 404_error.php, components/price/user.php, includes/jquery/autogrow/functions.php
Шаблон Adattive, v1.10.3
#2
12 октября 2014 в 01:05
Самое простое — это восстановить бэкап. А вообще надо смотреть где у вас сидит web shell, через который и заливают эти файлы.
Ну и раз сломали уже, значит надо пароли от доступа к хостингу поменять (ftp, ssh), а то можно ждать повторения.
Ну и раз сломали уже, значит надо пароли от доступа к хостингу поменять (ftp, ssh), а то можно ждать повторения.
Сегодня в 17:28
#4
12 октября 2014 в 10:24
Заметил хостер, предупреждает уже третий раз(… они сказали смотреть в скриптах, в каких именно не уточнили.
Насколько я понял, было перенаправление на какую то страницу, при просмотре сайта на мобильных устройствах.
Также с сайта идет рассылка каких то писем, я как то порылся в одной из найденных залитых, чужих страниц… нашел в оконцовке сайт куда идет перенаправление — на сайт каких то курсов в Москве..
Пока поменяю пароли… ума не приложу, как закрыть доступ.
Насколько я понял, было перенаправление на какую то страницу, при просмотре сайта на мобильных устройствах.
Также с сайта идет рассылка каких то писем, я как то порылся в одной из найденных залитых, чужих страниц… нашел в оконцовке сайт куда идет перенаправление — на сайт каких то курсов в Москве..
Пока поменяю пароли… ума не приложу, как закрыть доступ.
сегодня нашел файл — custom_icons2.php в корне сайта
и файл inc.php
где и как можно узнать, каким образом они туда попали?
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
#6
12 октября 2014 в 11:52
Нашел в аналитике webalizerftp какого то пользователя для ftp, примечательно то, что я не создавал такого пользователя и нигде больше он не виден… где он мог прописаться?
#7
12 октября 2014 в 15:47
может хостера взломали, а они не хотят признавать, что они не успели вовремя убрать уязвимости в BASH (Shellshock)
#8
12 октября 2014 в 16:19
Александр, вы плохо понимаете суть данной уязвимости, иначе бы не выдвинули такое предположение.
#9
12 октября 2014 в 18:27
Уважаемый stealthdebuger
Александр, вы плохо понимаете суть данной уязвимости, иначе бы не выдвинули такое предположение.
все возможно, ну сами подумайте если получить полный доступ к серверу на котором хранятся сайты, или хостер использует старое ПО в котором есть лазейки и возможно просмотра не только своего сайта, а и других каким то образом, то можно внедрять свой зловредный код в другие детища. Я просто стараюсь рассмотреть все возможные явления в данной ситуации. Плюс если уязвимость дает большие возможности и получить полный контроль над машиной(выполняя любые команды), почему вы считаете, что такая вроде бы абсурдная идея не имеет право на существование?
#10
12 октября 2014 в 18:29
P.S. по мне лучше еще посмотреть репутацию данной компании и отзывы других о их услугах. (выбирая самых достойных и проверенных).
#11
12 октября 2014 в 23:27
Александр, согласен… серверный антивирь нашел 4 шелла, причем заражены были и пара других сайтов.
ну вот, я просто стараюсь, ничего личного))) 
я советую вам чаще делать бекапы, желательно отдельные еще потом периодически раз в неделю или хотя бы месяц, почистить сайт от шелов и т.д.
подыскать достойного хостера для своего сайтика и не забывать главное про безопасность на своём компьютере — поставить хотя бы тот же NOD32 от комании ESET(версию Endpoint Security 5.0.2229.1, она лучше корпоративная и firewall есть!)
а так еще проверьте AI-Bolit'ом скриптом выше в самом первом комментарии про него написал ^^
я советую вам чаще делать бекапы, желательно отдельные еще потом периодически раз в неделю или хотя бы месяц, почистить сайт от шелов и т.д.
подыскать достойного хостера для своего сайтика и не забывать главное про безопасность на своём компьютере — поставить хотя бы тот же NOD32 от комании ESET(версию Endpoint Security 5.0.2229.1, она лучше корпоративная и firewall есть!)
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
а так еще проверьте AI-Bolit'ом скриптом выше в самом первом комментарии про него написал ^^
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
#13
13 октября 2014 в 16:22
Al-Bolit есть у меня, но чет я не особо ему доверял… так и не использовал его, надо поюзать… Стоит AVG врде суровый антивирь)
Бекапы серверными средствами делаю.
Бекапы серверными средствами делаю.
Про бекап
P.S. Ниасилил я как спойлер вставлять, прошу прощения.
Так если всю базу целиком, и если есть доступ к ssh, то удобней и быстрее так:кто какие использует срипты(вещи) для бекапа базы данных, ну кроме phpmyadmin? Я например очень люблю Sypex Dumper 2
#15
19 октября 2014 в 20:53
Подменяется или появляются такие страницы, как 404_error.php, components/price/user.php, includes/jquery/autogrow/functions.php
Капец, эти файлы после удаления опять появились, что делать ???