- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Суть вопроса такова:
Позвонил товарищ, говорит, что на его сайте вместо контента какая-то абракадара.
Глянул - там дефейс. Какие-то турецкие хацкеры развлекаются.
Сайт на довольно популярной в буржуйнете CMS-ке.
Посоветовал для начала сделать возврат последнего бекапа, чтобы вернуть "лицо" сайта.
А что дальше "советовать" уж и не знаю, не сталкивался :)
Главный вопрос пострадавшего был в возможных будущих проблемах и насколько опасен этот самый дефейс. Тоесть, что может узнать и поломать злоумышленник, и как вообще с ним бороться.
Сменить все пароли, на фтп, на хостинге итд.. так же постараться устранить уязвимости в движке..
если хакер имеет доступ в к фтп, то в его руках весь сайт. т.к чаще всего в цмс конфиг.данные не шифруются а следовательно можно слить базу данных вместе с сайтом.
Ну стандартный совет - это обновить систему управления контентом. Далее по логам попробовать найти как и что ломали или куда пробовали зайти кулхацкеры. И если обновления не закрывают уязвимость, то вносить изменения в код самостоятельно.
Думаю без программера, который умеет работать с данной CMS, будет трудновато.
Кроме того, по моему Savahost писал скрпт для поиска по системе всякого рода веб-шеллов. Тоже желательно поискать. Ну и вообще посмотреть сайт на наличие лишних скриптов и так далее.
Кроме того, может проблема не в взломе сайта, а компьютере на котором хранятся пароли доступа к сайту (фтп/админской части). Они могут быть банально уведены трояном или каким-нить кейлоггером.
Это то что подсказывает здравый смысл, я думаю ещё меня дополнят :)
Спасибо за быстрый отклик!
Взял доступ к админке, посмотрел. Там в папке files кроме загружаемых jpg к новостям оказалась пачка пхп файлов с кодом турецких кулхацкеров, права на папку были 777.
Поменял на 755 ну и пхп файлы левые поудалял.
дальше они вроде не добрались.
В статистике такие вот точки входа:
сайт.ru/?category=1'%20or+union+select+1,version(),3,4,5,6,7,8,9,10
сайт.ru/?category=1'%20or+union+select+1,2,3,4,5,6,7,8,9,10
сайт.ru/files/redbypass.php
сайт.ru/files/r67.php
Попытка поиметь пароли или что? :)
дубль дубль
Имхо не стоит сильно рассчитывать на статистику, т.к. грамотный хакер все равно стер бы нежелательные посещения.
сайт.ru/files/r67.php
А этот файл был? Если нет, то лучше удалите его, т.к. могли оставить Шелл, тогда смена пароле не поможет, т.к. хакер будет иметь открытый доступ к Вашему сайту, независимо от пароля.
P.S. А главная истина это бэкап и обновления софта.
почему то продублировалось сообщение
сайт.ru/?category=1'%20or+union+select+1,version(),3,4,5,6,7,8,9,10
сайт.ru/?category=1'%20or+union+select+1,2,3,4,5,6,7,8,9,10
это попытка найти уязвимость в недостаточной защите sql (sql-injection) . Если такая уязвимость найдена, то дальше могут быть разные варианты в зависимости от структуры базы. Как один из вариантов пароли.
update:
первый запрос - это попытка узнать версию MySQL. Второй непонятно что :) По логике они должны поменяться местами. Сначала узнаём количество столбцов, а потом уже ищем версию. Хотя в свете тго, что это популярная CMS - смысл второго запроса вообще теряется..
deepslam, ну товарищ не особо шарящий, доверил все пароли, грит пивасом зальет, если починю :D
Просто сам не сталкивался, решил поинтересоваться у спецов.
Мои действия были такие:
1. бекап
2. поменял права на папках
3. поудалял левые пхп файлы
4. просмотрел основные папки и файлы на посторонние предметы :)
Все правильно сделал?
Сейчас все работает.
А по статистике: промониторил ливинтернетовскую. Там заходы с одного айпи, с турецкого. По вышеуказанным ссылкам.
10 дублей.....
первый запрос - это попытка узнать версию MySQL. Второй непонятно что По логике они должны поменяться местами.
так и есть, это из стата ливинтернета, новые точки входа по времени - сверху
Кстати, в папке files был "файл.sql"
кильнул, не посмотрев что там...