- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Kotta, есть - удалить шелл и закрыть дыру:)
Но я не умею, а услуга такая стоит у наших спецов на форуме несколько тысяч - поэтому я намекнул тп хостинга что у меня все с безопасностью нормально, а червячок скорее всего с их стороны залез. Ну хз вобщем как-то выкрутился - они сами нашли - я только удалил шелл и поменял htaccess - больше не беспокоит.
Думаю если вы восстановитесь - то как минимум долгое время эта проблема вас беспокоить не будет
Тогда буду восстанавливаться, а если пролезет, то пусть любимый мастерхост ищет. Кстати у нас проблема вылезала тоже 20.08. И проблем с безопасностью с моей стороны нет - я сам себе админ и ко мне никто кроме меня не лазит.
Здравствуйте, столкнулся с аналогичной проблемой, битрикс и изменение, проверил все, искал похожий скрипт, не могу найти шел! пробовал найти, что-то похожее
$auth_pass = "9ed550c6d9e390e8a7a720e4c26ecc3a";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
но нету, уже не знаю, что делать
Здравствуйте, столкнулся с аналогичной проблемой, битрикс и изменение, проверил все, искал похожий скрипт, не могу найти шел! пробовал найти, что-то похожее
но нету, уже не знаю, что делать
Если метрика стоит - смотрите когда начались переходы странные - потом запрашиваете access.log - и в нем смотрите совпадения по времени - тогда найдете.
Всем привет, только для ответа в этой ветки и зарегался.
И так. Шелл лежит у Вас на одном из сайтов на CMS Bitrix в каталоге ../site/bitrix/admin/template_import.php
Шелл WSO.
Как попал?
Скомпроментирована учетная запись администратора на том же сайте где и шел.
Шелл заливается через Админку битрикса - Командная PHP строка.
Что сделать?
Сменить пассы на все учетки, которые имеют доступ в админ панель, на всех сайтах!
Далее:
Для групп администраторов и всех кто имеет доступ в административную панель сайта выставить политики безопасности:
Время жизни сессии (минут): 60
Максимальное количество компьютеров на которых может быть одновременно быть запомнена авторизация: 1
Срок хранения авторизации, запомненной на компьютере пользователя (минут): 120
Минимальная длина пароля: 12
Пароль должен содержать латинские символы верхнего регистра (A-Z): да
Пароль должен содержать латинские символы нижнего регистра (a-z): да
Пароль должен содержать цифры (0-9): да
Пароль должен содержать знаки пунктуации (,.<>/?;:'"[]{}\|`~!@#$%^&*()-_+=): да
Количество попыток ввода пароля до показа CAPTCHA: 3
Проактивный фильтр:
-Активная реакция на вторжение: Очистить опасные данные
-Занести попытку вторжения в журнал: да
-Добавить IP-адрес атакующего в стоп-лист2: на ваше усмотрение
Включить веб-антивирус:
Действия при обнаружении вируса: Вырезать из кода сайта
Интервал оповещения (минуты): 10
На всех сайтах включить контроль целостности:
-Установить пароли.
Хранение сессий в базе данных - Включить
Время жизни идентификатора, в секундах: 15
Зищата редиректов от фишенга - включить
Журналирование событий главного модуля - Включить все
Смена идентификатора сессий - включить
Контроль активности - включить:
-Блокировать на время: 600 сек
-если в течение: 10 сек
-сделано более: 30 хитов
-Сделать запись в журнале событий: да
Удачи, делайте это быстро так как злоумышленники могут изменить шелл, место расположение, использовать обфускацию.
Так же советую переехать на чистую ОС, контейнер, чрут среду, т.к. доверять этой уже нельзя.
Еще полезно в данном случае утилита ai-bolit.php (лучше запускать из командной строки).
IP и hostname редиректов можете оставлять тут, буду наказывать их) 🍿
Мы тоже template_import.php удалили, вроде все почистили. Буду просить чтобы настроили безопасность как Qudu советует.
Спасибо всем огромное!
Если метрика стоит - смотрите когда начались переходы странные - потом запрашиваете access.log - и в нем смотрите совпадения по времени - тогда найдете.
попробую найти
Тему начал, т.к. авось у кого тоже есть такая фигня - мож помогу кому-то, т.к. Гугл и Яндекс мне не помогли.
Такая история чуть ли не у каждого второго взломанного http://www.google.ru/search?client=opera&rls=ru&q=site:forum.searchengines.ru+RewriteCond+%25%7BHTTP_USER_AGENT%7D&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest
http://www.google.ru/search?client=opera&rls=ru&q=site:forum.searchengines.ru+%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9+%D0%BA%D0%BE%D0%B4+%D0%B2+htaccess&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest и тд
Такая история чуть ли не у каждого второго взломанного http://www.google.ru/search?client=opera&rls=ru&q=site:forum.searchengines.ru+RewriteCond+%25%7BHTTP_USER_AGENT%7D&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest
http://www.google.ru/search?client=opera&rls=ru&q=site:forum.searchengines.ru+%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9+%D0%BA%D0%BE%D0%B4+%D0%B2+htaccess&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest и тд
так, наверное искал он не ссылкой на этот форум! я тоже не находил ничего, кроме этой статьи
Не получается найти вирус, сейчас нашел скрипт ai-bolit.php, им попробую найти! может кто в этом шарит, сможет помочь!