#1 2015-03-03 14:48

Petruxa88
Пользователь

Поломали

Добрый день, в один прекрасный день заметил, что на информационных страницах и страницах регистрации появились левые ссылки.

В корне обнаружил на сайте кучу левых php, к примеру был tab.php и папку s22, все это удалил. Пароли поменял.


Но ссылки так и остались http://april-sky.ru/auxpage_dostavka/

Я перелазил уже весь шаблон и потом в качестве эксперимента поставил другой, но ссылки не исчезли. В итоге понял, что дело не в шаблоне. Нижние ссылки пока закрыл

Код:

<noframes>

. Не могу никак найти куда гады все запихали. Где все это может быть вписано. помогите пожалуйста.

Вирусов на сайте не нашел антивирус.

Файл index.php был тоже отредактирован, вверху он содержал какую то зашифрованную информацию. Сейчас он у меня в таком вид он:


Код:

<?php
if (!isset($ind34b1e8de)) ?>
<?php
@ini_set('zend.ze1_compatibility_mode',0);

if(file_exists("kernel/wbs.xml")){
    $xml= simplexml_load_file("kernel/wbs.xml");
    $type=(string)$xml->FRONTEND['type'];
    $type=isset($type)?$type:'$type';
    $__WBS_INSTALL_PATH = (string)@$xml->DIRECTORIES->WEB_DIRECTORY['PATH'];
}else{
    $type='$type';
    $__WBS_INSTALL_PATH = '';
}
switch ($type){
    case 'PD':{
        chdir('published/PD/');include "index.php";
        break;
        break;
    }
    case 'SC':{
        $_GET['frontend']=1;
        chdir('published/SC/html/scripts/');include "index.php";
        break;
    }
    case 'login':{
        header('Location: login/');
        break;
    }
    case 'none':{
        print '<html><head><title></title></head><body><!-- WebAsyst blank page --></body></html>';
        break;
    }
    default:{
        print '<html><head><title></title></head><body><!-- Error read wbs.xml file --></body></html>';
        break;
    }
}
?>

Отредактировано Petruxa88 (2015-03-03 14:54)

Неактивен

 

#2 2015-03-04 08:29

code2003
Пользователь

Re: Поломали

Добрый день. Тут нужно делать анализ сайта

попробуйте посмотреть файл /published/SC/html/scripts/index.php

Неактивен

 

#3 2015-03-12 23:31

mask
Пользователь

Re: Поломали

Там что угодно может быть.
И js и php и smarty <- кстати чаще всего smarty.

Неактивен

 

#4 2015-03-14 20:45

Оc@н@
Пользователь

Re: Поломали

у нас на сайте тоже появились посторонние ссылки. Кстати не самые "приличные" Мы меняли пароли и проверяли каждую карточку товара. Новые пока не появляются, но и старые еще не все убрали. С конца 2014 года творится какая то ерунда, то одно, то другое, то третье, вот сижу и думаю, а что будет следующее ........

Неактивен

 

#5 2015-05-10 16:07

Valid
Пользователь

Re: Поломали

У меня такая же фигня была в начале этого года. В ручную убрал все вставлены ссылки (очень много). Проходит время и опять ссылки. Я снова вручную. Жаловался на хостера, мол это он разбазаривает логины и пароли. Неоднократно менял пароль к сайту, но не помогло.
Выяснил, что супостат делает "иньекцию" через браузер и он выдает ему логин и пароль в зашифрованном виде base64. Затем его дешифрует (в инете сайтов полно).
Если посмотреть логи, то можно найти вот такую строку:
Запрос:
213.230.77.8 - - [01/Mar/2015:09:43:47 +0300] "GET /index.php?shopping_cart=1&add2cart=1%20and%20(select%201%20from%20(Select%20count(*),Concat((select%20concat_ws(0x3a,customerID,0x3a,login,0x3a,cust_password)%20from%20SS_customers%20limit%200,1),0x3a,floor(rand%20(0)%20*2))y%20from%20information_schema.tables%20group%20by%20y)%20x)-- HTTP/1.0" 200 354 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"

Ответ:
Duplicate entry '1:::admin:::QXMyJEAqKmluV0VuZEU=:1' for key 'group_key' SQL query : select min_order_amount from SS_products where productID=1 and (select 1 from (Select count(*),Concat((select concat_ws(0x3a,customerID,0x3a,login,0x3a,cust_password) from SS_customers limit 0,1),0x3a,floor(rand (0) *2))y from information_schema.tables group by y) x)

Выделил логин и пароль зашифрованный. Затем его дешифрует (в инете сайтов полно).

Зная логин и пароль спокойно входит в админку.

Что я сделал:
1. запретил вход с чужого IP. Он постоянный у меня и только с него вход разрешен. Это делается в .htacsess в корневом:
<Files "admin.php">
Order deny,allow
Deny from All
Allow from здесь ваш IP
</files>


Зная логин и пароль, злоумышленник заходит в админку и заливает свой файл (вредоносный) в папку products_files. Затем через браузер запускает его и загружает другие файлы и создает папки на сервере.

2. Так вот, если файл по какой-то причине все-таки загружен, то не смог запустить его, я поставил на уровне сервера доступ к данной папке по логину и паролю (придумать), а лучше его не указывать в обще. Тогда невозможно будет запускать файлы в этой папке. Пример:

RewriteEngine on
RewriteCond ${LeechProtect:/home/.../public_html/products_files:%{REMOTE_USER}:%{REMOTE_ADDR}:1:UttGiRwNh6fW29uqM98JQ9cs3eYadELC} leech
RewriteRule .* hello
AuthUserFile "/home/.../.htpasswds/public_html/products_files/passwd"
AuthType Basic
AuthName "hello"
require valid-user

3. Полезно поставить защиту на изменение файла htaccess в папке products_files
Прописать:
<Files .htaccess>
order allow,deny
deny from all
</Files>


4. Постоянный контроль на изменение файлов на сервере, хотя бы первое время.

Дополнительно добавлю для информации. Все это прописывается в  .htaccess:

#запрет на просмотр директорий сайта
Options All -Indexes

#    Блокировать любой запрос, пытающийся испортить base64_encode через URL
    RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
    #    Блокировать любой запрос, содержащий тег <script> в URL
    RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
    #    Блокировать любой запрос, пытающийся установить значение глобальных переменных PHP через URL
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    #    Блокировать любой запрос, пытающийся изменить _REQUEST переменную через URL
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    #    Перенаправлять заблокированные запросы
    RewriteRule .* index.php [F]

#Блокировка всех IP адресов, кроме стран СНГ, Bing, Google, Yahoo
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
# Запретить все IP, кроме СНГ, Bing, Google, Yahoo:
RewriteCond %{REMOTE_ADDR} !^(?:2|3|5|3[17]|46|62|7[7-9]|8[0-9]|9[0-5]|1(?:09|28|3[046]|4[1569]|5[189]|64|7[168]|8[58]|9[2-5])|21[237])..*$
RewriteCond %{HTTP_USER_AGENT} !bingbot [NC] RewriteCond %{HTTP_USER_AGENT} !Googlebot [NC] RewriteCond %{HTTP_USER_AGENT} !Slurp [NC] RewriteRule ^.*$ — [F,L] </IfModule>

#Запрет доступа к сайту для поисковых и спам ботов - блокировка ботов по User Agent
<IfModule mod_setenvif.c>
SetEnvIfNoCase User-Agent "8484 Boston Project" ban
SetEnvIfNoCase User-Agent Accelerator ban
SetEnvIfNoCase User-Agent Ants ban
SetEnvIfNoCase User-Agent "Ask Jeeves" ban
SetEnvIfNoCase User-Agent Atomic_Email_Hunter ban
SetEnvIfNoCase User-Agent atSpider ban
SetEnvIfNoCase User-Agent attach ban
SetEnvIfNoCase User-Agent autoemailspider ban
SetEnvIfNoCase User-Agent BackWeb ban
SetEnvIfNoCase User-Agent Baiduspider ban
SetEnvIfNoCase User-Agent Bandit ban
SetEnvIfNoCase User-Agent BlackWidow ban
SetEnvIfNoCase User-Agent "Bot\ mailto:craftbot@yahoo.com" ban
SetEnvIfNoCase User-Agent Buddy ban
SetEnvIfNoCase User-Agent bwh3_user_agent ban
SetEnvIfNoCase User-Agent China ban
SetEnvIfNoCase User-Agent Collector ban
SetEnvIfNoCase User-Agent ContactBot ban
SetEnvIfNoCase User-Agent ContentSmartz ban
SetEnvIfNoCase User-Agent Copier ban
SetEnvIfNoCase User-Agent Custo ban
SetEnvIfNoCase User-Agent DataCha0s ban
SetEnvIfNoCase User-Agent DBrowse ban
SetEnvIfNoCase User-Agent Demo Bot ban
SetEnvIfNoCase User-Agent DISCo ban
SetEnvIfNoCase User-Agent Dolphin ban
SetEnvIfNoCase User-Agent Download ban
SetEnvIfNoCase User-Agent Drip ban
SetEnvIfNoCase User-Agent DSurf15 ban
SetEnvIfNoCase User-Agent EBrowse ban
SetEnvIfNoCase User-Agent eCatch ban
SetEnvIfNoCase User-Agent "Educate Search VxB" ban
SetEnvIfNoCase User-Agent EirGrabber ban
SetEnvIfNoCase User-Agent EmailSiphon ban
SetEnvIfNoCase User-Agent EmailSpider ban
SetEnvIfNoCase User-Agent EmailWolf ban
SetEnvIfNoCase User-Agent ESurf15 ban
SetEnvIfNoCase User-Agent "Express\ WebPictures" ban
SetEnvIfNoCase User-Agent ExtractorPro ban
SetEnvIfNoCase User-Agent EyeNetIE ban
SetEnvIfNoCase User-Agent FileHound ban
SetEnvIfNoCase User-Agent FlashGet ban
SetEnvIfNoCase User-Agent Flexum ban
SetEnvIfNoCase User-Agent "Franklin Locator" ban
SetEnvIfNoCase User-Agent FSurf15 ban
SetEnvIfNoCase User-Agent "Full Web Bot" ban
SetEnvIfNoCase User-Agent GetRight ban
SetEnvIfNoCase User-Agent Gets ban
SetEnvIfNoCase User-Agent GetWeb! ban
SetEnvIfNoCase User-Agent Gigabot ban
SetEnvIfNoCase User-Agent Go!Zilla ban
SetEnvIfNoCase User-Agent Go-Ahead-Got-It ban
SetEnvIfNoCase User-Agent gotit ban
SetEnvIfNoCase User-Agent GoZilla ban
SetEnvIfNoCase User-Agent Grab.*Site ban
SetEnvIfNoCase User-Agent Grabber ban
SetEnvIfNoCase User-Agent GrabNet ban
SetEnvIfNoCase User-Agent Grafula ban
SetEnvIfNoCase User-Agent grub-client ban
SetEnvIfNoCase User-Agent gsa-crawler ban
SetEnvIfNoCase User-Agent "Guestbook Auto Submitter" ban
SetEnvIfNoCase User-Agent Gulliver ban
SetEnvIfNoCase User-Agent HMView ban
SetEnvIfNoCase User-Agent HTTrack ban
SetEnvIfNoCase User-Agent ia_archiver ban
SetEnvIfNoCase User-Agent IBrowse ban
SetEnvIfNoCase User-Agent "Image\ Stripper" ban
SetEnvIfNoCase User-Agent "Image\ Sucker" ban
SetEnvIfNoCase User-Agent "Industry Program" ban
SetEnvIfNoCase User-Agent "Indy\ Library" ban
SetEnvIfNoCase User-Agent inktomi\.com ban
SetEnvIfNoCase User-Agent InterGET ban
SetEnvIfNoCase User-Agent "Internet\ Ninja" ban
SetEnvIfNoCase User-Agent Iria ban
SetEnvIfNoCase User-Agent "ISC Systems iRc Search" ban
SetEnvIfNoCase User-Agent "IUPUI Research" Bot ban
SetEnvIfNoCase User-Agent JetCar ban
SetEnvIfNoCase User-Agent jetcar ban
SetEnvIfNoCase User-Agent JOC ban
SetEnvIfNoCase User-Agent JustView ban
SetEnvIfNoCase User-Agent larbin ban
SetEnvIfNoCase User-Agent LARBIN-EXPERIMENTAL ban
SetEnvIfNoCase User-Agent leech ban
SetEnvIfNoCase User-Agent LeechFTP ban
SetEnvIfNoCase User-Agent LetsCrawl.com ban
SetEnvIfNoCase User-Agent lftp ban
SetEnvIfNoCase User-Agent libwww-perl ban
SetEnvIfNoCase User-Agent likse ban
SetEnvIfNoCase User-Agent "Lincoln State Web Browser" ban
SetEnvIfNoCase User-Agent liveinternet ban
SetEnvIfNoCase User-Agent LMQueueBot ban
SetEnvIfNoCase User-Agent LWP::Simple ban
SetEnvIfNoCase User-Agent "Mac Finder" ban
SetEnvIfNoCase User-Agent Magnet ban
SetEnvIfNoCase User-Agent Mag-Net ban
SetEnvIfNoCase User-Agent Memo ban
SetEnvIfNoCase User-Agent "MFC Foundation Class Library" ban
SetEnvIfNoCase User-Agent "Microsoft URL Control" ban
SetEnvIfNoCase User-Agent "MIDown\ tool" ban
SetEnvIfNoCase User-Agent Mirror ban
SetEnvIfNoCase User-Agent "Missauga Loca" ban
SetEnvIfNoCase User-Agent "Missouri College Browse" ban
SetEnvIfNoCase User-Agent "Mister\ PiX" ban
SetEnvIfNoCase User-Agent "Mizzu Labs" ban
SetEnvIfNoCase User-Agent MJ12bot ban
SetEnvIfNoCase User-Agent "Mo College" ban
SetEnvIfNoCase User-Agent MVAClient ban
SetEnvIfNoCase User-Agent "NameOfAgent (CMS Spider)" ban
SetEnvIfNoCase User-Agent "NASA Search" ban
SetEnvIfNoCase User-Agent Navroad ban
SetEnvIfNoCase User-Agent NearSite ban
SetEnvIfNoCase User-Agent "Net\ Reaper" ban
SetEnvIfNoCase User-Agent "Net\ Vampire" ban
SetEnvIfNoCase User-Agent NetAnts ban
SetEnvIfNoCase User-Agent NetSpider ban
SetEnvIfNoCase User-Agent NetZIP ban
SetEnvIfNoCase User-Agent Ninja ban
SetEnvIfNoCase User-Agent Nsauditor ban
SetEnvIfNoCase User-Agent Octopus ban
SetEnvIfNoCase User-Agent Offline ban
SetEnvIfNoCase User-Agent Page.*Saver ban
SetEnvIfNoCase User-Agent PageGrabber ban
SetEnvIfNoCase User-Agent "Papa\ Foto" ban
SetEnvIfNoCase User-Agent pavuk ban
SetEnvIfNoCase User-Agent PBrowse ban
SetEnvIfNoCase User-Agent pcBrowser ban
SetEnvIfNoCase User-Agent PEval ban
SetEnvIfNoCase User-Agent Pita ban
SetEnvIfNoCase User-Agent Pockey ban
SetEnvIfNoCase User-Agent Poirot ban
SetEnvIfNoCase User-Agent "Port Huron Labs" ban
SetEnvIfNoCase User-Agent "Production Bot" ban
SetEnvIfNoCase User-Agent "Program Shareware" ban
SetEnvIfNoCase User-Agent psbot ban
SetEnvIfNoCase User-Agent PSurf15 ban
SetEnvIfNoCase User-Agent psycheclone ban
SetEnvIfNoCase User-Agent Pump ban
SetEnvIfNoCase User-Agent Reaper ban
SetEnvIfNoCase User-Agent Recorder ban
SetEnvIfNoCase User-Agent ReGet ban
SetEnvIfNoCase User-Agent RSurf15 ban
SetEnvIfNoCase User-Agent Scooter ban
SetEnvIfNoCase User-Agent "searchbot admin@google.com" ban
SetEnvIfNoCase User-Agent "SEO search Crawler" ban
SetEnvIfNoCase User-Agent SEOsearch ban
SetEnvIfNoCase User-Agent ShablastBot ban
SetEnvIfNoCase User-Agent Siphon ban
SetEnvIfNoCase User-Agent SiteSnagger ban
SetEnvIfNoCase User-Agent Snagger ban
SetEnvIfNoCase User-Agent Snake ban
SetEnvIfNoCase User-Agent "snap.com beta crawler" ban
SetEnvIfNoCase User-Agent Snapbot ban
SetEnvIfNoCase User-Agent "sogou develop spider" ban
SetEnvIfNoCase User-Agent "Sogou Orion spider" ban
SetEnvIfNoCase User-Agent "sogou spider" ban
SetEnvIfNoCase User-Agent "Sogou web spider" ban
SetEnvIfNoCase User-Agent "sohu agent" ban
SetEnvIfNoCase User-Agent SpaceBison ban
SetEnvIfNoCase User-Agent SSurf15 ban
SetEnvIfNoCase User-Agent Stripper ban
SetEnvIfNoCase User-Agent Sucker ban
SetEnvIfNoCase User-Agent SuperBot ban
SetEnvIfNoCase User-Agent SuperHTTP ban
SetEnvIfNoCase User-Agent Surfbot ban
SetEnvIfNoCase User-Agent tAkeOut ban
SetEnvIfNoCase User-Agent "Teleport\ Pro" ban
SetEnvIfNoCase User-Agent Triton ban
SetEnvIfNoCase User-Agent TSurf15 ban
SetEnvIfNoCase User-Agent Twiceler ban
SetEnvIfNoCase User-Agent "Under the Rainbow" ban
SetEnvIfNoCase User-Agent Vacuum ban
SetEnvIfNoCase User-Agent VadixBot ban
SetEnvIfNoCase User-Agent VoidEYE ban
SetEnvIfNoCase User-Agent voyager ban
SetEnvIfNoCase User-Agent "W3 SiteSearch Crawler" ban
SetEnvIfNoCase User-Agent W3C_*Validator ban
SetEnvIfNoCase User-Agent W3C-checklink ban
SetEnvIfNoCase User-Agent Weazel ban
SetEnvIfNoCase User-Agent Web.*Spy ban
SetEnvIfNoCase User-Agent "Web\ Image\ Collector" ban
SetEnvIfNoCase User-Agent "Web\ Sucker" ban
SetEnvIfNoCase User-Agent WebAlta ban
SetEnvIfNoCase User-Agent WebAuto ban
SetEnvIfNoCase User-Agent WebCapture ban
SetEnvIfNoCase User-Agent WebCopier ban
SetEnvIfNoCase User-Agent WebFetch ban
SetEnvIfNoCase User-Agent "WebGo\ IS" ban
SetEnvIfNoCase User-Agent WebLeacher ban
SetEnvIfNoCase User-Agent WebMirror ban
SetEnvIfNoCase User-Agent WebReaper ban
SetEnvIfNoCase User-Agent WebRecorder ban
SetEnvIfNoCase User-Agent WebSauger ban
SetEnvIfNoCase User-Agent "Website\ eXtractor" ban
SetEnvIfNoCase User-Agent "Website\ Quester" ban
SetEnvIfNoCase User-Agent WebSpy ban
SetEnvIfNoCase User-Agent Webster ban
SetEnvIfNoCase User-Agent WebStripper ban
SetEnvIfNoCase User-Agent WebVulnCrawl.unknown ban
SetEnvIfNoCase User-Agent WebWhacker ban
SetEnvIfNoCase User-Agent WebZIP ban
SetEnvIfNoCase User-Agent "Wells Search" ban
SetEnvIfNoCase User-Agent "WEP Search" ban
SetEnvIfNoCase User-Agent Wget ban
SetEnvIfNoCase User-Agent Whacker ban
SetEnvIfNoCase User-Agent Widow ban
SetEnvIfNoCase User-Agent www\.asona\.org ban
SetEnvIfNoCase User-Agent WWWOFFLE ban
SetEnvIfNoCase User-Agent "Xaldon\ WebSpider" ban
SetEnvIfNoCase User-Agent Yanga ban
SetEnvIfNoCase User-Agent Zeus ban
<Limit GET POST>
Order Allow,Deny
Allow from all
Deny from env=ban
</Limit>
</IfModule>

Вот пока так реализуемся.
Удачи!

Отредактировано Valid (2015-05-10 18:20)

Неактивен

 

Board footer

Powered by PunBB