Ситуация такова... Есть магазин на опенкарт 3 установлен шаблон техникс 1.1 модуль валютные инструменты ну и так по мелочи рабочие модификаторы... Сайт взломали ( перебором паролей просто вошли в админку) установили модификатор шел и.... что то... куда то прописали))) Я то все почистил все файлы, базу, однако - каждый день в определенное время какая то фигня прописывает в файл индекса вредоностный код))) Изза чего перестает открываться страница) перебрал все по файлику) Установка прав 444 не помогла... установка 444 от имени рут тоже не помогла))) Подскажите хоть куда копать) Выкачал все файлы... Проверил на вирус тотале =- все чисто... Однако файл ежедневно приходиться очищать и как с этим бороться?)))
OC v3.х Как заблокировать действие вируса на сайте?
- Автор темы svitlo
- Дата начала
У меня сервак) Да так и сделал выкачал все на комп ... Рядом сайт на вп тоже был зараженн... почистил - вроде норм стало... Да суть вопроса собственно в том... Как мне отследить на серваке - какой файл запускает выполнение этого действия.
кстати насчет сервака))) он у тебя дома? подскажи может с фринас работал когдато? у меня нет выделеного айпи, нужно настроить доступ с инета в домашний нас..... надо проброс портов сделать и фринас настроить.... но чтото нет инфы по нему нигде толком или не попалося мне, может встречал?
Нет я арендую виртуальный... Еще дома мне не хватало этого гемороя))) После ферм для майненга... Больше нет желания держать такое дома))) По настройке есть решения .... Когда то тоже заморачивался с этим... Есть сервисы для привязки айпи... Попадуться в закладках - скину.
)))) Почему исключено? Та забрасывают шолов и на хостингах пачками! У меня несколько лет на хостенджере был акаунт так там проходной двор был особенно на скриптах обменников от павлухи)) И клиентам по разным хостингам чистил неоднократно)))
Не могу понять зачем кому сайт ложить…
Скинь этот код который ложит сайт, люди здесь посмотрят.
Откуда знаешь что брутом вошли?
Раньше были брутилки переваливали файлик и он уже потом проверяет и перезаливает шелл если его нет.
Вобщем проще всю cms переустановить, но можно мягко, заменой файлов, и вот как выше писали обратить внимание на директории картинок и тд, если апач то смотреть htacecc. Его можно и самому подфиксить, чтоб там скрипты не запускались.
Мне кажется нормально закрывать некоторые директории от доступа из вне, если заливка картинок, то там и всегда ограничиваю запуск любых скриптов.
Скинь этот код который ложит сайт, люди здесь посмотрят.
Откуда знаешь что брутом вошли?
Раньше были брутилки переваливали файлик и он уже потом проверяет и перезаливает шелл если его нет.
Вобщем проще всю cms переустановить, но можно мягко, заменой файлов, и вот как выше писали обратить внимание на директории картинок и тд, если апач то смотреть htacecc. Его можно и самому подфиксить, чтоб там скрипты не запускались.
Мне кажется нормально закрывать некоторые директории от доступа из вне, если заливка картинок, то там и всегда ограничиваю запуск любых скриптов.
Последнее редактирование:
знаю потому что установили модуль - шол называется))) модулем прописали вредоностный код))) каждый день в файл индекса и htacecc автоматом вносились правки но с htacecc я порешал правами 444 а вот в индекс ничего не помогает( корень же сайта я не закрою))) да можно конечно все с нуля переделать... Сайт не ложили а вкинули туда свой магазин на китайском))) паралельно висел) в поиск попало 600 страниц в индекс))) я почистил... ну а последствия остались те каждый день в индекс прописывается вредоностный код изза которого белая страница так как индексный файл)
Такой модуль что бы установить по любому в админку нужно войти https://www.opencart.com/index.php?...nsion_id=33922&filter_search=shell&sort=price )))
Да еще маленький ньюанс - эта хрень автоматом по всем папкам разбрасывает htacecc с разрешением исполнения рнр))) задалбываюсь файл зилой удалять)))
Последнее редактирование:
Выложи этот модуль, но только не сюда, а куда нибудь в раздел пхп может, чтоб посмотрели у кого есть время.
Хотя врятли кто будет целый модуль изучать.
Может через соседний сайт зашли. Нужно сисадмина и кодера, методом тыка ничего не решится.
Так оно и работает, где-то файл заменили и он по запросу перезаливаивает файлы.
Меняй всю систему, права, или ищи специалиста.
И он не будет вредоносным, просто чек на твой индекс, и если не откликается, перезаливка на новый с другого файла. Потому и не работает что версии может различаются.
Я бы перезалил все файлы cms и ограничил права на директории
Хотя врятли кто будет целый модуль изучать.
Может через соседний сайт зашли. Нужно сисадмина и кодера, методом тыка ничего не решится.
Так оно и работает, где-то файл заменили и он по запросу перезаливаивает файлы.
Меняй всю систему, права, или ищи специалиста.
И он не будет вредоносным, просто чек на твой индекс, и если не откликается, перезаливка на новый с другого файла. Потому и не работает что версии может различаются.
Я бы перезалил все файлы cms и ограничил права на директории
Последнее редактирование:
Та к проблема не в модуле))) Модуль который они установили я удалил я к стати его выше написал на него ссылку проблема в том что бы запретить изменение индексного файла в корне! Ставил права 444 от рута - не помогло...
Спасибо! Я просканировал базу https://www.virustotal.com/gui/file...80d1d244e9c1d8ffdd8b054fb4558533eb6/detection антивир показал наличие шела перебрал по табличке... пока не могу найти)))
Кому нибудь да пригодится:
Проверить модификаторы, так как в них могут хрень напихать...
На серваке стоит какая либо панель? Если да, то в большинстве случаев, там есть антивирус.
Можно и айболитом так прогнать, если нет панели.
Проверить модификаторы, так как в них могут хрень напихать...
На серваке стоит какая либо панель? Если да, то в большинстве случаев, там есть антивирус.
Можно и айболитом так прогнать, если нет панели.