OC v3.х Как заблокировать действие вируса на сайте?

  • Автор темы Автор темы svitlo
  • Дата начала Дата начала

svitlo

Разрушитель (V)
Сообщения
606
Реакции
253
Баллы
11 388
Ситуация такова... Есть магазин на опенкарт 3 установлен шаблон техникс 1.1 модуль валютные инструменты ну и так по мелочи рабочие модификаторы... Сайт взломали ( перебором паролей просто вошли в админку) установили модификатор шел и.... что то... куда то прописали))) Я то все почистил все файлы, базу, однако - каждый день в определенное время какая то фигня прописывает в файл индекса вредоностный код))) Изза чего перестает открываться страница) перебрал все по файлику) Установка прав 444 не помогла... установка 444 от имени рут тоже не помогла))) Подскажите хоть куда копать) Выкачал все файлы... Проверил на вирус тотале =- все чисто... Однако файл ежедневно приходиться очищать и как с этим бороться?)))
 
так обратись в тп хостинга) может там помогут), а лучше всего скачать на комп все и проверять...... может что упустил. Или как вариант шаблон кривой
 
так обратись в тп хостинга) может там помогут), а лучше всего скачать на комп все и проверять...... может что упустил. Или как вариант шаблон кривой
У меня сервак) Да так и сделал выкачал все на комп ... Рядом сайт на вп тоже был зараженн... почистил - вроде норм стало... Да суть вопроса собственно в том... Как мне отследить на серваке - какой файл запускает выполнение этого действия.
 
ясно я так и подумал, что сервак, так как на хостинге такое почти всегда исключено...... а насчет вирусов и серваков то ищи профильный форум)
 
кстати насчет сервака))) он у тебя дома? подскажи может с фринас работал когдато? у меня нет выделеного айпи, нужно настроить доступ с инета в домашний нас..... надо проброс портов сделать и фринас настроить.... но чтото нет инфы по нему нигде толком или не попалося мне, может встречал?
 
Установка прав 444 не помогла... установка 444 от имени рут тоже не помогла))) Подскажите хоть куда копать)
В таких случаях нужно использовать
Bash:
sudo chattr -i <filename>
 
кстати насчет сервака))) он у тебя дома? подскажи может с фринас работал когдато? у меня нет выделеного айпи, нужно настроить доступ с инета в домашний нас..... надо проброс портов сделать и фринас настроить.... но чтото нет инфы по нему нигде толком или не попалося мне, может встречал?
Нет я арендую виртуальный... Еще дома мне не хватало этого гемороя))) После ферм для майненга... Больше нет желания держать такое дома))) По настройке есть решения .... Когда то тоже заморачивался с этим... Есть сервисы для привязки айпи... Попадуться в закладках - скину.
 
В таких случаях нужно использовать
Bash:
sudo chattr -i <filename>
Спасибо! К файлу прописать полный путь?))) А то файл то индекс а их у меня на 20 акаунтах море) все индексы проставить права... Нет необходимости) Спасибо огромное попробую.
 
ясно я так и подумал, что сервак, так как на хостинге такое почти всегда исключено...... а насчет вирусов и серваков то ищи профильный форум)
)))) Почему исключено? Та забрасывают шолов и на хостингах пачками! У меня несколько лет на хостенджере был акаунт так там проходной двор был особенно на скриптах обменников от павлухи)) И клиентам по разным хостингам чистил неоднократно)))
 
Спасибо! К файлу прописать полный путь?))) А то файл то индекс а их у меня на 20 акаунтах море) все индексы проставить права... Нет необходимости) Спасибо огромное попробую.
Конечно полный путь
 
Посмотри по дате, что менялось в этот период, изображения, css шрифты и прочее в том числе. При определенных условиях шел и туда можно залить
 
Не могу понять зачем кому сайт ложить…
Скинь этот код который ложит сайт, люди здесь посмотрят.
Откуда знаешь что брутом вошли?
Раньше были брутилки переваливали файлик и он уже потом проверяет и перезаливает шелл если его нет.
Вобщем проще всю cms переустановить, но можно мягко, заменой файлов, и вот как выше писали обратить внимание на директории картинок и тд, если апач то смотреть htacecc. Его можно и самому подфиксить, чтоб там скрипты не запускались.
Мне кажется нормально закрывать некоторые директории от доступа из вне, если заливка картинок, то там и всегда ограничиваю запуск любых скриптов.
 
Последнее редактирование:
Не могу понять зачем кому сайт ложить…
Скинь этот код который ложит сайт, люди здесь посмотрят.
Откуда знаешь что брутом вошли?
Раньше были брутилки переваливали файлик и он уже потом проверяет и перезаливает шелл если его нет.
Вобщем проще всю cms переустановить, но можно мягко, заменой файлов, и вот как выше писали обратить внимание на директории картинок и тд, если апач то смотреть htacecc. Его можно и самому подфиксить, чтоб там скрипты не запускались.
Мне кажется нормально закрывать некоторые директории от доступа из вне, если заливка картинок, то там и всегда ограничиваю запуск любых скриптов.
знаю потому что установили модуль - шол называется))) модулем прописали вредоностный код))) каждый день в файл индекса и htacecc автоматом вносились правки но с htacecc я порешал правами 444 а вот в индекс ничего не помогает( корень же сайта я не закрою))) да можно конечно все с нуля переделать... Сайт не ложили а вкинули туда свой магазин на китайском))) паралельно висел) в поиск попало 600 страниц в индекс))) я почистил... ну а последствия остались те каждый день в индекс прописывается вредоностный код изза которого белая страница так как индексный файл)
Такой модуль что бы установить по любому в админку нужно войти https://www.opencart.com/index.php?...nsion_id=33922&filter_search=shell&sort=price )))
Да еще маленький ньюанс - эта хрень автоматом по всем папкам разбрасывает htacecc с разрешением исполнения рнр))) задалбываюсь файл зилой удалять)))
 
Последнее редактирование:
Выложи этот модуль, но только не сюда, а куда нибудь в раздел пхп может, чтоб посмотрели у кого есть время.
Хотя врятли кто будет целый модуль изучать.
Может через соседний сайт зашли. Нужно сисадмина и кодера, методом тыка ничего не решится.
Так оно и работает, где-то файл заменили и он по запросу перезаливаивает файлы.
Меняй всю систему, права, или ищи специалиста.
И он не будет вредоносным, просто чек на твой индекс, и если не откликается, перезаливка на новый с другого файла. Потому и не работает что версии может различаются.
Я бы перезалил все файлы cms и ограничил права на директории
 
Последнее редактирование:
Выложи этот модуль, но только не сюда, а куда нибудь в раздел пхп может, чтоб посмотрели у кого есть время.
Та к проблема не в модуле))) Модуль который они установили я удалил я к стати его выше написал на него ссылку проблема в том что бы запретить изменение индексного файла в корне! Ставил права 444 от рута - не помогло...
 
каждый день в определенное время какая то фигня прописывает в файл индекса вредоностный код)))
Если в определённое время , то почему бы не проанализировать записи в access логах, опираясь на время внесения изменений.
 
Если в определённое время , то почему бы не проанализировать записи в access логах, опираясь на время внесения изменений.
Да так и делаю... но пока увы не нашел! Как говорил классик))) Будем искать)))
 
Можно еще пройтись массовым поиском по файлам через grep и поискать функции, типа file_put_contents, fwrite , eval, base64_decode...
 
Можно еще пройтись массовым поиском по файлам через grep и поискать функции, типа file_put_contents, fwrite , eval, base64_decode...
Спасибо! Я просканировал базу https://www.virustotal.com/gui/file...80d1d244e9c1d8ffdd8b054fb4558533eb6/detection антивир показал наличие шела перебрал по табличке... пока не могу найти)))
 
Кому нибудь да пригодится:
Проверить модификаторы, так как в них могут хрень напихать...
На серваке стоит какая либо панель? Если да, то в большинстве случаев, там есть антивирус.
Можно и айболитом так прогнать, если нет панели.
 
Назад
Верх