Comments 25
Для тех кто считает статью плохой и ставит минусы: пишите пожалуйста в комментарии почему вы так решили. Потому как по времени, максимум что Вы прочитать успели, был заголовок и пара строк текста ниже.
Возможно, кому-то показался предвзятым тон статьи, а кому-то — очевидной причина спама. Но действительно если даешь негативную оценку, то дай свой фидбек по материалу, чтобы автор мог учесть в будущем.
Статья опубликована в 01:36, ваш комментарий в 01:46. Вы считаете, что люди не могут за 10 минут 80 предложений прочитать?
И на данный момент у статьи всего 2 минуса. Почему это вас так задевает?
И на данный момент у статьи всего 2 минуса. Почему это вас так задевает?
но связаться с кем либо из них, на данный момент, он не может.
Мы попросили клиента связаться со своим другом
Что-то тут не сходится. Он сказал, что не может связаться, но потом вы попросили его это сделать.
Не могу мол понять, почему то сайт не работает. Хостинг вроде оплатил, домен продлен, что не так с сайтом совсем не знает.
что по словам друга, сайта на аккаунте больше нет и восстановить ничего не выйдет. Так ему сказали те самые разработчики
И тут не сходится. Друг ему сказал, что сайта больше нет, но он якобы не может понять, почему сайт не работает.
производилась рассылка спам писем, адреса которых хранились во все той же базе данных сайта, которую предыдущие разработчики не удосужились проверить
Простите, что? Спам это по определению нежелательные письма. Даже если бы они "удосужились проверить", то что они должны были обнаружить? Какие-то почтовые адреса, пользователи которых не хотят получать спам? Почему это должно было их насторожить?
Скриншоты и примеры вредоносного скрипта небыли выложены по причине того, что всегда найдутся личности, использующие пример кода как основу для своих детищ
А нафиг вы вообще написали про это на технический сайт? Покрасоваться какие вы клёвые?
Начну по порядку.
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляетСлава Роскомнадзору!
1, 2. Ну ок, поправили статью.
3. Ну и что? Ну email'ы какие-то. Что они должны были сделать, таблицу удалить? А если сломается что-нибудь, отвечать потом?
4. Собственно, мой вопрос остается в силе. Зачем вы написали об этом на сайт технических специалистов?
Я раз 10 за последние несколько месяцев такое делал. Потому что у начальника сайт компании на ВордПрессе. Только я не пишу об этом статьи, потому что и так все знают, что ВордПресс дырявая штука.
3. Ну и что? Ну email'ы какие-то. Что они должны были сделать, таблицу удалить? А если сломается что-нибудь, отвечать потом?
4. Собственно, мой вопрос остается в силе. Зачем вы написали об этом на сайт технических специалистов?
Я раз 10 за последние несколько месяцев такое делал. Потому что у начальника сайт компании на ВордПрессе. Только я не пишу об этом статьи, потому что и так все знают, что ВордПресс дырявая штука.
Для тех кто считает статью плохой и ставит минусы: пишите пожалуйста в комментарии почему вы так решили.
Хотя минусов я не ставил да и не могу я этого делать, но попробую сформулировать причину, почему мне не понравилась статья.
Проблемы, описанные вами, уже лет 10 как довольно будничные и не представляют какой-либо теоретической ценности. Профессионалы решают их «по щелчку» и без всякого интереса — ибо набили оскомину.
Мы создали новый запрос в техподдержку, с просьбой уточнить, в каких именно файлах был обнаружен вредоносный скрипт, для того, что бы иметь хоть какое то представление, что искать.Вы даже не представляли, что искать? Это многое объясняет. Но мне искренне жаль техподдержку. Вы ведь прочитали предыдущую переписку, об этом было написано в первом письме от них.
А вообще, это предложение как раз и характеризует мое отношение к вашей статье.
Вы подаете материал, как свою победу в маленькой войне, а на самом деле решили курсовую работу. Победа — это хорошо, но мне странно наблюдать за студентом, решившим задачу, уничижительно отзывающегося о других студентах, которые с задачей не справились.
Не минусовал, но соглашусь с большинством, что было бы хорошо, если в статье было больше технических деталей, не полного листинга но хоть части этих скриптов чтобы иметь представление. Так же не хватает описания решений и инструментов которыми вы пользовались. Новичкам бы это пригодилось.
Отличная демонстрация мощи PHP и уровня программирования товарища и его друга.
очередных горе разработчиков
посоветовал ему этих ребят
те самые разработчики, которые очень «эффективно»
профилактических работ ребята не предпринимали
которую предыдущие разработчики не удосужились проверить
Горе гении, которые якобы выполняли очистку в прошлый раз
Еще бы пару раз сказать про «ребят горе гениев» и было бы совсем чудесно.
Здравствуйте! Для начинающих статья полезна, но не решает проблемы.
Я начинаю узнавать эту сферу с нуля и попробовала создать свой сайт, теперь не могу избавиться от этой заразы-спама. Может кто знает что надо делать, что бы устранить это постоянный взлом? И что мне стоит прочитать что бы улучшить безопасность?
Спасибо
Я начинаю узнавать эту сферу с нуля и попробовала создать свой сайт, теперь не могу избавиться от этой заразы-спама. Может кто знает что надо делать, что бы устранить это постоянный взлом? И что мне стоит прочитать что бы улучшить безопасность?
Спасибо
Не раз обращались с аналогичными проблемами с сайтами на движках WP и Joomla. Обычно это случается из за использования варезных плагинов или чаще всего шаблонов в случае с WP. В одном случае был целый сервер у одного клиента, который был взломан а вместе с ним десяток сайтов на WP. Причем «взломщики» не стеснялись оставлять файлы с ссылками на свой форум. Последний раз это были «хакеры» из Турции что подтвердждали файлы с текстами на турецком и множественными запросами с турецких IP. Обычно в таких случаях использую давно зарекомендававший себя AI-Bolit, естественно ручного поиска это не отменяет. Главное найти общий почерк, сигнатуру и искать по аналоги по всем файлам на хостинге. В то же время очень много встречалось файлов у которых владельцом был root (взломанный) и права 777, названия схожие с системными папками движка но отличающимися некоторомы символами или цифрами в конце. Так как лечение проводил на территории клиента, решил скачать вче файлы на локальный компьютер и проводить лечение всех и сразу. На компе стоял антивирус NOD32 который при копировании файлов ругался на вирусы. Это стало еще дополнительным инструментом обнаружения и почти все файлы с внедренными скриптами в их теле были обнаружены. Оставшуюся часть скриптов внедренных и в системные файлы движка выявлял find и grep-ом в терминале. Так как файлов было очень много, во время лечения на сервере сайтов на каждом домене, через какое то время происходил повторный взлом раннее вылеченных сайтов. Поэтому лучше все лечить локально и все и сразу загружать на хостинг. После выявления и устранения отдельных файлов со скриптами и инъекций скриптов в системные файлы, были обновлены движки WP и плагины на которые имелись обновления (все они были довольно устаревшими). После лечения и обновления на каждом сайте с движком WP был установлен и настроен ninja firewall, который умеет защищать и мониторить изменения в файлах на сайтах и блокировать брутфорс и множественные частые запросы с IP. Естественно IP собранные из логов были забанены тоже. Были сменены все доступы и по возможности логины. Совместно с саппортом их сервера были приведены в порядок владельцы и права на все папки и файлы. Повторного заражения на данный момент (прошло более 10 месяцев) нет.
P. S. Как показал анализ IP, не все они были турецкими, были и немецкие и российские IP адреса множества хостинг провайдеров где вероятнее всего были размещены ранее взломанные сайты, через которых взламывались следующие сайты и сайты клиента в том числе.
P. S. Как показал анализ IP, не все они были турецкими, были и немецкие и российские IP адреса множества хостинг провайдеров где вероятнее всего были размещены ранее взломанные сайты, через которых взламывались следующие сайты и сайты клиента в том числе.
UFO just landed and posted this here
Добрый день. Нашла способ простого фикса, во первых прочитать тщательно письмо от тех поддержки, там написано, что делало проблему. Потом я решила поставить плагин скан на наличие ошибок — Wordfence. Все по полочкам разложил и помог понять где были ошибки. Они были в корневых файлах типа config.php
Далее обновить вордПресс до последней версии и с ним все плагины и темы и сменить доступы к сайту и можно и к базам.
Далее обновить вордПресс до последней версии и с ним все плагины и темы и сменить доступы к сайту и можно и к базам.
Был такой опыт, сперва мониторил почтарь, дальше post запросы грепал на все ссылки, заканчивающиеся на .php, т.к. ЧПУ обычно без расширений. Дальше искал php там, где их не должно быть, дальше понял, что вирус вписывается в виде открывающего <? и кучи пробелов, т.е. прячется за пределами экрана, дальше eval и base64 искал, потом нашел кучу файлов php, которые без подозрительного кода, но инклудят что-то вроде jpeg текстовых, потом запретил прямой доступ к папкам с либами, ибо точка входа index.php, дальше забанил все php по маске в прямом доступе из сервера. Потом еще махинации с правами доступа к php, в итоге система не может меняться, а аплоад не может исполняться по прямой ссылке. Всё это у одних знакомых на серваке, прошёл год и всё чисто. Обновлять чужие джумлы с кучей кастома не хотелось.
Вроде как не ново, ещё три года назад как минимум была куча сайтов таким образом заражена, да и сегодня тоже довольно много подобных и сложнее случаев, когда кусок вредоносного скрипта, очень короткий и так просто себя не выдаёт, вот тогда это головная боль. А чистить не всегда нужно руками, но главное внимательно.
Статья о лечении адского заражения, которое (лечение) на фрилансе стоит 50$ и занимает 20-30 минут времени
Вставлю свои пять копеек в заметку. Частенько приходилось сталкиваться с таким.
Вообще распространенные CMS обычно не подвергаются целенаправленой атаке, а подвергаются массовому взлому через известные дырки или зашитые закладки в зануленных темах и шаблонах.
Итак, что надо сделать в первую очередь:
1) Очистить сайт от заразы.
Для того чтобы исключить появление новых копий вредоносов в момент очистки можно либо проводить очистку на локальной копии либо закрыть на время сайт (к примеру через .htaccess).
Намного лучше если на хостинге будет доступен ssh. Find и grep помогут намного эффективнее непонятных айболитов (ищем base64, eval, mail, find -mtime), а код сайта в дальнейшем можно будет добавить в git парой команд.
Только главное не забыть лишнее засунуть в .gitignore (можно пошариться на gitignore.io в поисках готового варианта). Также код лучше дополнительно забэкапить во внешнюю приватную репу (bitbucket/giltab в помощь).
2) Защита
Также следует изучить структуру CMS и явно запретить исполнение php в тех директориях в которых скрипты быть не должны (всякие assets и upload). Сделать это можно в .htaccess и для надежности запретить его перезапись через chattr.
Настоятельно рекомендую включить директиву mail.log и писать лог отправки писем. В случае старта волны спама можно будет легко отследить откуда шлются письма.
Закрыть вход в админку дополнительно через BasicAuth или вовсе ограничить списком разрешенных ip.
Выключить ненужные штуки типа xmlrpc.php у Wordpress.
Сменить пароли в CMS, сменить пароли на FTP/SSH (кто знает, может пароли утекли будучи сохраненными в ftp-клиенте админа)
Вообще распространенные CMS обычно не подвергаются целенаправленой атаке, а подвергаются массовому взлому через известные дырки или зашитые закладки в зануленных темах и шаблонах.
Итак, что надо сделать в первую очередь:
1) Очистить сайт от заразы.
Для того чтобы исключить появление новых копий вредоносов в момент очистки можно либо проводить очистку на локальной копии либо закрыть на время сайт (к примеру через .htaccess).
Намного лучше если на хостинге будет доступен ssh. Find и grep помогут намного эффективнее непонятных айболитов (ищем base64, eval, mail, find -mtime), а код сайта в дальнейшем можно будет добавить в git парой команд.
Только главное не забыть лишнее засунуть в .gitignore (можно пошариться на gitignore.io в поисках готового варианта). Также код лучше дополнительно забэкапить во внешнюю приватную репу (bitbucket/giltab в помощь).
2) Защита
Также следует изучить структуру CMS и явно запретить исполнение php в тех директориях в которых скрипты быть не должны (всякие assets и upload). Сделать это можно в .htaccess и для надежности запретить его перезапись через chattr.
Настоятельно рекомендую включить директиву mail.log и писать лог отправки писем. В случае старта волны спама можно будет легко отследить откуда шлются письма.
Закрыть вход в админку дополнительно через BasicAuth или вовсе ограничить списком разрешенных ip.
Выключить ненужные штуки типа xmlrpc.php у Wordpress.
Сменить пароли в CMS, сменить пароли на FTP/SSH (кто знает, может пароли утекли будучи сохраненными в ftp-клиенте админа)
Sign up to leave a comment.
Взлом сайта с помощью другого сайта. Доверяй, но проверяй