Безопасность индексных файлов сайта


	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

mtechno	17.11.2014 - 20:01 [ показать ]
Статус: Offline Шутник Регистрация: 9.11.14 Сообщений: 20	3 Привет ЯПовчанам! Есть ли среди нас смыслящие в веб-программировании? Есть у меня сайт, на котором периодически кто-то меняет содержимое всех индексных файлов, добавляя свой код, загружающий с чужого сайта вредоносный код. Происходит это раз в три месяца, примерно. Приходится вручную возвращать все в исходное состояние. На всех файлах права доступа 644. Техподдержка хостинга шлет смотреть safe mode php. У кого какие идеи?
	[^]

Yap	[ показать ] [x]
Продам слона Регистрация: 10.12.04 Сообщений: 1488
	[^]

котэйко

17.11.2014 - 20:03

Статус: Offline

Бамбарбия кергудатор

Регистрация: 24.03.12
Сообщений: 66213

Цитата

У кого какие идеи?

Те налить????

[^]

samallex	17.11.2014 - 20:05 [ показать ] 0
Статус: Offline Хохмач Регистрация: 18.03.11 Сообщений: 729	движок какой?
	[^]

mtechno	17.11.2014 - 20:11 [ показать ] 0
Статус: Offline Шутник Регистрация: 9.11.14 Сообщений: 20	Рукописная оболочка на пшп, с подключенными модулями разного типа, тоже пшп.
	[^]

samallex	17.11.2014 - 20:17 [ показать ] 2
Статус: Offline Хохмач Регистрация: 18.03.11 Сообщений: 729	тады варианты: 1. Вирусняк на сайте 2. Коряво подключенный модуль или вирусный скрипт в нем. 3. Еще мысль, но четко сформулировать не могу. В общем, суть такова: В одной распространенной CMS сначала вшивали просто ссылки в шаблоны, которые распространялись бесплатно на сайтах и торрентах, затем начали их шифровать в base64, а сейчас, говорят, что ссылки на запущенном сайте появляются через определенное количество просмотров страниц, и подгружаются внешним скриптом, через правильно написанную строчку в пхп индекса. В общем, на мой дилетантский непрофессиональный ум только это пришло. Это сообщение отредактировал samallex - 17.11.2014 - 20:17
	[^]

chexec	17.11.2014 - 20:19 [ показать ] 1
Статус: Offline Я - русский. Мне не стыдно. Регистрация: 21.10.13 Сообщений: 4446	шелл ищи. и по дате изменения индекса смотри логи и куда идут запросы, а потом там ищи баги
	[^]

syshell	17.11.2014 - 20:25 [ показать ] 0
Статус: Offline Йохан Палыч Регистрация: 13.03.14 Сообщений: 9221	Идея простая. Просматривать логи HTTP сервера, вычислять дырявый скрипт с выполнением от владельца и срочно править. Это сообщение отредактировал syshell - 17.11.2014 - 20:26
	[^]

mtechno

17.11.2014 - 20:51

Статус: Offline

Шутник

Регистрация: 9.11.14
Сообщений: 20

Цитата (syshell @ 17.11.2014 - 20:25)

Идея простая. Просматривать логи HTTP сервера, вычислять дырявый скрипт с выполнением от владельца и срочно править.

Больше похоже на правду, тк никаких cms не заюзано. Сейчас гляну лог.

[^]

mtechno	17.11.2014 - 21:04 [ показать ] 0
Статус: Offline Шутник Регистрация: 9.11.14 Сообщений: 20	Выписка из лога в тот период, что были изменены файлы. Код Это сообщение отредактировал mtechno - 17.11.2014 - 21:09
	[^]

~~Kaspersky~~	17.11.2014 - 21:13 [ показать ] 1
Статус: Offline Холодно стало - гордость пропала... Регистрация: 17.06.09 Сообщений: 1049	Скачивай сайт, и ищи с помощью Actual Search & rерlасе: base64 script iframe Да, и пароль поменяй от ФТП. Это сообщение отредактировал Kaspersky - 17.11.2014 - 21:13
	[^]

manager2	17.11.2014 - 21:16 [ показать ] 0
Статус: Offline Ярила Регистрация: 30.03.05 Сообщений: 25446	[кэп мод он] к аналогичной ситуации пришлось обратиться к специалисту помогло [кэп мод оф]
	[^]

alexcap2010	17.11.2014 - 21:17 [ показать ] 0
Статус: Offline Ярила Регистрация: 31.07.10 Сообщений: 1753	647
	[^]

Warq	17.11.2014 - 21:21 [ показать ] 0
Статус: Offline Ярила Регистрация: 25.11.10 Сообщений: 2241	У меня такая же фигня была на сайте, на котором вообще не то что PHP, javascript не было (хотя php был разрешен). Сайт у провайдера. Загрузили каким-то образом php-скрипт, в каждом html-файле добавили javascript с какой-то фигней. В логах апача нашел только PUT. В самом php - оболочка для shell. Похоже, каким-то образом пароль к сайту сперли.
	[^]

mtechno

17.11.2014 - 21:28

Статус: Offline

Шутник

Регистрация: 9.11.14
Сообщений: 20

Цитата (Warq @ 17.11.2014 - 21:21)

У меня такая же фигня была на сайте, на котором вообще не то что PHP, javascript не было (хотя php был разрешен). Сайт у провайдера.
Загрузили каким-то образом php-скрипт, в каждом html-файле добавили javascript с какой-то фигней. В логах апача нашел только PUT. В самом php - оболочка для shell.
Похоже, каким-то образом пароль к сайту сперли.

Дада, как раз мне тоже в файлы добавляли ссыль на яваскрипт.
попробую поискать в самих яваскриптах теперь, их тоже меняли, но неясно где.

[^]

zio42

17.11.2014 - 21:33

Статус: Offline

Приколист

Регистрация: 28.03.14
Сообщений: 229

Цитата (Kaspersky @ 17.11.2014 - 21:13)

Скачивай сайт, и ищи с помощью Actual Search & rерlасе:
base64
script
iframe

Да, и пароль поменяй от ФТП.

У меня примерно такая-же проблема, периодически появляются файлы пхп-шные в разных каталогах, со строкой base64 внутри. Пароль на сайт менял - без толку. Видать двиг дырявый, modx (выбирал сиё чудо не я, досталось по наследству).
Кстати др. веб вычищает такие вири, которые base64 замотаны, даже, сцуко, посмотреть его не дает, убивает на корню темповый файл (наверно и другие антивири ловят, не знаю).
Так что периодически ищу прямо на сайте такие файлы и прибиваю. Хостер сказал - латай двиг, а оно не выходит никак, база слишком большая, апдейт не прокатывает

[^]

mtechno	18.11.2014 - 13:59 [ показать ] 0
Статус: Offline Шутник Регистрация: 9.11.14 Сообщений: 20	Просмотрел вручную все измененные файлы сайта, удалил лишнее. Но Яндекс все равно сайт в небезопасные кидает, гугл и другие норм. Искал актуал сирчем href, base64 и тп, лишнего нету, но один из моих модулей использует base64.
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 1418
0 Пользователей:

[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]