Взлом opensource движков

Тема в разделе "Мегафлуд", создана пользователем Arcvi, 31 июл 2013.

  1. Arcvi

    Arcvi Постоялец

    Регистр.:
    10 май 2013
    Сообщения:
    74
    Симпатии:
    32
    Друзья, подскажите! Работая с движками opencart и worpdress замечаю в htaccess файлах чужой код, который систематически появляется. Меняю все пароли, удаляю сторонние плагины и модули, однако через некоторое время он опять появляется. Понимаю, что в идеале надо постоянно обновлять движки до актуальной версии, модули, плагины, но в силу большого количества изменений в них это не так просто. Возникает вопрос, так ли легко получить доступ к сайтам на движках, в частности, wordpress и opencart? Может дадите какие-нибудь советы по дополнительной безопасности?
     
  2. Шумадан

    Шумадан Хабарра!!11

    Регистр.:
    6 фев 2008
    Сообщения:
    1.725
    Симпатии:
    2.100
    зависит, но правилом должно быть наличие последних версий плагинов и тем, а также удаление неиспользуемых плагинов и тем.
    первым делом смотреть логи. вторым права на файлах и папках.
    Если это шаред хостинг, то убегать на другой.
    Можно выставить запрет на модификацию файлов (системных, важных, т.д.), также удобно будет поставить скрипт проверки контрольных сум файлов (по крону каждые 24 часа, например) с последующей нотификацией вас об изменениях.

    Для вордпресса и опенкарта установить брутфорс логин защиту и выбрать достаточно сложный пароль для администраторов.
     
    Arcvi и Denis_Pi нравится это.
  3. Denis_Pi

    Denis_Pi Art сreator

    Заблокирован
    Регистр.:
    8 май 2012
    Сообщения:
    398
    Симпатии:
    214
    Не качать скрипты, модули и прочее не понять из каких источников, Выбери себе нормального хостера, перед установкой скриптов, модулей и прочего проверяй что ты вообще себе ставишь, выставляй по уму права на файлы и папки, Настрой, как надо htaccess... и проверь систему на "вирусы"...
     
    Arcvi и Шумадан нравится это.
  4. Шумадан

    Шумадан Хабарра!!11

    Регистр.:
    6 фев 2008
    Сообщения:
    1.725
    Симпатии:
    2.100
    кстате, да, забыл упомянуть о возможных остатках с прошлого взлома, если таковой был. вполне могли остаться шелы либо изменения в файлах контроллеров (например такое видел), где даные кредиток клиентов втихаря записывались в файл в закодированом виде и лежали в кеше в виде xml, файл был доступен для скачивания снаружи.
     
  5. dmx

    dmx

    Регистр.:
    22 июн 2011
    Сообщения:
    671
    Симпатии:
    534
    я думаю троян коннектитсчя по фтп. но всё же правильно сказал чемодан - атрибуты на запись убери.
     
    Sorcus нравится это.
  6. Arcvi

    Arcvi Постоялец

    Регистр.:
    10 май 2013
    Сообщения:
    74
    Симпатии:
    32
    а по конкретнее можно, если не сложно?
    не везде же их убрать можно. есть какие-то базовые моменты при работе с атрибутами файлов этих движков?
     
  7. Шумадан

    Шумадан Хабарра!!11

    Регистр.:
    6 фев 2008
    Сообщения:
    1.725
    Симпатии:
    2.100
    поменяйте пароль фтп, троян имелся ввиду с какойто зараженой машины (может быть и ваша), куда утёк пароль от вашего фтп, но это скорее предположение.
     
  8. Arcvi

    Arcvi Постоялец

    Регистр.:
    10 май 2013
    Сообщения:
    74
    Симпатии:
    32
    пароль от фтп менялся, причем я его вообще не сохраняю в фтп клиенте.
     
    Шумадан нравится это.
  9. ZM2007

    ZM2007

    Регистр.:
    16 окт 2007
    Сообщения:
    188
    Симпатии:
    82
    пздц. сколько уже было похожих тем, просто жуть.

    Вопросы:
    1. Сколько сайтов на аккаунте?
    2. Кто кроме вас имеет доступ к аккаунту?

    Ответы:
    1. Кто-то украл ваш пароль (несколько раз)
    2. Кто-то украл пароль соседа по аккаунту/серверу
    3. Кто-то залил шелл быстрее всего в папку wp-content/uploads или еще куда-то в OpenCart и после правки вами файликов взад, правит их на свое усмотрение.
    4. Правильный шелл позволяет менять права доступа к файлу, поэтому это вряд ли поможет, нужно искать дыру.
    5. Если бы вы поискали до этого на форуме или в гугле то нашли ссылку на такой скрипт:

    Запустили бы его на своем сервере и с вероятностью 90% нашли бы шелл, а может несколько
    6. Если вы правильно работаете с Wordpress (не меняете файлы движка, потому что в этом нет необходимости) то обновлять движок и плагины совсем не сложно.
    7. На сервере есть такая штука как логи, нужно посмотреть в них (подключения по ФТП например)
    8. На сервере есть такая штука как запрет подключения по FTP/SSH со всех IP кроме вашего/или сети ваших айпишников.
    9. У хостера есть саппорт.
     
    Sorcus, Arcvi, latteo и ещё 1-му нравится это.
  10. Шумадан

    Шумадан Хабарра!!11

    Регистр.:
    6 фев 2008
    Сообщения:
    1.725
    Симпатии:
    2.100
    ещё одно, запретить обрабатывание php файлов в папках аплоада, куда теоретически могут попасть скрипты в том или ином виде, типа image.jpg.php ввиду слабого "фильтрования" аплодера