Поломали сайты и залили дорвеи. Как отловить дыру и последствия?

Тема в разделе "PrestaShop", создана пользователем lightman555, 5 окт 2015.

Информация :
Хочешь в разделе без проблем общаться - прочти правила, чтобы потом с форумом на время не прощаться. Читать обязательно!
Внимание! Читайте внимательно правила!Предупреждения выдаются без всяких вопросов. Нарушил - получил. Будьте Внимательнее! Постинг нескольких постов подряд приравнивается к НАРУШЕНИЮ! Будьте вежливы и соблюдайте правила ;-)
Модераторы: ZiX
  1. lightman555

    lightman555

    Регистр.:
    7 мар 2013
    Сообщения:
    206
    Симпатии:
    7
    поломали 2-а магазина находящиеся на одном хостинге.
    Один магазин на версии 1.4.11
    а другой на 1.6.0.9

    то есть движки довольно разные.

    На вид вроде ничего не потревожили но залили в разные месте скрипты с огромным количеством страниц ссылающихся на скачивание файлов с трояном по смс.

    судя по всему сделано было это давно но почему то яндекс не индексировал эти страницы а совсем недавно увидел их в поиске.

    ссылка на эти форумы имеют вид:
    http://www.l********.ru/?ktr=index

    http://e********.ru/?dkh=index

    служба поддержки помогла обнаружить места расположения этих скриптов
    один был в модулях
    другой тоже но в другом модуле
    папки со скриптами переименовал - теперь не запускаются
    в роботе поставил запрет индексации вида Disallow: /*?ktr*

    но это все хорошо конечно, но меня волнует 2-а вопроса:
    1) откуда берутся пути на эти форумы ?
    тоесть как скрипт этот понимает находящайся в определенной пвапке что запрос http://www.l********.ru/?ktr=index
    это запрос к нему?
    где прописывается такой путь (файлы наксеса и индекса в корне смотрел и не нашел изменений)
    2) нужно понять все таки откуда пролезли чтобы пресечь в будущем - какие идеи есть? где копаться или может что доставить?
    3) какие могут быть еще последствия - возможно где то еще нахулиганили и расставили ссылки - как отловить и где смотреть?

    бекап старенький - мало что восстановлю и опять же могли что и в базе сделать но так как изменений много в ней было а папку с вирусом я обнаружил в бекапе 3-х месячной давности то естественно так просто не поправить....

    хостер фаствпс

    помогите пожалуйста - впервые с таким сталкиваюсь!
     
  2. Noxikus

    Noxikus

    Регистр.:
    18 фев 2015
    Сообщения:
    248
    Симпатии:
    38
    А как вообще можно проверить сайт на наличие подобных болезней?
     
  3. lightman555

    lightman555

    Регистр.:
    7 мар 2013
    Сообщения:
    206
    Симпатии:
    7
    я пока только знаю один - это через яндекс вебмастер и посмотреть страницы в поиске но это долго и не совсем корректно
    тут видимо нужно ставить какую то програмулину которая бы отслеживала "нововведения" в магазине

    видимо здесь с таким никто не сталкивался :(
     
    Последнее редактирование модератором: 6 окт 2015
  4. Pirate

    Pirate

    Регистр.:
    6 дек 2012
    Сообщения:
    268
    Симпатии:
    26
    Из того, что я знаю - некоторые, кто выкладывает платные модули здесь (или еще где) вставляют в них паразитные скрипты, аля cpatext и тому подобный шлак для заработка.
    А вот так чтобы взламывали впрямую... ну надо смотреть все доступы, какие дырки позволяют заливать файлы на сайт и т.д. и т.п. Но это спецы знают, довольно узкие. А тут форум больше для людей "побаловаться, замутить свой магазинчик" или фрилансеров.
     
  5. sergiykhd

    sergiykhd Sergiy

    Регистр.:
    17 апр 2013
    Сообщения:
    491
    Симпатии:
    187
    попробуй поискать ссылки - base64 (программа для поиска FileLocator Pro), если найдешь чего, можешь проверить в декодере http://base64.ru/ Вариантов может быть много, может кто через FTT пролез, может с модулем... Почитай тут: http://joomla-secrets.ru/interesnye...04-iskhodyashchie-ssylki-kodirovanie-v-base64
     
  6. lightman555

    lightman555

    Регистр.:
    7 мар 2013
    Сообщения:
    206
    Симпатии:
    7
    еще бы списочек таких модулей был - вообще было бы замечательно! :)

    да я уж понял что тематика узкая и мало кто знает об этом, но убежден что наверняка у части здесь участвующих подобные "плюшки" присутствуют - просто они об это не знаю
    так как судя по времени записи файлов на сервер прошло 3-и месяца прежде чем вирь был обнаружен притом обнаружен путем изучения поисковой выдачи сайта

    очень похоже на то как здесь написано в статье, но у меня он не переадресовывал на мобильные - просто создался форум в определенной папке и там куча ссылок на скачивание троянов:
    http://seoshmeo.ru/vzlomali-sajt-zalili-dorvej-i-sdelali-redirekt-dlya-mobilnyx-ustrojstv/
     
  7. Pirate

    Pirate

    Регистр.:
    6 дек 2012
    Сообщения:
    268
    Симпатии:
    26
    У кого этот списочек есть - те, по понятным причинам, его не обнародуют. У меня вот нет ( А так самому любопытно, где у меня эта зараза. Но пришлось блокировать.
     
  8. _sashok

    _sashok создание сайтов продвижение сайтов

    Регистр.:
    15 июл 2011
    Сообщения:
    1.081
    Симпатии:
    1.133

    в престе есть полезная функция - проверка изменённых файлов по сравнению с дефолтными:

    в модуле однокликового апгрейда или в меню админки Информация -> Конфигурация СПИСОК ИЗМЕНЕННЫХ ФАЙЛОВ


    это позволяет ограничить первичный список поиска нестандартных моментов
     
  9. Pirate

    Pirate

    Регистр.:
    6 дек 2012
    Сообщения:
    268
    Симпатии:
    26
    это смешно, когда у тебя магазин на 50% переписан, и большая часть его функционала реализована сторонними модулями (которые и имеют "довесочек")
     
  10. byura

    byura

    Регистр.:
    29 янв 2007
    Сообщения:
    203
    Симпатии:
    70
    у меня такое было сайты разные,напихали даже на сайты на html в php формы, залезли при переносе со старого сервера на новый, причем переносил саппорт хостера
    проверь скриптом сервер Rootkit Hunter и антивирусом