Поломали сайты и залили дорвеи. Как отловить дыру и последствия?

lightman555

Гуру форума
Регистрация
7 Мар 2013
Сообщения
337
Реакции
64
поломали 2-а магазина находящиеся на одном хостинге.
Один магазин на версии 1.4.11
а другой на 1.6.0.9

то есть движки довольно разные.

На вид вроде ничего не потревожили но залили в разные месте скрипты с огромным количеством страниц ссылающихся на скачивание файлов с трояном по смс.

судя по всему сделано было это давно но почему то яндекс не индексировал эти страницы а совсем недавно увидел их в поиске.

ссылка на эти форумы имеют вид:
Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра ссылки Войди или Зарегистрируйся

служба поддержки помогла обнаружить места расположения этих скриптов
один был в модулях
другой тоже но в другом модуле
папки со скриптами переименовал - теперь не запускаются
в роботе поставил запрет индексации вида Disallow: /*?ktr*

но это все хорошо конечно, но меня волнует 2-а вопроса:
1) откуда берутся пути на эти форумы ?
тоесть как скрипт этот понимает находящайся в определенной пвапке что запрос Для просмотра ссылки Войди или Зарегистрируйся
это запрос к нему?
где прописывается такой путь (файлы наксеса и индекса в корне смотрел и не нашел изменений)
2) нужно понять все таки откуда пролезли чтобы пресечь в будущем - какие идеи есть? где копаться или может что доставить?
3) какие могут быть еще последствия - возможно где то еще нахулиганили и расставили ссылки - как отловить и где смотреть?

бекап старенький - мало что восстановлю и опять же могли что и в базе сделать но так как изменений много в ней было а папку с вирусом я обнаружил в бекапе 3-х месячной давности то естественно так просто не поправить....

хостер фаствпс

помогите пожалуйста - впервые с таким сталкиваюсь!
 
А как вообще можно проверить сайт на наличие подобных болезней?
 
я пока только знаю один - это через яндекс вебмастер и посмотреть страницы в поиске но это долго и не совсем корректно
тут видимо нужно ставить какую то програмулину которая бы отслеживала "нововведения" в магазине

видимо здесь с таким никто не сталкивался :(
 
Последнее редактирование модератором:
Из того, что я знаю - некоторые, кто выкладывает платные модули здесь (или еще где) вставляют в них паразитные скрипты, аля cpatext и тому подобный шлак для заработка.
А вот так чтобы взламывали впрямую... ну надо смотреть все доступы, какие дырки позволяют заливать файлы на сайт и т.д. и т.п. Но это спецы знают, довольно узкие. А тут форум больше для людей "побаловаться, замутить свой магазинчик" или фрилансеров.
 
видимо здесь с таким никто не сталкивался :(
попробуй поискать ссылки - base64 (программа для поиска FileLocator Pro), если найдешь чего, можешь проверить в декодере Для просмотра ссылки Войди или Зарегистрируйся Вариантов может быть много, может кто через FTT пролез, может с модулем... Почитай тут: Для просмотра ссылки Войди или Зарегистрируйся
 
Из того, что я знаю - некоторые, кто выкладывает платные модули здесь (или еще где) вставляют в них паразитные скрипты, аля cpatext и тому подобный шлак для заработка.
А вот так чтобы взламывали впрямую... ну надо смотреть все доступы, какие дырки позволяют заливать файлы на сайт и т.д. и т.п. Но это спецы знают, довольно узкие. А тут форум больше для людей "побаловаться, замутить свой магазинчик" или фрилансеров.

еще бы списочек таких модулей был - вообще было бы замечательно! :)

да я уж понял что тематика узкая и мало кто знает об этом, но убежден что наверняка у части здесь участвующих подобные "плюшки" присутствуют - просто они об это не знаю
так как судя по времени записи файлов на сервер прошло 3-и месяца прежде чем вирь был обнаружен притом обнаружен путем изучения поисковой выдачи сайта

очень похоже на то как здесь написано в статье, но у меня он не переадресовывал на мобильные - просто создался форум в определенной папке и там куча ссылок на скачивание троянов:
Для просмотра ссылки Войди или Зарегистрируйся
 
еще бы списочек таких модулей был - вообще было бы замечательно! :)
У кого этот списочек есть - те, по понятным причинам, его не обнародуют. У меня вот нет ( А так самому любопытно, где у меня эта зараза. Но пришлось блокировать.
 
У кого этот списочек есть - те, по понятным причинам, его не обнародуют. У меня вот нет ( А так самому любопытно, где у меня эта зараза. Но пришлось блокировать.


в престе есть полезная функция - проверка изменённых файлов по сравнению с дефолтными:

в модуле однокликового апгрейда или в меню админки Информация -> Конфигурация СПИСОК ИЗМЕНЕННЫХ ФАЙЛОВ


это позволяет ограничить первичный список поиска нестандартных моментов
 
в престе есть полезная функция - проверка изменённых файлов по сравнению с дефолтными:

в модуле однокликового апгрейда или в меню админки Информация -> Конфигурация СПИСОК ИЗМЕНЕННЫХ ФАЙЛОВ


это позволяет ограничить первичный список поиска нестандартных моментов
это смешно, когда у тебя магазин на 50% переписан, и большая часть его функционала реализована сторонними модулями (которые и имеют "довесочек")
 
у меня такое было сайты разные,напихали даже на сайты на html в php формы, залезли при переносе со старого сервера на новый, причем переносил саппорт хостера
проверь скриптом сервер Rootkit Hunter и антивирусом
 
Назад
Сверху