Новый тип взлома сайтов. Рекомендуется к прочтению!

**Павел Joofaq** · 14.02.2014 17:50

ТС, найти вредоносный код обычно особого труда не составляет.

Проставив пару строк кода они получают полный доступ к сайту

Тут возникает другой вопрос - чтобы поставить пару строк кода, сначала нужно найти уязвимость, через которую они это сделали. Вы нашли дыру?

Чаще всего ломают, если:

1. Вы устанавливаете взломанный контент: компоненты, шаблоны (а это бывает ОООЧЕНЬ часто) и т.д.
2. Вовремя не обновляете систему и используемые расширения.
3. Простые пароли.
4. Ну и т.д. до бесконечности. Причин очень много.

Последняя серьезная атака на Joomla была около года назад, когда вовремя не была обнаружена уязвимость популярного компонента JCE. Вот тогда был полный хаос!

**seobb** · 14.02.2014 18:09

В шаблонах до этого ничего не было, и потом, где вы там шаблоны увидели? У меня сохранялись бекапы и есть версии этих файлов, с которыми можно сравнивать. Более того, нашел еще один проект, где этот код был внедрен на 2 месяца, а затем удалён, т.е. злоумышленник подчистил его за собой через некоторое время. Для чего это делали - так и не понял. Как удалось его внедрить тоже непонятно. Пароли на всякий случай везде сменил.

**STRIJ** · 14.02.2014 18:11

Vitaxxxa,

Подскажи плиз, как закрыть на запись?

Но еще дело в том, что нет кода в сторонних файлах, файл новый создается, как бы запретить и создавать новые файлы и загружать.

**Vitaxxxa** · 14.02.2014 20:24

STRIJ, Заходишь на FTP через FileZilla или другой ftp клиент, Находишь папку с активным шаблоном (или ту папку в которой файл с вирусом появляется постоянно) Для WP "wp-content -> themes -> Название шаблона". Дальше правой кнопкой на папке -> права доступа к файлу. Снимаешь галочки с записи и ставишь галочку применять ко всем файлам и каталогам -> ОК. У меня после этого файл перестал появляться.

**STRIJ** · 14.02.2014 20:26

Vitaxxxa,

А, ты про это... ну это понятно, что права на папки и файлы надо проверить, для папок должны быть 755, для файлов 644. ПОнял, ты предлагаешь ументшить права на папку, чтобы никто ничего не смог загрузить, даже ты сам. Попробую, спс.

**MiranFroade** · 15.02.2014 00:09

чем сканировать сайт (все файлы) на наличие строчек кода?

**izyalex** · 15.02.2014 00:43

Самый эффективный способ - это анализ POST запросов из логов.

**milkyway** · 16.02.2014 21:22

STRIJ,Тебе на античат! Скорее всего sql injection

**matios** · 17.02.2014 14:47

Скорее всего sql injection

Бред несете. Где вы тут SQL увидели?

**_Серега_** · 17.02.2014 14:53

на хабре про функцию assert из сабжа, которая используется для выполнения произвольного кода

Из первого комментария там же

"В production environment опция assert.active выключена и аргумент ассерта не вычисляется => злоумышленник ничего не получит."

Редактируйте php.ini или пишите хостеру

	14.02.2014 17:50 #11
Павел Joofaq Работаем с Shop-Script Регистрация: 13.05.2011 Сообщений: 914 Репутация: 277 Webmoney BL: ?	ТС, найти вредоносный код обычно особого труда не составляет. Проставив пару строк кода они получают полный доступ к сайту Тут возникает другой вопрос - чтобы поставить пару строк кода, сначала нужно найти уязвимость, через которую они это сделали. Вы нашли дыру? Чаще всего ломают, если: 1. Вы устанавливаете взломанный контент: компоненты, шаблоны (а это бывает ОООЧЕНЬ часто) и т.д. 2. Вовремя не обновляете систему и используемые расширения. 3. Простые пароли. 4. Ну и т.д. до бесконечности. Причин очень много. Последняя серьезная атака на Joomla была около года назад, когда вовремя не была обнаружена уязвимость популярного компонента JCE. Вот тогда был полный хаос!
0 Павел Joofaq

	14.02.2014 18:09 #12
seobb Студент Регистрация: 18.01.2009 Сообщений: 89 Репутация: 47 Webmoney BL: ?	В шаблонах до этого ничего не было, и потом, где вы там шаблоны увидели? У меня сохранялись бекапы и есть версии этих файлов, с которыми можно сравнивать. Более того, нашел еще один проект, где этот код был внедрен на 2 месяца, а затем удалён, т.е. злоумышленник подчистил его за собой через некоторое время. Для чего это делали - так и не понял. Как удалось его внедрить тоже непонятно. Пароли на всякий случай везде сменил.
0 seobb

	14.02.2014 18:11 #13
STRIJ Гуру Регистрация: 18.04.2011 Сообщений: 971 Репутация: 418 Webmoney BL: ?	Vitaxxxa, Подскажи плиз, как закрыть на запись? Но еще дело в том, что нет кода в сторонних файлах, файл новый создается, как бы запретить и создавать новые файлы и загружать. МОЙ БЛОГ МОЙ TELEGRAM КАНАЛ
0 STRIJ

	14.02.2014 20:26 #15
STRIJ Гуру Регистрация: 18.04.2011 Сообщений: 971 Репутация: 418 Webmoney BL: ?	Vitaxxxa, А, ты про это... ну это понятно, что права на папки и файлы надо проверить, для папок должны быть 755, для файлов 644. ПОнял, ты предлагаешь ументшить права на папку, чтобы никто ничего не смог загрузить, даже ты сам. Попробую, спс. МОЙ БЛОГ МОЙ TELEGRAM КАНАЛ
0 STRIJ

	15.02.2014 00:09 #16
MiranFroade Дипломник Регистрация: 25.01.2014 Сообщений: 207 Репутация: 17	чем сканировать сайт (все файлы) на наличие строчек кода?
0 MiranFroade

Новый тип взлома сайтов. Рекомендуется к прочтению!

Опции темы

Спасибо сказали:

Тэги топика:

Похожие темы

Обращение к форумчанам. К прочтению обязательно.

SEO советы, которым рекомендуется придерживаться.

Правила раздела : Обязательно к прочтению

Правила раздела : Обязательно к прочтению

Как перенести блог на новый хостинг. Востановление после взлома

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	15.02.2014 00:43 #17
izyalex Опытный Регистрация: 20.11.2012 Сообщений: 254 Репутация: 38 Webmoney BL: ?	Самый эффективный способ - это анализ POST запросов из логов. Сpanel хостинг и ISPmanager хостинг от 119р./мес VIP Премиум хостинг в Москве, 1000р./мес и не парюсь
0 izyalex

	16.02.2014 21:22 #18
milkyway Новичок Регистрация: 28.11.2013 Сообщений: 4 Репутация: 2	STRIJ,Тебе на античат! Скорее всего sql injection
0 milkyway

	17.02.2014 14:47 #19
matios Новичок Регистрация: 28.11.2013 Сообщений: 18 Репутация: 0	Скорее всего sql injection Бред несете. Где вы тут SQL увидели?
0 matios

	17.02.2014 14:53 #20
_Серега_ Дипломник Регистрация: 11.02.2013 Сообщений: 125 Репутация: 32 Webmoney BL: ?	на хабре про функцию assert из сабжа, которая используется для выполнения произвольного кода Из первого комментария там же "В production environment опция assert.active выключена и аргумент ассерта не вычисляется => злоумышленник ничего не получит." Редактируйте php.ini или пишите хостеру Последний раз редактировалось _Серега_; 17.02.2014 в 14:55.
0 _Серега_

Темы	Раздел	Ответов	Последний пост
Обращение к форумчанам. К прочтению обязательно.	Обсуждение форума и ваши предложения	125	09.04.2014 08:58
SEO советы, которым рекомендуется придерживаться.	Обучающие статьи	13	14.02.2013 01:00
Правила раздела : Обязательно к прочтению	Google	0	12.11.2011 23:06
Правила раздела : Обязательно к прочтению	Апдейты Yandex	0	12.11.2011 22:55
Как перенести блог на новый хостинг. Востановление после взлома	Дайджест блогосферы	1	14.08.2011 21:42