Взлом сайта

Тема в разделе "OpenCart", создана пользователем kuklev, 1 мар 2015.

  1. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Добрый день.
    Сегодня обнаружил, что к сайту имеет доступ посторонний человек. А именно в яндекс вебмастере добавлен пользователь с правом управления сайтом.

    При попытке сбросить права яндекс выдает следующее сообщение:
    Мета-тег <meta name='yandex-verification' content='569fcb2d6671f30c' /> на главной странице (метод проверки прав).

    2 вопроса:
    1. Где найти этот тег (header.tpl, home.tpl) тег не содержат этот.
    2. Как защититься от атак в будущем?

    Сайт benkoni.com
     
  2. Толик

    Толик

    Регистрация:
    14 апр 2014
    Сообщения:
    37
    Симпатии:
    6
    Так удалите пользователя , на сайте нет <meta name='yandex-verification' content='569fcb2d6671f30c' />
     
  3. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2

    Удалил, но вопрос как сделать так, чтобы более не добавлялись. Где может быть брешь в сайте?
     
  4. Zilog

    Zilog

    Регистрация:
    26 дек 2014
    Сообщения:
    21
    Симпатии:
    5
    не к сайту а яндекс вебмастеру, смените пароли контрольные слова и все такое и доступ прекратится
     
  5. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    ОООО да у Вас там вообще не какой безопасности нет(((( Даже школьник сможет зайти в админ панель((
    --- Добавлено, 1 мар 2015 ---
    ето сдесь вообще не причем, ето можно прописать и к другому акку яндекса, гугла.
     
  6. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    По защите уже понял что никакой, вопрос в том что сделать, чтобы защитить?
     
  7. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    ну для начало помять все что имеется на сайте, связанно по защите. Если подробнее то в личку
     
  8. MGT1

    MGT1

    Регистрация:
    5 янв 2013
    Сообщения:
    617
    Симпатии:
    182
    А почему в личку? Данная тема думаю будет актуальна для многих, так что, если есть возможность и познания, прошу поделится основами улучшения безопасности.
     
  9. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    Познание самые примитивные:smile: Менять пути админки, пользователя админ, прописывать уникальный код вход в админку, ставить антипаролеватель прописаны в .hta, ссылки входов, меня все что идет у хостинга, и как в этом сайте yandex, у каждого сайта свой подход и свое размещение...
     
  10. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Полностью согласен. У многих есть сайты на этой платформе, и думаю многим из них было бы важноузнать хотя бы основы защиты... Понятно, что при особом желании можно взломать все что угодно, но хотя бы от школьников защититься.
    --- Добавлено, 1 мар 2015 ---
    Есть какая нибудь статья на эту тему, для обычного пользователя?
     
  11. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    Могу сказать одну защиту, поставьте в хосте ваш айпи, а остальные просто закройте. Очень серьезная защита правда, так-же есть и недостаток, это же айпи... Если не знаете то лучше не делайте...
     
  12. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Насколько я понимаю, это можно делать только в случае статического ай по?
     
  13. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    А вот это смотрите у себя, а вас может в вашей сети статика, а у провайдера динамика(Смотря как наши админы поставили). Погоняйте пару дней свой айпи и узнайте
     
  14. mr.Elias

    mr.Elias

    Регистрация:
    15 июн 2013
    Сообщения:
    269
    Симпатии:
    41
    Привет!
    У меня есть предложение, надеюсь многие поддержат.

    Было бы неплохо расписать поподробнее как что делать (или выложить на ютуб)
    И тебе полезно и выгодно, и камрадам было бы над чем покумекать.
    Плюс клиентов насобираешь побольше, чем тут по одному в личку вылавливаешь.
     
  15. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    Привет.
    Я клиентов не ищу:smile:, а просто помогаю людям... А на ютубе вылаживать это не для меня:smoke:голос не вышел) Просто у каждого движка, а тем более хостинга свои мароки, ну и своя защита.
     
  16. Zilog

    Zilog

    Регистрация:
    26 дек 2014
    Сообщения:
    21
    Симпатии:
    5
    причем тут все махинации с хостингом и сайтом
    , когда речь идет о яндекс вебмастере, который не имеет отношения к хостингу ну никак.

     
    mr.Elias нравится это.
  17. Fiable

    Fiable

    Регистрация:
    16 авг 2014
    Сообщения:
    171
    Симпатии:
    107
    Да все при том что для того что бы добавить сайт на яндекс, надо на хостинге залить файл. И в первую очередь это админка магазина, где прописывается логи ошибки, в которых указывается что где и как...... ето касательно безопасности что меня спрашивали

    А касательно того, что яндекс как и мейл-рi почта вообще га.но то тут и так понятно.
     
  18. cereberlum

    cereberlum

    Регистрация:
    26 май 2013
    Сообщения:
    740
    Симпатии:
    266
    Справедливости ради, хочу отметить что метатеги в шаблон из админки не пишутся (Ну если только через код аналитики) и если там изменение в шаблоне, то это либо сделано разработчиком, либо шелл надо искать или доступ по фтп менять. Для админки был модуль admin security, кажется.
     
  19. mr.Elias

    mr.Elias

    Регистрация:
    15 июн 2013
    Сообщения:
    269
    Симпатии:
    41
    Короче говоря камрады,
    давайте все-таки напишем шаги для защиты сайта по пунктам.
    и сделаем ФАК, который модератор прикрепит для ламеров вроде меня:adolf:

    Пишите пункты
    1. Что надо сделать
    1.1. Описание
    Уверен что многие поддержат
     
  20. Zilog

    Zilog

    Регистрация:
    26 дек 2014
    Сообщения:
    21
    Симпатии:
    5
    дык у него на сайте этого файла и не было - раз
    что бы пользователя на вебмастер добавить - ничего на хостинг заливать не надо
    мета добавлена не была

    повторюсь, с чего решили что взломан хостинг?


    надо пароли придумавыть состоящие из букв и цыфр
    следить за обновлениями
    менять пароли раз в полгода

    все остальное обходится и ничего вас не спасет от заказа, а от пионеров этого достаточно