Защита от взлома

Тема в разделе "OpenCart", создана пользователем kuklev, 29 июл 2015.

  1. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Уважаемые форумчане. Взломали новый сайт, наставили ссылок. В связи с чем возникает 2 вопроса:

    1. Как их найти на сайте (может все скопировать, и спомощью какой либо программы проанализировать весь код).
    Ссылки след:

    http://sex-porn-video.ru/online/468...shey-sestroy-v-spalne-na-skrytuyu-kameru.html
    http://vipitheti.net/lainaa-1000/
    http://www.yeshlek-gazeta.ru
    http://www.teplo51.ru
    http://www.pechati-srochno.ru
    http://www.q-cargo.ru/services.html
    http://www.baby.ru/blogs/post/214826454-138258681/
    http://www.baby.ru/blogs/post/15437324/
    http://dostavka-gaza-v-dom.ru/
    http://www.baby.ru/blogs/post/375403261-342856492/?event=651523436
    http://www.baby.ru/names/description/5259159/
    http://fc-psg.ru/futbol/
    http://www.baby.ru/community/view/126291/forum/post/10885227/
    http://www.baby.ru/blogs/post/248169205-86330556/
    http://deshevokovka.ru/kovanyie-besedki/
    http://www.biglion.ru/review/restorany/bada_bing/
    http://omsk.biglion.ru/review/teatry/pyatyi_teatr_omskiy_gosudarstvennyi_kamernyi/
    http://rosy-blues.ru/
    http://belkaistrelka.com.ua/koshki/cats-lakomstva
    http://www.shaum.ru/show.aspx?id=62
    http://orabote55.ru/
    https://metrika.yandex.ru/stat/?id=21170962&from=informer

    2. Поставить дополнительную защиту. Решил последовать этим советам:
    http://webprovincia.com/opencart/zashhita-opencart.html

    НО! У меня файл config.php совершенно другой....
    <?php
    // HTTP
    define('HTTP_SERVER', 'http://www.benkoni.com/');

    // HTTPS
    define('HTTPS_SERVER', 'http://www.benkoni.com/');

    // DIR
    define('DIR_APPLICATION', '/var/www/vhosts/benkoni.com/httpdocs/catalog/');
    define('DIR_SYSTEM', '/var/www/vhosts/benkoni.com/httpdocs/system/');
    define('DIR_DATABASE', '/var/www/vhosts/benkoni.com/httpdocs/system/database/');
    define('DIR_LANGUAGE', '/var/www/vhosts/benkoni.com/httpdocs/catalog/language/');
    define('DIR_TEMPLATE', '/var/www/vhosts/benkoni.com/httpdocs/catalog/view/theme/');
    define('DIR_CONFIG', '/var/www/vhosts/benkoni.com/httpdocs/system/config/');
    define('DIR_IMAGE', '/var/www/vhosts/benkoni.com/httpdocs/image/');
    define('DIR_CACHE', '/var/www/vhosts/benkoni.com/httpdocs/system/cache/');
    define('DIR_DOWNLOAD', '/var/www/vhosts/benkoni.com/httpdocs/download/');
    define('DIR_LOGS', '/var/www/vhosts/benkoni.com/httpdocs/system/logs/');


    Тут админа совсем нету.... Не могу понять как папку переименовать и куда внести изминения
     
  2. skiv14

    skiv14

    Регистрация:
    9 июн 2015
    Сообщения:
    412
    Симпатии:
    159
    По пункту 1
    Я пользуюсь программкой nohiddenlinks
     
  3. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    293
    Симпатии:
    186
    1) мало вероятно, что вы по поиску найдёте эти ссылки, скорей всего они покодированны, да и найти их в коде лишь часть задачи, главное найти чем они создались
    2) админа у вас нету потому что вы открыли конфиг паблика, зайдите в admin и там тоже такой же файлик будет)
    3) палить путь серверного окружения, ну по меньшей мере глупо)
     
  4. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Не вкупил....
     
  5. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    293
    Симпатии:
    186
    конфиг по какому пути открыли?
    по
    /var/www/vhosts/benkoni.com/httpdocs/admin/config.php
    или
    /var/www/vhosts/benkoni.com/httpdocs/config.php

    и какая вообще у вас версия движка-то?
     
  6. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2

    Ссылка не рабочая

    открыл по пути nvhost.ru/httpdocs/config.php
    Версия 1.5.6
     
  7. AnOcToJI

    AnOcToJI

    Регистрация:
    28 дек 2012
    Сообщения:
    293
    Симпатии:
    186
    kuklev нравится это.
  8. kuklev

    kuklev

    Регистрация:
    31 дек 2012
    Сообщения:
    147
    Симпатии:
    2
    Ссылки оказались зашифрованы. Есть предложения как их найти? И самое важно где брешь в защите?

    Еще вот тут не могу права сбросить. Пароль по фтп поменял.

    https://yadi.sk/i/tUE1Hbp7iAGG2

    Поднял файлы footer, home, header в них кода
    yandex-verification тупо нет....

    Ссылки убрал. Заменил фалый шаблона на исходные (завтра футер поправлю). Вопрос - как взломали сайт остается открытым... МОжет что то еще имеет смысл поставить?

    Самое интересное. Сбросил права в яндекс вебмастере, они подтвердились заново (на скриншоте видно). Зашел в яндекс вебмастер через пару минут (фалы еще не менял), пользователя уже нет...
     
    Последнее редактирование: 29 июл 2015
  9. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.054
    Симпатии:
    779
    Поищите поиском по файлам call_user_func, base64, eval. Ещё можно поискать curl и file_get_contents. Эти функции должны выдать код, который вставляет ссылки. Только учтите, что они могут быть и не во вредоносном коде тоже, так что не удаляйте бездумно всё, где найдутся вхождения этих слов.

    В каком-то из модулей мог быть бекдор. Если есть vQmod модули, то даже бекдор не нужен, такой модуль может сам полностью автоматически не только натыкать ссылок куда угодно, но ещё и обновлять их периодически :Smile:



    Используйте верификацию через DNS запись, это значительно надёжнее.
     
    kuklev нравится это.