Меня взломали?

Автор Тема: Меня взломали?  (Прочитано 2345 раз)

Оффлайн vovchik261Автор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 129
  • Сообщений: 739
  • Карма: 16
  • Пол: Мужской
    • Просмотр профиля
    • Мониторинг Памм счета

Оффлайн vovchik261Автор темы

  • Ветеран
  • *****
Меня взломали?
« : 25-02-2016, 16:41:45 »
Сегодня получил письмо от гугла со следующим содержанием:

Цитировать
На сайте http://megaportal-pro[.]ru используются методы социальной инженерии25 февраля 2016 г.
Веб-мастеру сайта http://megaportal-pro[.]ru
Похоже, некоторые страницы Вашего сайта взломаны или содержат сторонние ресурсы (например, объявления), предназначенные для распространения вредоносного ПО или получения конфиденциальной информации. Чтобы обезопасить пользователей, мы понизили позицию Вашего сайта в результатах поиска. Кроме того, Google Chrome и некоторые другие браузеры будут показывать предупреждение Вашим посетителям.

Перешел в раздел " Проблемы безопасности " и увидел вот это:

 
Цитировать
Опасный контент
Запрос обрабатывается
Системы Google обнаружили опасный контент на некоторых страницах вашего сайта. Рекомендуем как можно скорее удалить этот контент. Пока вы этого не сделаете, Google Chrome и другие браузеры будут показывать предупреждение в том случае, если пользователи будут посещать ваш сайт или скачивать с него файлы. Подробнее...
Скачать все примеры
Вредоносный контент
На этих страницах был размещен опасный контент. Вредоносный код не удалось изолировать.
Подробности
URL страниц с проблемами Время последнего обнаружения
http://megaportal-pro.ru/wp-content/hsbc.co.uk/2/ -
http://megaportal-pro.ru/wp-content/hsbc.co.uk/5/ -

Пошел в менеджер файлов и увидел там папки " hsbc.co.uk " созданные сегодня и удалил их.

Кто с таким сталкивался? Что это может быть? В логах ничего подозрительного не увидел( может потому что я не разбираюсь) .

Пытался перейти по указанным ссылкам, но хостер бегет блoкировал данные ссылки

« Последнее редактирование: 25-02-2016, 16:44:07 от vovchik261 »


Оффлайн Старый

  • Бизнес оценка: (9, 100%)
  • Мастер
  • *****
  • СПАСИБО: 1694
  • Сообщений: 5489
  • Карма: 159
  • Ищу работу постоянную, удалённую с окладом.
  • Награды Более одной тысячи спасибо КМС поисковой оптимизации
    • Просмотр профиля

Оффлайн Старый

  • Мастер
  • *****
  • Доп. информация
    • Бизнес оценка: (9, 100%)
    • СПАСИБО: 1694
    • Сообщений: 5489
    • Карма: 159
    • Ищу работу постоянную, удалённую с окладом.
    • Награды Более одной тысячи спасибо КМС поисковой оптимизации
      • Просмотр профиля
Re: Меня взломали?
« Ответ #1 : 25-02-2016, 17:24:39 »
Какие логи смотрели?
На хосте должны быть логи доступа через FTP и SSH. Их посмотрите.

Что может быть?
1. Устаревшая версия движка имеющая уязвимости.
2. Устаревшие версии плагинов, имеющие уязвимости.
3. Взломан ваш FTP/SSH (подобран пароль, угнали с вашего компа, стандартный доступ от хостера).
4. Взломан сам хост или соседний сайт и получены привилегии в системе.

Что делать?
Проверьте свой компьютер и сайт на наличие вирусов и остальной заразы (для компа - AVZ, Dr.Web CureIt!, Spybot).

В случае 1, 2, обновите версии до последних.

В 3-м, проверьте свой комп и смените пароли. Храните их у себя в шифрованном виде, например, с помощью KeePass ( http://keepass.info )

В 4-м случае вы концов не найдёте и хостер не признается в своём косяке.  :)
Но сообщить ему об этом нужно.
Обычно, если вина хостера, то заражают не один сайт и по "волне" в сообществах можно догадаться, что хостер что-то просмотрел в безопасности.
Бывали случаи, когда "обиженный" сотрудник открывал дыры или сам пакостил.  :) В общем, ситуация житейская.  :)

Так же проверьте файлы на дату изменения.
Свеженькие сравните с оригиналом. Но, если взломщик не дурак, а так скорее всего и есть, то он не забудет подкорректировать дату изменения файла.

Проверяйтесь, откатывайтесь, обновляйтесь.  :) Почаще делайте бэки и предохраняйтесь!  ;)
« Последнее редактирование: 25-02-2016, 17:26:58 от Старый »

Оффлайн vovchik261Автор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 129
  • Сообщений: 739
  • Карма: 16
  • Пол: Мужской
    • Просмотр профиля
    • Мониторинг Памм счета

Оффлайн vovchik261Автор темы

  • Ветеран
  • *****
Re: Меня взломали?
« Ответ #2 : 25-02-2016, 17:38:20 »
В 4-м случае вы концов не найдёте и хостер не признается в своём косяке. 
Но сообщить ему об этом нужно.
Обычно, если вина хостера, то заражают не один сайт и по "волне" в сообществах можно догадаться, что хостер что-то просмотрел в безопасности.
Бывали случаи, когда "обиженный" сотрудник открывал дыры или сам пакостил.   В общем, ситуация житейская. 

У меня 2 сайта оказались зараженными. Один из них на собственном IP находится.

Хостеру уже сообщил. Вот ответ.

Цитировать
Здравствуйте, Ваш сайт скорее всего был взломан, вредоносный код предположительно находится в
./404.php

Вам необходимо проверить файлы сайтов на наличие стороннего кода, не характерного для Вашей CMS, а также наличие посторонних файлов среди файлов сайта.

Особенно часто вредоносный код попадает через "дырявые" темы/шаблоны/плагины, установленные со сторонних ресурсов.

Обязательно проверьте файл .htaccess - в нем могут быть добавлены перенаправления на другие сайты, распространяющие вирус.

При этом файл .htaccess может быть размещен как в корне сайта, так и выше, поэтому не поленитесь посмотреть все директории вашего аккаунта.

$ find ~ -name "*htaccess*"

Чаще всего вирусы пишут на php (так называемые шеллы). В коде таких вирусов на php распространены конструкции:

eval()
preg_replace()
gzuncompress()
base64_decode()

Подобные файлы скорее всего находятся в папках, куда разрешена загрузка файлов, например папки cache, upload, template, themes

Также файлы с вирусами могут маскироваться под другие типы файлов, например картинки/скрипты.js/текстовые файлы.

Можно включить ведение логов WEB сервера и FTP в разделе Журналы. Возможно они помогут выяснить причину появления кода.

После определения причины взлома не ограничивайтесь удалением найденных скриптов - добавленные злоумышленником точки проникновения могут быть хорошо спрятаны.

Лучшая схема восстановления сайта после взлома - это закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из резервной копии (этим мы исключаем любые изменения сайта, которые мог произвести злоумышленник), обновить CMS, убедившись, что уязвимый компонент также обновился, после чего снова открыть доступ к сайту.

Чтобы это не повторялось в будущем настоятельно рекомендуется поменять пароли:

]
на электронную почту (которая указывалась при регистрации),
на административный доступ Вашей CMS,
на все аккаунты FTP,
на аккаунт beget,

проверить компьютер на вирусы,

Также не рекомендуется сохранять пароли в FTP менеджерах.

Не используйте устаревшие версии CMS и плагинов к ним.

Следите за обновлениями!

В качестве дополнительной меры можно "запаролить" все административные панели дополнительным паролем как это описано в этой статье: http://beget.ru/art_htaccess#passwd (паролирование директорий).

Вы можете самостоятельно проверить Ваши сайты на вирусы, а при необходимости - заказать диагностику и лечение. Проверка на вирусы производится с использованием сканера AI-Bolit, который ищет на сайте хакерские скрипты, вирусы и другой вредоносный код. Сканер AI-Bolit разработан и успешно развивается более 4-х лет компанией "Ревизиум". Сервис проверки на вирусы бесплатный для всех клиентов виртуального и VIP хостинга.
Запустить сканирование сайта вы можете из панели управления в новом разделе "Сервисы" - https://cp.beget.ru/cloudservices
Напротив сайта, который вы хотите проверить, необходимо нажать кнопку "Запустить проверку" и дождаться, когда она закончится. Все отчеты сохраняются и доступны из панели управления в любой момент времени. Подробную информацию по работе с разделом вы можете найти в руководстве - https://beget.ru/manual/cloudservices


Еще этого гемора не хватало! Писец.

Оффлайн Старый

  • Бизнес оценка: (9, 100%)
  • Мастер
  • *****
  • СПАСИБО: 1694
  • Сообщений: 5489
  • Карма: 159
  • Ищу работу постоянную, удалённую с окладом.
  • Награды Более одной тысячи спасибо КМС поисковой оптимизации
    • Просмотр профиля

Оффлайн Старый

  • Мастер
  • *****
  • Доп. информация
    • Бизнес оценка: (9, 100%)
    • СПАСИБО: 1694
    • Сообщений: 5489
    • Карма: 159
    • Ищу работу постоянную, удалённую с окладом.
    • Награды Более одной тысячи спасибо КМС поисковой оптимизации
      • Просмотр профиля
Re: Меня взломали?
« Ответ #3 : 25-02-2016, 18:21:42 »
Стандартная инструкция.  :) Всё правильно описывают.

У меня 2 сайта оказались зараженными. Один из них на собственном IP находится.

Это не важно.
Папка сайта находится там же, где и сотни других, просто в DNS`ах на него указан отдельный IP.

Сочувствую.
Дерзайте!
Лучше изначально проверьте всё. Потом будет спокойнее вам же.  :)

Оффлайн vovchik261Автор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 129
  • Сообщений: 739
  • Карма: 16
  • Пол: Мужской
    • Просмотр профиля
    • Мониторинг Памм счета

Оффлайн vovchik261Автор темы

  • Ветеран
  • *****
Re: Меня взломали?
« Ответ #4 : 25-02-2016, 18:32:58 »
Это не важно.
Папка сайта находится там же, где и сотни других, просто в DNS`ах на него указан отдельный IP.

Сочувствую.
Дерзайте!
Лучше изначально проверьте всё. Потом будет спокойнее вам же. 

Ясно попробую найти причину.


Оффлайн vovchik261Автор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 129
  • Сообщений: 739
  • Карма: 16
  • Пол: Мужской
    • Просмотр профиля
    • Мониторинг Памм счета

Оффлайн vovchik261Автор темы

  • Ветеран
  • *****
Re: Меня взломали?
« Ответ #5 : 26-02-2016, 20:17:45 »
Фух! Наконец избавился от напасти  :)

Цитировать
Веб-мастеру сайта http://megaportal-pro[.]ru/
Мы получили и обработали Ваш запрос проверки безопасности. По нашим сведениям, на сайте http://megaportal-pro[.]ru/ больше нет ссылок на вредоносные ресурсы или материалы для скачивания. Мы отключаем предупреждение для пользователей о том, что Ваш сайт опасен. На это может уйти несколько часов.

Оффлайн Старый

  • Бизнес оценка: (9, 100%)
  • Мастер
  • *****
  • СПАСИБО: 1694
  • Сообщений: 5489
  • Карма: 159
  • Ищу работу постоянную, удалённую с окладом.
  • Награды Более одной тысячи спасибо КМС поисковой оптимизации
    • Просмотр профиля

Оффлайн Старый

  • Мастер
  • *****
  • Доп. информация
    • Бизнес оценка: (9, 100%)
    • СПАСИБО: 1694
    • Сообщений: 5489
    • Карма: 159
    • Ищу работу постоянную, удалённую с окладом.
    • Награды Более одной тысячи спасибо КМС поисковой оптимизации
      • Просмотр профиля
Re: Меня взломали?
« Ответ #6 : 26-02-2016, 20:25:00 »
Поздравляю!  :)

Оффлайн zhel_kon

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 151
  • Сообщений: 396
  • Карма: 14
    • Просмотр профиля

Оффлайн zhel_kon

  • Старожил
  • ****
Re: Меня взломали?
« Ответ #7 : 26-02-2016, 20:37:52 »
Могут быть еще и бэкдоры. Они антивирусами не определяются. Так как обычный PHP код содержат. Через некоторое время все может повториться.
Через них заливка всей дряни и идет.

Оффлайн vovchik261Автор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 129
  • Сообщений: 739
  • Карма: 16
  • Пол: Мужской
    • Просмотр профиля
    • Мониторинг Памм счета

Оффлайн vovchik261Автор темы

  • Ветеран
  • *****
Re: Меня взломали?
« Ответ #8 : 26-02-2016, 21:24:02 »
Могут быть еще и бэкдоры. Они антивирусами не определяются. Так как обычный PHP код содержат. Через некоторое время все может повториться.
Через них заливка всей дряни и идет.

Спасибо за предупреждение. Попробую по искать и удалить подозрительные файлы и коды.


Оффлайн zhel_kon

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 151
  • Сообщений: 396
  • Карма: 14
    • Просмотр профиля

Оффлайн zhel_kon

  • Старожил
  • ****
Re: Меня взломали?
« Ответ #9 : 26-02-2016, 22:09:14 »
Если будете искать, там в самом верху скрипта используется функция md5, первые 10 строк
Скрипт что то получает через GET но скорее всего через POST и там проверка идет хозяина на валидность.
Если это все встретили, в первых 10 - 20 строках то 100% бзкдор.
REQUEST пока не встречал.



 

Похожие темы

  Тема / Автор Ответов Последний ответ
2 Ответов
2277 Просмотров
Последний ответ 17-12-2010, 13:04:53
от armid
34 Ответов
9170 Просмотров
Последний ответ 09-11-2011, 21:07:09
от warehost.ru
5 Ответов
1678 Просмотров
Последний ответ 09-12-2013, 11:46:00
от realtor
0 Ответов
376 Просмотров
Последний ответ 14-12-2017, 15:16:48
от Intersect
1 Ответов
953 Просмотров
Последний ответ 23-02-2019, 20:44:52
от bumer