Форум программистов, компьютерный форум, киберфорум
Безопасность сайтов и серверов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.73/11: Рейтинг темы: голосов - 11, средняя оценка - 4.73
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
1

Взломали сайт. Как найти вредоносное содержимое?

22.02.2017, 02:37. Показов 1979. Ответов 12

Я - не программист. Сайты делала сама методом научного тыка. Мне приостановили хостинг, так как предположили, что сайт (сайты, у меня три на одном домене) взломаны. В последнее время на одном из сайтов была массовая регистрация. С хостинга прислали письмо, в содержании которого я практически ничего не поняла. Я в отчаянии: несколько лет труда коту под хвост. Помогите!
Письмо следующего содержания:
"Здравствуйте!
В рамках договора ХХХХХХХ Вам предоставляется услуга хостинга lohmatyi-d. На услуге функционирует вредоносное программное обеспечение, что является нарушением п. 11.4 Регламента оказания услуги хостинга. Примеры приведены в конце этого сообщения. Мы предполагаем, что один или несколько сайтов на предоставленной Вам услуге хостинга были взломаны.
Во избежание дальнейшего использования хостинга в качестве площадки для вредоносной активности работа веб-сервера приостановлена. Для возобновления работы сайтов Вам необходимо проверить файлы Вашего сайта, удалить вредоносное содержимое и сообщить информацию о принятых мерах в ответ на это письмо. Анализ подозрительных файлов необходимо провести самостоятельно или обратиться за помощью к разработчику Вашего сайта.
Рекомендации по устранению вредоносного ПО:

- изменить пароли доступа к хостингу по протоколам FTP и SSH в панели управления хостингом в разделе Веб-сервер/Управление доступом;
- проверить компьютеры, с которых осуществлялось администрирование сайтов на хостинге на наличие вредоносных программ (несколькими антивирусами и вручную);
- проанализировать логи доступа к сайту по протоколу HTTP на наличие запросов к уязвимым скриптам сайта, либо нестандартных POST-запросов, с помощью которых мог быть осуществлён взлом;
- проверить наличие посторонних файлов на Вашей услуге хостинга, а также наличие вредоносного кода в файлах сайтов и удалить их;
- проверить каталоги для временных файлов (/tmp) на хостинге, в них возможна запись данных скриптами;
- обновить систему управления сайтом (CMS) до актуальной версии;
- на тарифных планах с поддержкой SSH-доступа вместо доступа по протоколу FTP использовать протокол SFTP;
- при работе с услугой хостинга не сохранять в программах-клиентах пароли доступа в целях исключения их кражи.

При повторных инцидентах действие услуги хостинга может быть приостановлено.
Список подозрительных объектов размещен на Вашем хостинге в файле ~/tmp/suspicious.files.21-02-2017.txt. Обращаем Ваше внимание, что данный список может быть неполным, а также содержать файлы, которые не являются вредоносными."

Из всего этого я самостоятельно смогла только поменять пароли и компьютер проверить. Как поменять версию, если я не вижу админпанели, тоже себе не представляю никак.
Моя реакция на все остальные рекомендации - взгляд дождевого червяка на Вселенную. Честно попыталась погуглить и что-то понять. Вот, например, в списке подозрительных файлов нашла такую кракозябру (см. скриншот). Это вредоносно или нет? Какая-то она нестандартно страшненькая.
Я понимаю, что специалисты мне посоветуют не заморачиваться и нанять того, кто в этом понимает. Но, признаюсь честно, я сейчас на мели, а сайты очень нужны. Поэтому приняла решение попросить помощи и пыхтеть сама. Пожалуйста, помогите. Может и "чайники" не безнадёжны?
0
Миниатюры
Взломали сайт. Как найти вредоносное содержимое?  
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
22.02.2017, 02:37
Ответы с готовыми решениями:

Взломали сайт
Всем привет, у меня недавно был взломан сайт. Захожу на свой сайт и вижу там: Hacked by...

Взломали сайт
Всем привет. Сегодня утром при переходе на сайт обнаружил следующую картину: изображение медвежонка...

Взломали сайт на joomla
Взломали сайт помогите восстановить сайт http://cto-avto.com/

взломали сайт (только мобильную версию)
случайно зашел на сайт с телефона, и началось скачивание приложения, я удивился, запустил...

12
Эксперт PHP
4488 / 3342 / 1091
Регистрация: 06.01.2011
Сообщений: 9,582
25.02.2017, 09:25 2
Цитата Сообщение от guryshkina Посмотреть сообщение
Это вредоносно или нет?
С очень большой вероятностью -- да.
Цитата Сообщение от guryshkina Посмотреть сообщение
Как поменять версию, если я не вижу админпанели, тоже себе не представляю никак.
Они это сказали на случай, если у Вас CMS какая-нибудь популярная. У Вас, я так понимаю, самописная.
В таком случае нужно смотреть log-файлы, искать в них необычные запросы. А также устранять уязвимости в файлах, на которые были выполнены те запросы.
1
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
25.02.2017, 11:21  [ТС] 3
Благодарю. Темнота начинает проясняться. Но я плохо понимаю, как отличить обычный запрос от необычного. Хотя бы какой-то пример можно? И как определить уязвимости? Может дадите ссылочку на какое-то правильное чтиво по этому поводу. А то в сети такое количество информации, что "чайнику" тудно понять где нужная.
0
Эксперт PHP
4488 / 3342 / 1091
Регистрация: 06.01.2011
Сообщений: 9,582
25.02.2017, 12:03 4
Цитата Сообщение от guryshkina Посмотреть сообщение
как отличить обычный запрос от необычного
Например, есть GET-запросы. Они выглядят так: http://сайт.ру/news?id=283
Допустим, взломщик решил, что в данном месте возможно наличие уязвимости. Он заместо "283" пишет следующее: http://сайт.ру/news?id=283'"
Т.е. добавил кавычки. Если Вы не обрабатываете ID перед вставкой в запрос -- будет ошибка. И взломщик продолжит исследования: http://сайт.ру/news?id=-1'+UNION+SELECT+1,2,3
И так далее.

Одним словом, ищите в запросах SQL.

Для POST-запросов отчёты с данными из формы хостеры не ведут. Так что если параметры указываются в теле POST-запроса, в отчётах вы их не увидите.

Это пример для SQL-инъекций (они встречаются наиболее часто).
Если в настройках хостинга поддержка SELECT INTO OUTFILE включена, то с помощью SQL-инъекции можно создать файл на Вашем сайте.

Также, если есть формы для загрузки файлов (неважно, в админке или где) -- проверьте надёжность проверок на тип файла. Иначе через них могут загрузить php-скрипты.

По поводу ссылок, вот:
http://phpfaq.ru/mysql/slashes
1
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
25.02.2017, 19:09  [ТС] 5
Благодарю, пошла изучать.
0
950 / 688 / 227
Регистрация: 30.06.2015
Сообщений: 3,679
Записей в блоге: 38
26.02.2017, 13:47 6
Цитата Сообщение от guryshkina Посмотреть сообщение
Может и "чайники" не безнадёжны?
Все когда-то были "чайниками". У вас сохранилась копия сайта на вашем локальном компе?
1
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
27.02.2017, 09:14  [ТС] 7
Нет, копии нет, но внутри сервера все файлы целы. Просто надо почистить и тогда откроют доступ к хостингу.
0
950 / 688 / 227
Регистрация: 30.06.2015
Сообщений: 3,679
Записей в блоге: 38
27.02.2017, 10:11 8
Цитата Сообщение от guryshkina Посмотреть сообщение
Нет, копии нет, но внутри сервера все файлы целы. Просто надо почистить и тогда откроют доступ к хостингу.
На будущее: всегда имейте локальную копию сайта. Если бы она у вас была, то достаточно было бы только удалить все файлы с сервера и закачать локальную копию, и все проблемы. Теперь, конечно нужно чистить, ничего не поделаешь...
Цитата Сообщение от guryshkina Посмотреть сообщение
з всего этого я самостоятельно смогла только поменять пароли и компьютер проверить. Как поменять версию, если я не вижу админпанели, тоже себе не представляю никак.
То есть вы не можете получить доступ к файлам сайта, как я понимаю? С помощью FileZilla открываете папку с сайтом и начинаете анализировать подозртельные файлы. Если не жалко сайта, то можно стереть все файлы и создать сайт заново.
1
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
27.02.2017, 10:13  [ТС] 9
Сайт жалко. почти 10 лет работы. А по поводу анализа вот: в том-то и дело, что мне трудно отличить нормальный файл от вредоносного. Да, я кое-что понимаю в PHP, HTML. Но не настолько, чтобы понять, где бяка, а где нужное. Ведь вирусы могут маскироваться под нормальные файлы.
0
950 / 688 / 227
Регистрация: 30.06.2015
Сообщений: 3,679
Записей в блоге: 38
27.02.2017, 10:24 10
Цитата Сообщение от guryshkina Посмотреть сообщение
Но не настолько, чтобы понять, где бяка, а где нужное. Ведь вирусы могут маскироваться под нормальные файлы.
Если бы это был самописный сайт, то вы знали бы что из себя представляют файлы, то есть лучше бы понимали свою собственную работу. Если же у вас CMS(кстати, какая?), то тут конечно сложнее. Но и здесь есть выход. Например: нужно скачать ту же версию CMS себе на комп(если CMS бесплатна, то намного проще), а затем нужно сравнивать файлы между собой, в какой-либо программе или вручную. Открываем, например, в notepade++ оба файла и сравниваем, потом другие два файла и так далее. К ноутпаду есть плагин compare, который позволяет автоматизировать процесс сравнения. Может кто-либо посоветует ещё что-либо дельное.
1
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
27.02.2017, 10:32  [ТС] 11
Благодарю. Тьма всё светлее. Буду всё изучать. А платформа у меня Джумла. Я не умею сама ничего писать. Только самый минимум: дизайн изменить, баннер поставить. В общем, "чайник". Но там, как я поняла из письма хостера, вирусы прокрались не только в платформу, но и в загружаемые файлы. Я даже два нашла. Один болтался в картинках, а второй в папке тем.
0
Эксперт PHP
4488 / 3342 / 1091
Регистрация: 06.01.2011
Сообщений: 9,582
27.02.2017, 10:42 12
Цитата Сообщение от guryshkina Посмотреть сообщение
А платформа у меня Джумла.
А говорили:
Цитата Сообщение от guryshkina Посмотреть сообщение
я не вижу админпанели
В Joomla как раз есть админпанель. И прямо из неё можно установить новую версию.

Добавлено через 1 минуту
Про хостинг-панель молчу, там вообще невозможно не иметь доступа к управлению.
0
1 / 1 / 0
Регистрация: 12.04.2013
Сообщений: 35
27.02.2017, 15:40  [ТС] 13
Да, я уже поняла, что надо обновить там всё, после того, как найду все бяки.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
27.02.2017, 15:40

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Взломали сайт и используют для взлома других сайтов :(
Имеется VPS. В ATOP Заметил что выросла нагрузка на проц и память. В процессах увидел Python. ...

Сайт взломали, как устранить уязвимость
Вопрос такой. У меня на хостинге peterhost.ru размещен свой сайт (портфолио). Недавно он перестал...

Сайт после 5 секунд заходит на другой сайт (взломали сайт)
Когда я открою свое сайт он после 5 секунд заходит на другой сайт (взломали сайт) там написано что...

Взломали сайт?! Перенаправляет на левый сайт...
Доброго времени суток! Есть сайт, сегодня при входе на него, произошло перенаправление на левый...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.