- Адаптировал: irbees2008
- Уровень сложности исполнения: Справочник
Довольно часто стал слышать о взломах движка ngcms,хотя сам с этим не сталкивался,да и многие взломы это просто неопытность админа сайта, и сейчас начнем разбирать частые жалобы.И прежде чем подаваться панике читаем.
1.В новости навешиваются ссылки на определенные слова,ведущие на левые сайты.
Да у нас есть плагин который такое делает,это вы можете глянуть в админке ,он называется text_replace как работает вы уже видите слово плагин активно и ведет в раздел "настройка плагинов".Но если у вас такого нет первым делом проверьте браузер ,отключите по очереди расширения или плагины и смотрите пропали ссылки или нет.Ну далее кто то внес изменения в текст,это или взлом, или кто из ваших админов или редакторов.
2.Не могу войти на сайт,спасите ,помогите взломали
Ну во первых почистите кеш браузера,попробуйте войти в другом браузере. Ели все это не помогает ,идите сюда,после смените все пароли на более сложные.
3."У меня была, тоесть есть, такая проблема. В корне сайта есть файлы index.php и .htaccess туда кто то постоянно вносит изменения, фактически вирус, который блокирует работу сайта, это происходит уже более недели, уже так было 3 раза, я уже и поставил права 444 на них, уже и пароли каждый раз менял но постоянно все возобновляется, вот вчера смотрю снова кто то изменил файлы и установил права 777.
Написал я все это хостеру вот что мне ответил
"Здравствуйте.Этот сайт действительно взломан. Вот в этот каталог /uploads/images/default/ были загружены специальные файлы под видом картинок (видимо ваш движок имеет уязвимость, раз позволяет загружать вместо картинок любой исполняемый файл). Файлы представляют собой удаленную оболчку через которую атакующий может загружать на сервер любые файлы и выполнять некоторые команды на сервере, в том числе создавать и удалять файлы, а так же запускать вредоносный код. Вот лог загрузки этих файлов:
5.9.96.235 - - [03/Jul/2015:16:34:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 174 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:36:52 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:55:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:58:50 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 164 "-" "-"
5.9.96.235 - - [03/Jul/2015:17:03:17 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
Все найденные вредоносные файлы я удалил, но скорее всего это не поможет надолго, пока уязвимость в вашем движке не исправлена. С этим вопросом обратитесь к разработчику."
---Че делать?"
Ну начали разбираться,
1 Использовался устаревший модифицированный плагин для загрузки изображений. Т.е каждый найдя эту ссылку мог загрузить изображение.
2 В админке было разрешено использовать двойные разрешения для файлов и изображений.
3 Ну и сама логика взлома была довольно проста
1. Нашли ссылку для загрузки картинки
2.Загрузили инфицированную картинку и после просмотра админом картинки получили его куки.
3. Через куки получили доступ к админке сайта,там уже добавили для загрузки файл с расширением php который и стал выполнять нужные команды злоумышленника.
Этот способ раньше применялся для взлома страничек в одноклассниках.
Как вариант отказаться от этого плагина,внести в админке во вкладке безопасность
измения о них чуть ниже,сменить пароли ftr и сайта.
4.Бывает что решил сменить шаблон,скачиваешь шаблон,устанавливаешь,а через некоторое время сайт попадает в черный список поисковиков из за инфицированного файла в шаблоне ,это надо в шаблоне проверить все файлы скриптов на предмет закодированного содержимого с приставкой eval.
5 Ну а теперь мои советы по безопасности
1.Настройка безопасности в админке
а)Вы можете не использовать куки для авторизации
б)Запретить использовать двойное расширение для файлов и изображений.
2.Пароли
а)Не используйте простые пароли как минимум 8 символов,разного регистра и спецсимволы.
б)Не храните пароли в браузере или ftr-менеджерах и не давайте их ни кому.
3.Сервисы наблюдения за сайтом и логи сайта
вот один из бесплатных сервисов Site guard
Мониторит изменения в скриптах, и предупреждает об изменениях на почту.
4.Доверяйте права только проверенным пользователям.
5.Почитайте этот раздел htaccess,там много сказано об ограничении действий файлов .
6.Делаем еженедельно бэкап сайта и сохраняем на компе.
Если что появится новенькое то обновлю новость
Можешь почитать и вот эту статейку "Плагин "Турбо Яндекс""
Это тоже интересно
- 25.10.14Защищаем свой сайт от PHP шеллы
- 23.05.15Голосовой поиск на JS
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.