Какво ново?
От:
Подробно търсене…
SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Зловреден шел скрипт?

I

isbul

New member
Не бях си направил някой ъпрейти и предполагам от там някой беше проникнал. На каквото и да кликнех на първа страница зареждаше някакъв руски сайт. От хостинга изчистиха всичко, направих ъпдейтите, смених паролите, но днес пак същото. От хостинга ми казаха, че е шел скрипт:

"Направихме справка и проверка относно, като забелязахме, че имаше качен шел скрипт чрез които може да извършват промяната, прилагам извадка за него:

File: `wp_c342.php'
Size: 23305 Blocks: 48 IO Block: 4096 regular file
Device: 809h/2057d Inode: 107614650 Links: 1
Access: (0644/-rw-r--r--) "

Какво да направя за да се предпазя?
Например някой от съветите "Да стегнем малко горкия, беззащитен Wordpress :)"?
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

За да се предпазиш първо трябва да знаеш как е качен шела - през FTP или през Apache. Питай хостинга за повече инфо, ако разполагат с такова. Иначе превантивно можеш да изпълниш всички съвети от цитираната тема за WP - не вреди, на против може да ти помогне за в бъдеще.
 
Re: Зловреден шел скрипт?

Много е сложно и почти невъзможно да се опази горкият WP. Атаките са постоянни и като че ли не спят тези зловреди типове.
Тъкмо спретнеш някой сайт и се зарадваш и получаваш на пощата: "Уважаеми собственико или уеб администраторе на **********,
Установихме, че някои от страниците на сайта Ви може да използват методи, несъответстващи на указанията на Google за уеб администратори. Ако имате въпроси за това как да разрешите този проблем, моля, за поддръжка посетете Помощния ни форум за уеб администратори.
Поздрави,
Екипът на Google за качество на търсенето"
После следва деиндексиране и т.н.
Не знам дали въобще има шанс да се опази тази отворена система? Или това е просто цената на безплатното?
Наистина, съветите в "Да стегнем малко горкия, беззащитен Wordpress " са много полезни, но мисля че не дават 100% защита.
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

s1yf0x каза:
За да се предпазиш първо трябва да знаеш как е качен шела - през FTP или през Apache. Питай хостинга за повече инфо, ако разполагат с такова. Иначе превантивно можеш да изпълниш всички съвети от цитираната тема за WP - не вреди, на против може да ти помогне за в бъдеще.
Увеличете...

Бяха ми писали, че не е през FTP, а от "дупка" в някое приложение. Смятам да изпълня съветите от темата, но сега искам ако мога да се предпазя от тази атака, че всеки момент може пак да ми прецака сайта.
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

scoobydoo каза:
@bulram
100% защита нямат дори НАСА и ФБР :).

@isbul
Къде е качен тоя wp_c342.php точно?
Увеличете...

Това ми написаха:
File: `wp_c342.php'
Size: 23305 Blocks: 48 IO Block: 4096 regular file
Device: 809h/2057d Inode: 107614650 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 653/ username) Gid: ( 652/username)
Access: 2012-07-16 16:45:21.703820573 +0300
Modify: 2012-07-16 16:45:21.703820573 +0300
Change: 2012-07-24 21:43:07.267735646 +0300

През .htaccess файла имаше направени зловредни пренасочвания, като той беше модифициран:

File: `.htaccess'
Size: 2661 Blocks: 8 IO Block: 4096 regular file
Device: 809h/2057d Inode: 107611559 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 653/username) Gid: ( 652/ username)
Access: 2012-07-31 02:34:31.466653172 +0300
Modify: 2012-07-31 02:34:31.466653172 +0300
Change: 2012-07-31 02:34:31.466653172 +0300
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

Еми htaccess файла принципно може да се защити с такъв код, който се слага в самия него. Но не смея много да говоря по темата, понеже изобщо не разбирам от шел и дори не знам какво е.

<Files .htaccess>
order allow,deny
deny from all
</Files>
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

isbul каза:
Това ми написаха:
File: `wp_c342.php'
Size: 23305 Blocks: 48 IO Block: 4096 regular file
Device: 809h/2057d Inode: 107614650 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 653/ username) Gid: ( 652/username)
Access: 2012-07-16 16:45:21.703820573 +0300
Modify: 2012-07-16 16:45:21.703820573 +0300
Change: 2012-07-24 21:43:07.267735646 +0300

През .htaccess файла имаше направени зловредни пренасочвания, като той беше модифициран:

File: `.htaccess'
Size: 2661 Blocks: 8 IO Block: 4096 regular file
Device: 809h/2057d Inode: 107611559 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 653/username) Gid: ( 652/ username)
Access: 2012-07-31 02:34:31.466653172 +0300
Modify: 2012-07-31 02:34:31.466653172 +0300
Change: 2012-07-31 02:34:31.466653172 +0300
Увеличете...

В cPanel имаш ли раздел raw logs ? Ако имаш такъв раздел си свали логовете за целия месец юли на всички домейни в акаунта и ми ги прати на мейла peter [at] s1y.eu
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

isbul каза:
Не бях си направил някой ъпрейти и предполагам от там някой беше проникнал. На каквото и да кликнех на първа страница зареждаше някакъв руски сайт. От хостинга изчистиха всичко, направих ъпдейтите, смених паролите, но днес пак същото. От хостинга ми казаха, че е шел скрипт:

............
Увеличете...

100% защита няма за нищо.
Де'т се вика и спирта който е 100% и той не е ...

Един от сигурните начините да се предпазим, е да не използваме платени теми и плъгини като безплатни от варез сайтове.
(имам предвид, че риска намалява значително)
Ако селекцията е добра, изобщо не излиза скъпо - колкото и да е платено.
Разбира се, че посещавам сайтове от горния вид.
Смъквам и тествам в изолирана среда, колкото да видя "нещата на живо" , после плащам.
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

Проблема идва ако късно разбереш и ти блеклистнат домейна. А WP го дупчат здраво на автоматик с или без платени теми.
 
За: Зловреден шел скрипт?

За: Зловреден шел скрипт?

biks каза:
Проблема идва ако късно разбереш и ти блеклистнат домейна. А WP го дупчат здраво на автоматик с или без платени теми.
Увеличете...

За това може да се ползва разширение като WordPress File Monitor Plus. С него щеше да се види в отчета, че се появил нов файл на сървъра, както и че се е променил htaccess файла.
 
Re: Зловреден шел скрипт?

Nulled script-овете и plugin-ините са сигурен начин да качиш всякакъв вид прикрити remote exploit-и или base64 скриптчета които предизвикват чудеса. Но все пак за да се разбере от къде е този файл не е лошо да се предостави копие от кода на самият файл, след което да се претърси цялата папка на сайта с "grep" или друг тип команда / едитор под Windows или както ти е удобно, за да се намери ако има друг файл в който е споменато името на този скрипт или част от кода.
 
За: Re: Зловреден шел скрипт?

За: Re: Зловреден шел скрипт?

bbozhev каза:
Nulled script-овете и plugin-ините са сигурен начин да качиш всякакъв вид прикрити remote exploit-и или base64 скриптчета които предизвикват чудеса. Но все пак за да се разбере от къде е този файл не е лошо да се предостави копие от кода на самият файл, след което да се претърси цялата папка на сайта с "grep" или друг тип команда / едитор под Windows или както ти е удобно, за да се намери ако има друг файл в който е споменато името на този скрипт или част от кода.
Увеличете...

Бих ти препоръчал egrep , че щамовете са с доста голяма дължина и извратени регуларни изрази.
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе