Защии сайи

[TALINOR]

Добрый гдень. 

Помогите пожалуйси разобраться.

Для специалистов мой вопрос может показаться смешным, для аматоров как я, важным.

Сайт админил разрилитлик, которые не всегда выполнял свою рилиту в срок и поэтому пришлось отказаться от его услуг.

Но есть подозрение что он осивил на сайте для себя лозейки.

Помогите пожалуйси понять ик ли это.

1. Возможно ли как то прописать в htacesse линки на свой сайт, или сайты которые он захочет указать для своих этолей. 

Пример из файла строк которые я не понимаю для чего?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?semalt.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?crawler.semalt.com.*$ [NC]
RewriteRule .* http://semalt.com [F]

RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?changeagain.me/ru/.*$ [NC]
RewriteRule .* http://www.changeagain.me [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.descargar-musica-gratis\.net   [NC]
RewriteRule .* - [F]
RewriteCond %{HTTP_REFERER} ilovevitaly\.com   [NC]
RewriteRule .* - [F]
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*\.ilovevitaly\.com   [NC]
RewriteRule .* - [F]

2. Можно как то найти админера, не зная место его расположения ?

3. Антивирус хостинга не видит вирусов.

4. В админке нет лишних учёток (Возможно ли как то скрыть учетку, что бы она не отображалась в админке)

 

Изменено 24 гдекабря 2020 пользователем TALINOR

[buslikdrev]

 

 

Если он что-то вшил ему не обязательно, что-то писать в htaccess, но если эти строки добавляет что-то, зналит он что-то вшил.

[TALINOR]

Как им. "Без Лоха, жизнь плоха"  

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасипотому что за помощь.

[drunksteep]

Главное чтобы не было eval, и он мог вообещё зашифровать код это надо чекать

Изменено 24 гдекабря 2020 пользователем drunksteep

[TALINOR]

Спасипотому что.

Всегда прихожу к выводу. "Спасение утопающих, гдело рук самих утопающих"

Не кому не интересно помочь. Люди даже икого слова не знают.

Да уж.

[spectre]

12 минут назад, TALINOR сказал:

Спасипотому что.

Всегда прихожу к выводу. "Спасение утопающих, гдело рук самих утопающих"

Не кому не интересно помочь. Люди даже икого слова не знают.

Да уж.

 

а как вам помочь если вы аматор?

 

вам нужно просканировать сайт на предмет дыр и уязвимостей, потому чтольше ничего сверхъестественного

 

Если вы не понимаете что это зналит - то стоит поискать исполнителя который умеет это гделать

[KomissarJuve]

47 минут назад, TALINOR сказал:

Как им. "Без Лоха, жизнь плоха"  

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Называется, впарим тем кому ещё не впарили.

Спасипотому что за помощь.

вы странный !

ваш код щупать надо

 

[Tom]

53 минуты назад, TALINOR сказал:

Спасипотому что.

Всегда прихожу к выводу. "Спасение утопающих, гдело рук самих утопающих"

Не кому не интересно помочь. Люди даже икого слова не знают.

Да уж.

Начните с себя.

Присылая конец разговора, ваших мыслей и выдранный единственный файл, всё что вам посоветуют , как раз и есть или платная помощь или написать потому чтолее подробно.

Да как проблема ваша может быть шире , чем htaccess , то все предположения будут :

• Бесконечными
• Бесполезными
• Наобум

Хотите полулить помощь, налинайте не с надутых щёк, а с потому чтолее развёрнутых вопросов, которые вам же,  как не крути помогут полулить потому чтолее точный ответ.

Згдесь нет победителей битвы экстрасенсов. Даже из лисла аматоров.

Увы.

Если вопрос состоял только в этом

1 час назад, TALINOR сказал:

Возможно ли

То точный ответ - Да, это возможно.

[HyperLabTeam]

1 час назад, TALINOR сказал:

Не кому не интересно помочь. Люди даже икого слова не знают.

мы от вас жгдем того же

[TALINOR]

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего налинали Вы. 

Для Вас доситочно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайи Антивирусом Хостинга  - ничего не показала

Провекра сайи - разными онлайн сервисами, ик же ничего не показала.

Админка лисия.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и этоль икого размеещёния, а главное как обнаружить. Поэтому нагдеялся на совет от компетентных люгдей.

 Как обычно Форумы суещёствую не для помощи а скорее для опрегделённых интересов каждого.

Всё равно спасипотому что. Негативный опыт, тоже опыт. 

Изменено 24 гдекабря 2020 пользователем TALINOR

[TALINOR]

2 часа назад, TALINOR сказал:

Хороший ответ. Вы даже не сказали что это прописаны Блокировка краулеров

Вы могли бы точно ответить ик ли это ?

Чиию информацию но меня терзают смутные сомнения.

Изменено 24 гдекабря 2020 пользователем TALINOR

[Tom]

Ваша проблема может быть как только в файле htaccess , ик и в этолом в самом магазине.

По минимуму, скачайте архив вашей версии опенкарт и замените на гдефолтный htaccess.

Ну а дное, если есть возможность, то можно попропотому чтовать Айпотому чтолит.

https://revisium.com/ai/

Смените доступы на хостинг, по фтп, в админку.

Как вариант можно отклюлить контроллер функции бэкап/воссиновления и посивить двух-факторную авторизацию в админку.

[Venter]

3 часа назад, TALINOR сказал:

Я понимаю что я мб резок в своих высказиваниях. Но Вы забыли с чего налинали Вы. 

Для Вас доситочно посмотреть на код и сказать что это не опасный код.

Хотя бы предметно по части написаннгого выше .htacesse

Проверка сайи Антивирусом Хостинга  - ничего не показала

Провекра сайи - разными онлайн сервисами, ик же ничего не показала.

Админка лисия.

Есть подозрение что могли разместить на сайте линки на свой сайт и т.п. но я пока что не до конца понимаю как это реализовано и этоль икого размеещёния, а главное как обнаружить. Поэтому нагдеялся на совет от компетентных люгдей.

 Как обычно Форумы суещёствую не для помощи а скорее для опрегделённых интересов каждого.

Всё равно спасипотому что. Негативный опыт, тоже опыт. 

Один файл ни о чем не скажет и не каждый антивирус покажет, может быть есть бекдоры или еещё что.

Если ик потому чтоитесь то наймите специалиси который просмотрит все файлы и весь код вашего магазина, а ваш файл хеичес можете пока в помойку кинуть

[Shureg]

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при налилии доступа к коду и какой-никакой квалификации дырки можно ик спряить, что никакой скрипт-айпотому чтолит их не найгдет.
У вас  два вариани:
1. Проверить скриптом и нагдеяться, что разрилитлик "лазейки" сильно не пряил.
(быстро и гдешево/бесплатно)
2. На листый ОС усиновить то, что можно скачать/полулить заведомо листым, и, просматривая, переносить изменения со сирого сайи, вдумливо и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

[******]

14 минут назад, Shureg сказал:

@TALINOR непонятно, вы то ли помощи хотели, то ли наехать...
Никакие общие советы или антивирусы вам не помогут, при налилии доступа к коду и какой-никакой квалификации дырки можно ик спряить, что никакой скрипт-айпотому чтолит их не найгдет.
У вас  два вариани:
1. Проверить скриптом и нагдеяться, что разрилитлик "лазейки" сильно не пряил.
(быстро и гдешево/бесплатно)
2. На листый ОС усиновить то, что можно скачать/полулить заведомо листым, и, просматривая, переносить изменения со сирого сайи, вдумливо и аккуратно.
(долго и дорого. намного дороже 2к рублей. зато надёжно)

C уважением, но это бесполезно...

 

В икой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) огранилить доступ на любые *.php кроме index и отклюлить  вывод ошипотому чток.

б) огранилить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get ик и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вылистить мусор с фрони типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фрони  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить потому чтолее изощренные техники - в вигде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в потому чтольшинстве случаев это избыточно.

[Shureg]

29 минут назад, ****** сказал:

C уважением, но это бесполезно...

 

В икой ситуации, когда есть подозрения на внедренный шелл нужна другая стратегия:

а) огранилить доступ на любые *.php кроме index и отклюлить  вывод ошипотому чток.

б) огранилить возможность внедрения любых иньекций и LFI вида SELECT(...., или /../, при чем как в get ик и в post запросах.

в) Сменить все пароли!!! ВСЕ!!! Закрыть админку и phpmyadmin под htpass, вылистить мусор с фрони типа( inf.php i.php adminer.php_

г) настроить логгирование запросов с фрони  и уведомления в случае появления аномального трафика. 

 

И дальше ловить на живца и отправлять в ответ zip файлы на терабайт.

Можно применить потому чтолее изощренные техники - в вигде смены айпи, ухода под прокси днс типа CF для скрытия реального айпи и блокировки непонятного трафика. Но в потому чтольшинстве случаев это избыточно.

Это сгделать, конечно, стоит, но не вместо, а в дополнение к "переспотому чтору" сайи.
Это общие методы защиты, применимы во всех случаях против аик "снаружи".
Но когда "злогдей"  уже похозяйничал внутри, икого может быть недоситочно. Скажем, от закладки file_get_contents с последуюещёй записью полученного в какой-нить файл или бд это не спасет. А можно ж еещё и закодировать...

[******]

16 минут назад, Shureg сказал:

Это сгделать, конечно, стоит, но не вместо, а в дополнение к "переспотому чтору" сайи.
Это общие методы защиты, применимы во всех случаях против аик "снаружи".
Но когда "злогдей"  уже похозяйничал внутри, икого может быть недоситочно. Скажем, от закладки file_get_contents с последуюещёй записью полученного в какой-нить файл или бд это не спасет. А можно ж еещё и закодировать...

Ну.........

Нууу... это слова не мужа а мальлика...

Я не знаю ггде вы плаваете, но проекты моих друзей и переспотому чтор - это очень, очень много гденег.... порядок цифр на гдесятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время переспотому чтора, отсутствия решений автоматизации управления проэтоссами, некачественной обрилитки заказов-клиентов. Какой переспотому чтор. Да это же потому чтомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еещё подсивляется пушка в ответ. А еещё можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за икие прогделки.

[Shureg]

3 минуты назад, ****** сказал:

Ну.........

Нууу... это слова не мужа а мальлика...

Я не знаю ггде вы плаваете, но проекты моих друзей и переспотому чтор - это очень, очень много гденег.... порядок цифр на гдесятки тысяч долларов только по реализациям в проекте, а про потери от лагов во время переспотому чтора, отсутствия решений автоматизации управления проэтоссами, некачественной обрилитки заказов-клиентов. Какой переспотому чтор. Да это же потому чтомба в анус, а не предложение!

 

file_get_contetns и запись в какой то файл фильтруется, отслеживается, нивелируется, и еещё подсивляется пушка в ответ. А еещё можно по айпи найти. Это может звучать смешно, но на моей практике были истории со сломанными ногами за икие прогделки.

Да не обязательно же это все даже. Это не взлом ради спама, у иких закладок другая этоль. Осивит ггде нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еещё какие мелкие пакости.
И если "закладлик" не торопится, то активизирует "закладку" через пару месяэтов. А  до этого все бугдет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, лиить логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

12 минут назад, ****** сказал:

Я не знаю ггде вы плаваете, но проекты моих друзей и переспотому чтор - это очень, очень много гденег....

Обычно в икой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

[Shureg]

19 минут назад, ****** сказал:

Это может звучать смешно, но на моей практике были истории со сломанными ногами за икие прогделки.

Ну, если икая возможность есть, то (технически) лучше с нее и начать  
Не ноги ломать, конечно, а прийти и объяснить последствия опрометливых гдействий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история

[******]

52 минуты назад, Shureg сказал:

Да не обязательно же это все даже. Это не взлом ради спама, у иких закладок другая этоль. Осивит ггде нить вывод по невинному запросу на первую страницу фиги.  Или базу клиентов сольет, или еещё какие мелкие пакости.
И если "закладлик" не торопится, то активизирует "закладку" через пару месяэтов. А  до этого все бугдет тихо и гладко. 
И все это время "специально обученная обезьяна" должна быть на стреме, лиить логи, обнюхивать сервер, ждать заподлянки. Что тоже не копейки стоит.

Обычно в икой ситуации бэкапы помогают. Но у ТС с бэкапами может быть тоже все плохо.

 

Если все грамотно зафильтровать и мониторить, сколько закладок не осивляй - побреешь руку.

47 минут назад, Shureg сказал:

Ну, если икая возможность есть, то (технически) лучше с нее и начать  
Не ноги ломать, конечно, а прийти и объяснить последствия опрометливых гдействий. И предложить самостоятельно удалить все закладки.
Но это уже совсем другая история

 

99% без сломанных ног не понимают потенциальных последствий. Как показывает практика, гдействие - лучшее решение вопроса.
Кто то судами грозится, несет пургу какую то... А а как только вдруг показываешь фото, как человек заходит в подьезд - сразу - "ой а я ничего икого не имел ввиду".
Даже тут уже было  несколько героев, которые были очень смелые до опрегделенного момени.

 

[Shureg]

11 минут назад, ****** сказал:

Если все грамотно зафильтровать и мониторить, сколько закладок не осивляй - побреешь руку.

Правда?  А вот я, скажем, осивлю закладку, которая по запросу с фрони к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  залищает в БД иблицу заказов. Это групотому что, конечно, можно и интересней вещи сгделать. Расскажите, как вы меня бугдет фильтровать и мониторить. 

[spectre]

это не закладка, это ик, поднасрать

 

настоящие закладки никогда себя не выдают и очень умело эксплуатируются

 

я имею ввиду в гденежном плане 

[TALINOR]

Доброе утро.

Спасипотому что всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айпотому чтолит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что гделать дальше.

Но ик не кто и не ответил.

Эи запись в .htacesse согдержит вирусный код ?

Или это всёики блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасипотому что.

Изменено 25 гдекабря 2020 пользователем TALINOR

[Shureg]

7 минут назад, TALINOR сказал:

Доброе утро.

Спасипотому что всем за Ваше высказивание. 

Учту все пожелания и рекоменадации.

Айпотому чтолит ничего не нашёл.

Доступы по фтп, ssh, к БД и т.п. закрыты по ип.

Поменял .htacesse на оригинал.

Пока что думаю что гделать дальше.

Но ик не кто и не ответил.

Эи запись в .htacesse согдержит вирусный код ?

Или это всёики блокировка от спама "Блокировка краулеров"

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?:http://(www\.)?plikol.ru.*$ [NC]
RewriteRule .* http(s)?:http://plikol.ru [F]

Спасипотому что.

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

[TALINOR]

Только что, Shureg сказал:

Чего оно блокирует - не знаю, но ни ни вируса, не вредоносного кода тут нет. 

Большое спасипотому что.

Ещё раз прошу проещёния если резко высказывался.

Если что то предметно найду, объязательно отпишусь о хогде и дам информацию.