Форум Сайтостроение Безопасность

Общая тема о борьбе с шеллами и вирусами на сайте

1... 202122232425262728 29
Colt71
На сайте с 10.10.2010
Offline
69
Colt71
#251

Такая проблема появилась - пару дней назад обнаружил на двух сайтах новых админов, на одном сайте их было три, на другом два. Зашёл на сайт хостера и увидел сообщение что надо срочно обновить Bash, ибо в нём появилась дырка. Обновил, админов удалил, пароли сменил, основные файлы проверил, ничего не нашёл, как теперь узнать есть ли на сайтах какая-то зараза или нет? Да, айболитом проверял, тоже ничего не нашёл.

R
На сайте с 24.01.2008
Offline
180
Алексей
#252
Colt71:
Такая проблема появилась - пару дней назад обнаружил на двух сайтах новых админов, на одном сайте их было три, на другом два. Зашёл на сайт хостера и увидел сообщение что надо срочно обновить Bash, ибо в нём появилась дырка. Обновил, админов удалил, пароли сменил, основные файлы проверил, ничего не нашёл, как теперь узнать есть ли на сайтах какая-то зараза или нет? Да, айболитом проверял, тоже ничего не нашёл.

Узнать можно только проверив глазами код, лично у меня айболитом половина клиентов, т.е. на него особо рассчитывать не стоит.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
Colt71
На сайте с 10.10.2010
Offline
69
Colt71
#253

Кто-нибудь может расшифровать это:

url('data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0idXRmLTgiPz4gPHN2ZyB2ZXJzaW9uPSIxLj
EiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8yMDAwL3N2ZyI+PGRlZnM+PGxpbmVhckdyYWRpZW50IGlkPSJncmFkIiBncmFkaWVudFVua
XRzPSJ1c2VyU3BhY2VPblVzZSIgeDE9IjUwJSIgeTE9IjAlIiB4Mj0iNTAlIiB5Mj0iMTAwJSI+PHN0b3Agb2Zmc2V0PSIwJSIgc3RvcC1jb2xvcj0iI
2ZkZmRmZCIvPjxzdG9wIG9mZnNldD0iMTAwJSIgc3RvcC1jb2xvcj0iI2VhZWFlYSIvPjwvbGluZWFyR3JhZGllbnQ+PC9kZWZzPjxyZWN0IHg
9IjAiIHk9IjAiIHdpZHRoPSIxMDAlIiBoZWlnaHQ9IjEwMCUiIGZpbGw9InVybCgjZ3JhZCkiIC8+PC9zdmc+IA==');
zhitov
На сайте с 30.01.2005
Offline
219
zhitov
#254

Colt71, это просто картинка.

Строительные калькуляторы ( https://www.zhitov.com/ )
Colt71
На сайте с 10.10.2010
Offline
69
Colt71
#255
zhitov:
Colt71, это просто картинка.

А чего она закодирована? Это было в файле css в папке движка, в оригинальном дистрибутиве этого файла нет, откуда он взялся не знаю.

zhitov
На сайте с 30.01.2005
Offline
219
zhitov
#256

Так иногда делают. :) Картинку можно и текстом в HTML вставить, закодировав в base64. Зато не потеряется...

<img src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0idXRmLTgiPz4gPHN2ZyB2ZXJzaW9uPSIxLj
EiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8yMDAwL3N2ZyI+PGRlZnM+PGxpbmVhckdyYWRpZW50IGlkPSJncmFkIiBncmFkaWVudFVua
XRzPSJ1c2VyU3BhY2VPblVzZSIgeDE9IjUwJSIgeTE9IjAlIiB4Mj0iNTAlIiB5Mj0iMTAwJSI+PHN0b3Agb2Zmc2V0PSIwJSIgc3RvcC1jb2xvcj0iI
2ZkZmRmZCIvPjxzdG9wIG9mZnNldD0iMTAwJSIgc3RvcC1jb2xvcj0iI2VhZWFlYSIvPjwvbGluZWFyR3JhZGllbnQ+PC9kZWZzPjxyZWN0IHg
9IjAiIHk9IjAiIHdpZHRoPSIxMDAlIiBoZWlnaHQ9IjEwMCUiIGZpbGw9InVybCgjZ3JhZCkiIC8+PC9zdmc+IA==" alt="" />
outtime
На сайте с 04.05.2008
Offline
197
outtime
#257

Изучаю логи обращения к новому молодому сайту, и наткнулся на несколько "левых" запросов урлов

На WP кто-то обращается к урлам вида /wp-content/plugins/wp-symposium/server/php/ и похожим адресам, которыми на моём сайте даже не пахнет. Поскольку сайт молодой - то и ссылок на меня никто не ставил, взяться таким нерабочим линкам неоткуда.

В роботсе индексация плагинов и прочих служебных папок и ненужных для поиска адресов закрыта, но это, как я понимаю, видимо идет проверка на дыры со стороны желающих взломать сайт.

Нужно ли в .htaccess блокировать IP, с которых идут такие запросы?

Или так может обращаться не только злоумышленник, но и некоторые поисковые роботы и по такой блокировке есть риск вывалиться из индекса?

Предлагаю воспользоваться моими услугами корректора. Проверю и уберу все ошибки, поправлю грамматику и склонения, сделаю текст лучше и читабельнее. Высокая скорость работы, цена 20 р за 1000 символов.
Как получить статистику по Google опубликовал список IP-адресов Некоторые страницы индексируются и
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#258
outtime:
Поскольку сайт молодой - то и ссылок на меня никто не ставил, взяться таким нерабочим линкам неоткуда.

Неверные умозаключения.

ВП не только сам пингует и запрашивает внешние скрипты, и разные плагины и темы тоже. А если тема с помойки - то..

Плагин wp-symposium есть?

А домен в вебархиве проверял?

outtime:
Нужно ли в .htaccess блокировать IP, с которых идут такие запросы?

Лучше (и много проще) не по ИП выбирать, а отдавать 404 по таким путям. Впрочем ВП и сам это делает (но проверить стоит). Но если это будет создавать нагрузку - лучше передать 404 на сервер.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Редирект устаревших беклинков интернет-магазина: Сколько трафика может выдержать Повторение ссылок в десктопе
outtime
На сайте с 04.05.2008
Offline
197
outtime
#259

Домена в вебархиве нет, данных в истории whois тоже нет до моей регистрации.

Плагин также не установлен.

В перечне адресов, к которым такие айпи обращаются - есть не только отсутствующие плагины, но и какие-то левые файлы тем (видимо, зараженных из паблика со стандартными адресами, но моя тема в тех запросах отсутствует) и попытки загрузки каких-то файлов соответственно.

Вот я и подумал, что лучше такие айпи забанить в хтаксессе заранее, что с них ничего хорошего ждать не приходится...

Я неправ?

404 отдается

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#260
outtime:
Вот я и подумал, что лучше такие айпи забанить в хтаксессе заранее, что с них ничего хорошего ждать не приходится...

Ну вреда это скорее всего не принесёт (если это не ИП провайдеров домашних интернетов)

1... 202122232425262728 29

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий