Комментарии 25
И на данный момент у статьи всего 2 минуса. Почему это вас так задевает?
но связаться с кем либо из них, на данный момент, он не может.
Мы попросили клиента связаться со своим другом
Что-то тут не сходится. Он сказал, что не может связаться, но потом вы попросили его это сделать.
Не могу мол понять, почему то сайт не работает. Хостинг вроде оплатил, домен продлен, что не так с сайтом совсем не знает.
что по словам друга, сайта на аккаунте больше нет и восстановить ничего не выйдет. Так ему сказали те самые разработчики
И тут не сходится. Друг ему сказал, что сайта больше нет, но он якобы не может понять, почему сайт не работает.
производилась рассылка спам писем, адреса которых хранились во все той же базе данных сайта, которую предыдущие разработчики не удосужились проверить
Простите, что? Спам это по определению нежелательные письма. Даже если бы они "удосужились проверить", то что они должны были обнаружить? Какие-то почтовые адреса, пользователи которых не хотят получать спам? Почему это должно было их насторожить?
Скриншоты и примеры вредоносного скрипта небыли выложены по причине того, что всегда найдутся личности, использующие пример кода как основу для своих детищ
А нафиг вы вообще написали про это на технический сайт? Покрасоваться какие вы клёвые?
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляетСлава Роскомнадзору!
3. Ну и что? Ну email'ы какие-то. Что они должны были сделать, таблицу удалить? А если сломается что-нибудь, отвечать потом?
4. Собственно, мой вопрос остается в силе. Зачем вы написали об этом на сайт технических специалистов?
Я раз 10 за последние несколько месяцев такое делал. Потому что у начальника сайт компании на ВордПрессе. Только я не пишу об этом статьи, потому что и так все знают, что ВордПресс дырявая штука.
Для тех кто считает статью плохой и ставит минусы: пишите пожалуйста в комментарии почему вы так решили.
Хотя минусов я не ставил да и не могу я этого делать, но попробую сформулировать причину, почему мне не понравилась статья.
Проблемы, описанные вами, уже лет 10 как довольно будничные и не представляют какой-либо теоретической ценности. Профессионалы решают их «по щелчку» и без всякого интереса — ибо набили оскомину.
Мы создали новый запрос в техподдержку, с просьбой уточнить, в каких именно файлах был обнаружен вредоносный скрипт, для того, что бы иметь хоть какое то представление, что искать.Вы даже не представляли, что искать? Это многое объясняет. Но мне искренне жаль техподдержку. Вы ведь прочитали предыдущую переписку, об этом было написано в первом письме от них.
А вообще, это предложение как раз и характеризует мое отношение к вашей статье.
Вы подаете материал, как свою победу в маленькой войне, а на самом деле решили курсовую работу. Победа — это хорошо, но мне странно наблюдать за студентом, решившим задачу, уничижительно отзывающегося о других студентах, которые с задачей не справились.
очередных горе разработчиков
посоветовал ему этих ребят
те самые разработчики, которые очень «эффективно»
профилактических работ ребята не предпринимали
которую предыдущие разработчики не удосужились проверить
Горе гении, которые якобы выполняли очистку в прошлый раз
Еще бы пару раз сказать про «ребят горе гениев» и было бы совсем чудесно.
Я начинаю узнавать эту сферу с нуля и попробовала создать свой сайт, теперь не могу избавиться от этой заразы-спама. Может кто знает что надо делать, что бы устранить это постоянный взлом? И что мне стоит прочитать что бы улучшить безопасность?
Спасибо
P. S. Как показал анализ IP, не все они были турецкими, были и немецкие и российские IP адреса множества хостинг провайдеров где вероятнее всего были размещены ранее взломанные сайты, через которых взламывались следующие сайты и сайты клиента в том числе.
Далее обновить вордПресс до последней версии и с ним все плагины и темы и сменить доступы к сайту и можно и к базам.
Был такой опыт, сперва мониторил почтарь, дальше post запросы грепал на все ссылки, заканчивающиеся на .php, т.к. ЧПУ обычно без расширений. Дальше искал php там, где их не должно быть, дальше понял, что вирус вписывается в виде открывающего <? и кучи пробелов, т.е. прячется за пределами экрана, дальше eval и base64 искал, потом нашел кучу файлов php, которые без подозрительного кода, но инклудят что-то вроде jpeg текстовых, потом запретил прямой доступ к папкам с либами, ибо точка входа index.php, дальше забанил все php по маске в прямом доступе из сервера. Потом еще махинации с правами доступа к php, в итоге система не может меняться, а аплоад не может исполняться по прямой ссылке. Всё это у одних знакомых на серваке, прошёл год и всё чисто. Обновлять чужие джумлы с кучей кастома не хотелось.
Вроде как не ново, ещё три года назад как минимум была куча сайтов таким образом заражена, да и сегодня тоже довольно много подобных и сложнее случаев, когда кусок вредоносного скрипта, очень короткий и так просто себя не выдаёт, вот тогда это головная боль. А чистить не всегда нужно руками, но главное внимательно.
Вообще распространенные CMS обычно не подвергаются целенаправленой атаке, а подвергаются массовому взлому через известные дырки или зашитые закладки в зануленных темах и шаблонах.
Итак, что надо сделать в первую очередь:
1) Очистить сайт от заразы.
Для того чтобы исключить появление новых копий вредоносов в момент очистки можно либо проводить очистку на локальной копии либо закрыть на время сайт (к примеру через .htaccess).
Намного лучше если на хостинге будет доступен ssh. Find и grep помогут намного эффективнее непонятных айболитов (ищем base64, eval, mail, find -mtime), а код сайта в дальнейшем можно будет добавить в git парой команд.
Только главное не забыть лишнее засунуть в .gitignore (можно пошариться на gitignore.io в поисках готового варианта). Также код лучше дополнительно забэкапить во внешнюю приватную репу (bitbucket/giltab в помощь).
2) Защита
Также следует изучить структуру CMS и явно запретить исполнение php в тех директориях в которых скрипты быть не должны (всякие assets и upload). Сделать это можно в .htaccess и для надежности запретить его перезапись через chattr.
Настоятельно рекомендую включить директиву mail.log и писать лог отправки писем. В случае старта волны спама можно будет легко отследить откуда шлются письма.
Закрыть вход в админку дополнительно через BasicAuth или вовсе ограничить списком разрешенных ip.
Выключить ненужные штуки типа xmlrpc.php у Wordpress.
Сменить пароли в CMS, сменить пароли на FTP/SSH (кто знает, может пароли утекли будучи сохраненными в ftp-клиенте админа)
Взлом сайта с помощью другого сайта. Доверяй, но проверяй