Как найти шелл?

Бахмут 18.09.2013 Все вопросы » Общие вопросы 6132

вопрос

В общем, по базу данных бал раскидан вредоносный скрипт. Все удалил. Удалил все файлы движка, залил совершенно новые. Поменял пароли и установил AntiShell. Версия дле 10.0. Все равно через пару-тройку дней опять поймал тот же вирус. AntiShell ничего не показал. А вот встроенный антивирус движка показал, что добавилось два файла по адресам:

/engine/cache/system

файлы под названием:
minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156
minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156.gz

Первый - точная копия одноименного с данными базы данных. Второй зашифрован. Скорее всего как-то эти файлы появляются в кеше системы и потом с них берется пароль к базе данных и делается внедрение по бд вредоносного кода.
Кто с этим сталкивался и как закрыть данную дыру?

Заранее, огромное спасибо!

Ответил: ПафНутиЙ

1. Установить заплатку
2. Сменить все пароли! От БД, от FTP и SSH (на всякий случай)
Антишелл ничего не нашёл потому, что папка cache находится в исключениях проверки (если вы устанавливали скрипт с настройками по умолчанию)

8 комментариев

PHP-developer

1783

Sander - 2015-01-1518 сентября 2013 16:06 - #16737

Я у себя вообще удалил папку /engine/classes/min/ :)

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

Админ

3457

ПафНутиЙ - 2015-01-1518 сентября 2013 16:14 - #16738

Ага, и прощай оптимизация скорости загрузки в виде объединения и сжатия css и js ))

Каков вопрос - таков и ответ. Просто помните об этом.

Юзер

Бахмут - 2015-01-1518 сентября 2013 16:42 - #16739

И по теме вопросик еще. Судя по всему у чела, который залил вирусы через эту дырку, также была возможность и сделать дамп базы себе на комп? Правильно ли я понимаю?

Гости

235

Exile - 2015-01-1518 сентября 2013 16:49 - #16741

Если у него были пароли от бд, то да, он мог сделать дамп.

Админ

3457

ПафНутиЙ - 2015-01-1518 сентября 2013 16:52 - #16742

Если смог насовать гадостей - то смог слить и всю БД и весь сайт.

Каков вопрос - таков и ответ. Просто помните об этом.

Юзер

Бахмут - 2015-01-1518 сентября 2013 18:43 - #16745

Ну в принципе я так и думал(((. Хотя особо не страшно, даже дубль сайта сделает - вряд ли поисковики меня понижать в выдаче начнут, но неприятно как-то...

Юзер

fluffy - 2015-01-1527 ноября 2014 21:13 - #38081

Мне как-то заливали шеллы. Возрасла нагрузка на сервер, почта стала в спам попадать. Решил вопрос, нашел пару шеллов и закрыл дыру.
Тут смотрел http://mr-stiher.ru/blog/find-shell-via-shh.html

Админ

3457

ПафНутиЙ - 2015-01-1528 ноября 2014 00:45 - #38087

http://revisium.com/ai/ - попробуйте, может ещё чего отыщите))

Каков вопрос - таков и ответ. Просто помните об этом.

TeraMoune | Как отключить миниатюры стандартной гале ...
TeraMoune
Как отключить миниатюры стандартной галереи Fancybox?
Сегодня, 06:00
В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

Например: параметр Thumbs: false отключает миниатюры.
```
Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
```
derebas | Как реализовать шифрование трафика? ³

derebas
Как реализовать шифрование трафика?
18-11-2024, 16:52

Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:46

я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
Так и было...
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:39

чтоб не удалять выстави права и пользователя какие там идут на файлы. .
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:37

т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
Видосы в директории upload можно хоть оставить? их там 80 Гб
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:17

фтп обычный юзер а не root
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:15

дэк только так и загружаю
Gordi | Как реализовать шифрование трафика? ³

Gordi
Как реализовать шифрование трафика?
18-11-2024, 14:14

я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:13

Gordi,
через фтп загружай
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:11

Привет Николай!
Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
или направь на путь истинный, пжст