Атакуют шеллами мои сайты на Opencart, DLE, Wordpress

bigboss · 9 сен 2013

Здравствуйте уважаемые друзья , последнее время очень много атакуют мои сайты с залитием шелла....
Помогите найти плагины, чтобы обезопаситься, от подобных атак для каждого движка...

И давайте в этом топике будем обсуждать про это массовое явление с шеллами!

Заранее благодарю за помощь!

Asterius · 9 сен 2013

Если говнохостер, то ничего не поможет. Могу посоветовать генерированный пароль и прятать админку. Но это спасет от брута, что в соседней теме. У меня сейчас виртуальный хостинг, тоже мучаюсь. Когда серв был, правильные настройки позволяли избежать 99.9% залития. Ну и самое большее шеллов заливали на вебхост1.ру, что еще раз подтверждает, что говнохостинги - зло. Самое стабильное было на ihc.ru Как вариант можешь залить все проекты на сервак. Существует мнение или слухы, что filezilla ворует пароли. Не буду утверждать, но после этого юзаю тотал командер. Как-то спокойнее.

А сам чем предохраняешься?

bigboss · 9 сен 2013

артем кабаев сказал(а): ↑

Если говнохостер, то ничего не поможет. Могу посоветовать генерированный пароль и прятать админку. Но это спасет от брута, что в соседней теме. У меня сейчас виртуальный хостинг, тоже мучаюсь. Когда серв был, правильные настройки позволяли избежать 99.9% залития. Ну и самое большее шеллов заливали на вебхост1.ру, что еще раз подтверждает, что говнохостинги - зло. Самое стабильное было на ihc.ru Как вариант можешь залить все проекты на сервак. Существует мнение или слухы, что filezilla ворует пароли. Не буду утверждать, но после этого юзаю тотал командер. Как-то спокойнее.

А сам чем предохраняешься?
Нажмите, чтобы раскрыть...

Total commander - ом тоже пользуюсь!
Вирусы удаляю по последним изменениям файлов, смотрю каждый файл удаляю лишний код...
По безопасности пока ничего могу сделать, так как это скорее всего дыры самих движков...

pensionary · 9 сен 2013

У меня хитрые пароли, правильные логины (все что угодно кроме admin) и тотал коммандер - и обычно тишина.
Но вот давеча поймал шелл в сайте на макссайте (правда там версия была старая, обновился) , что интригует, т.к. двиг не распространенный.

И т.к. одно время периодически ломали сайты на одном и том же хостере, то подозреваю что у хостера настройки позволяли ломануть один акк и потом с него расползаться на остальные акки шареда.

bigboss · 9 сен 2013

Мне бы сейчас самый приоритетный сайт на Opencart защитить , кто что использует?

pensionary · 9 сен 2013

А вот Артем мануал по шеллам возмет - расскажет че да как с методами лома (дыры в timthumb, загрузчиках картинок и т.п.)

Или там только брут и все?

bigboss · 9 сен 2013

pensionary сказал(а): ↑

А вот Артем мануал по шеллам возмет - расскажет че да как с методами лома (дыры в timthumb, загрузчиках картинок и т.п.)

Или там только брут и все?
Нажмите, чтобы раскрыть...

Картинки это большая вероятность оттуда, так как по последним изменениям картинок, замечал файлы измененные ...
Картинки естественно удалил

pensionary · 9 сен 2013

под видом картинки грузится пхп скрипт, который с заголовком картинки закачивается на хост.
а потом уже запускается на выполнение и загружает шелл

т.е. папке аплоада нужно разрешить права запись и чтение, но запретить выполнение

bigboss · 9 сен 2013

pensionary сказал(а): ↑

под видом картинки грузится пхп скрипт, который с заголовком картинки закачивается на хост.
а потом уже запускается на выполнение и загружает шелл

т.е. папке аплоада нужно разрешить права чтения, но запретить выполнение
Нажмите, чтобы раскрыть...

это chmod сколько нужно поставить?

Asterius · 9 сен 2013

Опенкарт один на хостинге?

pensionary · 9 сен 2013

получается, что 666 или 755
но надо покурить гугл, т.к. это предположение только, что так надо

bigboss · 9 сен 2013

артем кабаев сказал(а): ↑

Опенкарт один на хостинге?
Нажмите, чтобы раскрыть...

с DLE((
понимаю что нужно перенести, пока возможностей нету...

pensionary · 9 сен 2013

вот что нагуглил
1. Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты.
2. Права на все папки должны быть 755 (кроме тех, в которые должны быть разрешена запись)
3. Права на все файлы должны быть 644 (кроме тех, которые разрешено редактировать)

Если владелец папок/файлов совпадает с юзером, под которым выполняются скрипты(и нет возможности это исправить - например на вирт хостинге), то права нужно выставить другие:
1. Права на все папки должны быть 555 (кроме тех, в которые должны быть разрешена запись - кэш, images, upload)
2. Права на все файлы должны быть 444 (кроме тех, которые разрешено редактировать)

bigboss · 9 сен 2013

pensionary сказал(а): ↑

вот что нагуглил
1. Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты.
2. Права на все папки должны быть 755 (кроме тех, в которые должны быть разрешена запись)
3. Права на все файлы должны быть 644 (кроме тех, которые разрешено редактировать)

Если владелец папок/файлов совпадает с юзером, под которым выполняются скрипты(и нет возможности это исправить - например на вирт хостинге), то права нужно выставить другие:
1. Права на все папки должны быть 555 (кроме тех, в которые должны быть разрешена запись - кэш, images, upload)
2. Права на все файлы должны быть 444 (кроме тех, которые разрешено редактировать)
Нажмите, чтобы раскрыть...

Все так и стоит, как видим от этого безопасность не АХ-ТИ...

Asterius · 9 сен 2013

Вообще конечно обширная тема и разговаривать можно бесконечно долго. Я давно уже не держу нормальные проекты на одном хостинге вместе со всякими сатллитами и ссылокопомойками из ГГЛ. Про ИМ не скажу, сужу со своей "ссылочной" колокольни. Было несколько сайтов, с тиц 50,тиц 100 и остальные копеечные. Все торговали ссылками только вечными. В один прекрасный день смотрю, что половина сайтов не принимает заявки по причине обвала тиц. Тщательно все посмотрел, проанализировал - ничего не нашел. Оказывается добавили в мейнлинк (т.ч. другие биржи) и торговали по диким схемам. А в ГГЛ нет значка (!) т.к. он походу только на сапу реагирует.

Но это все лирика. Самое интересное когда я написал в саппорт биржи и они мне безо всяких вопросов пребросили мой сайт мне в аккаунт. Представляете? Без подтверждений, без вопросов, без выяснения обстоятельств. Я им даже скрины не показывал и вообще ничего не делал, чтобы доказать, что это мой сайт. Получается, что так можно любой проект себе скинуть? На этот вопрос мне никто не ответил. Вот и думай теперь....

bigboss · 9 сен 2013

да это массовая головная болезнь...
Хостеров , вебмастеров, страдают все...
Читаю этот метод добычи денег (залития шелла) самым подлым поступком, отбирать чужой труд, сливать трафик, клеить тиц ....
Это невероятно подло!
Ладно я потрачу пару сотен баксов и удалю эту заразу, но CMS почти никто полностью все дыры залатать не может, не говорю уже если вашего хостера взломали , то это вообще уже без шансов...

bigboss · 9 сен 2013

Складчина была на ежедневный бэкапер , ссылку может кто подскажет?
Сейчас понимаю насколько это важно

Lapilli · 9 сен 2013

bigboss сказал(а): ↑

Складчина была на ежедневный бэкапер , ссылку может кто подскажет?
Сейчас понимаю насколько это важно
Нажмите, чтобы раскрыть...

http://v21.skladchik.org/threads/Скрипт-для-бекапа-сайтов.12700/
Это?

bigboss · 9 сен 2013

Lapilli сказал(а): ↑

http://v21.skladchik.org/threads/Скрипт-для-бекапа-сайтов.12700/
Это?
Нажмите, чтобы раскрыть...

То что нужно, будем делать первые шаги по безопасности)

pensionary · 9 сен 2013

Для общего развития можно почитать вот это

Скрытое содержимое.