Взлом opensource движков

[Arcvi]

Друзья, подскажите! Работая с движками opencart и worpdress замечаю в htaccess файлах чужой код, который систематически появляется. Меняю все пароли, удаляю сторонние плагины и модули, однако через некоторое время он опять появляется. Понимаю, что в идеале надо постоянно обновлять движки до актуальной версии, модули, плагины, но в силу большого количества изменений в них это не так просто. Возникает вопрос, так ли легко получить доступ к сайтам на движках, в частности, wordpress и opencart? Может дадите какие-нибудь советы по дополнительной безопасности?

 

[Шумадан]

Друзья, подскажите! Работая с движками opencart и worpdress замечаю в htaccess файлах чужой код, который систематически появляется. Меняю все пароли, удаляю сторонние плагины и модули, однако через некоторое время он опять появляется. Понимаю, что в идеале надо постоянно обновлять движки до актуальной версии, модули, плагины, но в силу большого количества изменений в них это не так просто. Возникает вопрос, так ли легко получить доступ к сайтам на движках, в частности, wordpress и opencart? Может дадите какие-нибудь советы по дополнительной безопасности?

зависит, но правилом должно быть наличие последних версий плагинов и тем, а также удаление неиспользуемых плагинов и тем.
первым делом смотреть логи. вторым права на файлах и папках.
Если это шаред хостинг, то убегать на другой.
Можно выставить запрет на модификацию файлов (системных, важных, т.д.), также удобно будет поставить скрипт проверки контрольных сум файлов (по крону каждые 24 часа, например) с последующей нотификацией вас об изменениях.

Для вордпресса и опенкарта установить брутфорс логин защиту и выбрать достаточно сложный пароль для администраторов.

 

[Denis_Pi]

Друзья, подскажите! Работая с движками opencart и worpdress замечаю в htaccess файлах чужой код, который систематически появляется. Меняю все пароли, удаляю сторонние плагины и модули, однако через некоторое время он опять появляется. Понимаю, что в идеале надо постоянно обновлять движки до актуальной версии, модули, плагины, но в силу большого количества изменений в них это не так просто. Возникает вопрос, так ли легко получить доступ к сайтам на движках, в частности, wordpress и opencart? Может дадите какие-нибудь советы по дополнительной безопасности?

Не качать скрипты, модули и прочее не понять из каких источников, Выбери себе нормального хостера, перед установкой скриптов, модулей и прочего проверяй что ты вообще себе ставишь, выставляй по уму права на файлы и папки, Настрой, как надо htaccess... и проверь систему на "вирусы"...

 

[Шумадан]

и проверь систему на "вирусы"...

кстате, да, забыл упомянуть о возможных остатках с прошлого взлома, если таковой был. вполне могли остаться шелы либо изменения в файлах контроллеров (например такое видел), где даные кредиток клиентов втихаря записывались в файл в закодированом виде и лежали в кеше в виде xml, файл был доступен для скачивания снаружи.

 

[dmx]

я думаю троян коннектитсчя по фтп. но всё же правильно сказал чемодан - атрибуты на запись убери.

 

[Arcvi]

я думаю троян коннектитсчя по фтп. но всё же правильно сказал чемодан - атрибуты на запись убери.

а по конкретнее можно, если не сложно?
не везде же их убрать можно. есть какие-то базовые моменты при работе с атрибутами файлов этих движков?

 

[Шумадан]

а по конкретнее можно, если не сложно?
не везде же их убрать можно. есть какие-то базовые моменты при работе с атрибутами файлов этих движков?

поменяйте пароль фтп, троян имелся ввиду с какойто зараженой машины (может быть и ваша), куда утёк пароль от вашего фтп, но это скорее предположение.

 

[Arcvi]

поменяйте пароль фтп, троян имелся ввиду с какойто зараженой машины (может быть и ваша), куда утёк пароль от вашего фтп, но это скорее предположение.

пароль от фтп менялся, причем я его вообще не сохраняю в фтп клиенте.

 

[ZM2007]

пздц. сколько уже было похожих тем, просто жуть.

Вопросы:
1. Сколько сайтов на аккаунте?
2. Кто кроме вас имеет доступ к аккаунту?

Ответы:
1. Кто-то украл ваш пароль (несколько раз)
2. Кто-то украл пароль соседа по аккаунту/серверу
3. Кто-то залил шелл быстрее всего в папку wp-content/uploads или еще куда-то в OpenCart и после правки вами файликов взад, правит их на свое усмотрение.
4. Правильный шелл позволяет менять права доступа к файлу, поэтому это вряд ли поможет, нужно искать дыру.
5. Если бы вы поискали до этого на форуме или в гугле то нашли ссылку на такой скрипт:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Запустили бы его на своем сервере и с вероятностью 90% нашли бы шелл, а может несколько
6. Если вы правильно работаете с Wordpress (не меняете файлы движка, потому что в этом нет необходимости) то обновлять движок и плагины совсем не сложно.
7. На сервере есть такая штука как логи, нужно посмотреть в них (подключения по ФТП например)
8. На сервере есть такая штука как запрет подключения по FTP/SSH со всех IP кроме вашего/или сети ваших айпишников.
9. У хостера есть саппорт.

 

[Шумадан]

ещё одно, запретить обрабатывание php файлов в папках аплоада, куда теоретически могут попасть скрипты в том или ином виде, типа image.jpg.php ввиду слабого "фильтрования" аплодера