Взломан Viart

[moromer]

Привет.
Уже второй раз за последний год сайт подвергается нападению. Весьма успешно. Кто-то заливает туда софт непонятного содержания (возможно шелл). Вопрос в том, как вычислить хулигана и каким образом он получает доступ к серверу?
Вот список файлов, которые были залиты сначала в папку db, потом в includes:
cent
l.pl
libcom_err.so.2
libcrypto.so.6
libcurl.so.3
libgssapi_krb5.so.2
libidn.so.11
libk5crypto.so.3
libkeyutils.so.1
libkrb5.so.3
libkrb5support.so.0
libselinux.so.1
libsepol.so.1
libssl.so.6
libz.so.1
load.php
load.pl

[expy]

Версия? Исправления безопасности установлены? Урл в ЛС.

[ergoline]

для профилактики, и ускорения обнаружения рекомендую использовать ай болита revisium.com/ai/

[newshop]

А почему бы не включить Айболита в дистрибутив? Будет полезно всем. Идея для Виарта.

зы
И сделать кнопочку в админке "Проверить на наличие Чужих"

[expy]

Как дополнительная мера мера безопасности можно добавить в .htaccess

Код:

RemoveHandler .php .pht .phtml .php3 .php4 .php5
RemoveType .php .pht .phtml .php3 .php4 .php5
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

В некоторых случаях через .htaccess нельзя переназначить глобальные настройки сервера. В этом случае нужно попросить хостера добавить в конфиг аппача

Код:

<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

Проверить как это работает можно создав файл test.php.jpg

с содержанием

Код:

<?php phpinfo(); ?>

загрузить его в корень сайта, набрать в браузере


Если в браузере видите вашу php info значит что-то не так.

Если чистую страницу - всё Ок.

[VST]

Достигнута предварительная договоренность с разработчиком о включении готовящейся к выпуску новой версии в базовую версию Viartshop v.4.1RE.

Спасибо пользователям ergoline и newshop за предложенную идею!

[ergoline]

да не за что.
он тоже с нулледа
если что еще увижу - поделюсь конечно же.
правда я сейчас на китайцев поглядываю - уж больно мне там пару вещей понравилось
это типа форум - социальная сеть Дискуз Х2.5 ( сейчас их ведут бойцы с one-st ru) + масса плагов позволяющая сделать с форума - всё. реально всё.
и ихний подход к б2б Китайцев), в частности б2ббуилдер.

А можно я дофлужу предложением - раз возможен мультишоп, то подумать, и как бы категорию с яндекс картами - где будут видны продавцы по гео, и по видам товаров. Можно взять и готовую фри платформу Ushahidi ( сами в гугле ж найдете? ).

[moromer]

Спасибо всем, за советы. Но мой акк. админ сервера тупо вырубил. Теперь все сайты на его хостинге недоступны. Пытаюсь в переписке все вернуть на место.

[Krasniy001]

Спасибо всем, за советы. Но мой акк. админ сервера тупо вырубил. Теперь все сайты на его хостинге недоступны. Пытаюсь в переписке все вернуть на место.

Какая версия виарта стояла?

[moromer]

Стоял Viart Shop v.4.08 RE 07_02_12_win1251
По исправлениям безопасности говорить не буду, не знаю

[Serge]

При быстрой проверкой айболитом выдает :
Критические замечания
AI-BOLIT-DOUBLECHECK.php already exists.
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:
Путь Дата создания Дата модификации Размер CRC32
./vi_requisites.php
<?php |$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72 %61%34%63%6f%5f%74%6e%64');$GL

Эту и пару похожих строк находит в :
./vi_requisites.php (Подозрительное использование массива глобальных переменных)
./blocks/vi_articles_search_autocomplite.php (Подозрительное использование массива глобальных переменных)
./blocks/vi_search_autocomplite.php (Подозрительное использование массива глобальных переменных)
./blocks/vi_sliding_cart.php (Подозрительное использование массива глобальных переменных)
./blocks/vi_block_subscribe.php (Подозрительное использование массива глобальных переменных)
./includes/sms_functions.php (Подозрительное использование массива глобальных переменных)
./admin/vi_requisites_settings.php (Подозрительное использование массива глобальных переменных)
./admin/vi_admin_sms.php (Подозрительное использование массива глобальных переменных)
./admin/admin_yandexmarket.php (Подозрительное использование массива глобальных переменных)
./payments/payments_common.php (Подозрительное использование массива глобальных переменных)
./payments/webmoney_process.php (Подозрительное использование массива глобальных переменных)
./payments/webmoney_check.php (Подозрительное использование массива глобальных переменных)
./payments/liqpay_response.php (Подозрительное использование массива глобальных переменных)
./payments/webmoney_check_ipn.php (Подозрительное использование массива глобальных переменных)
./payments/w1_response.php (Подозрительное использование массива глобальных переменных)
./payments/robokassa_response.php (Подозрительное использование массива глобальных переменных)
./payments/robokassa_process.php (Подозрительное использование массива глобальных переменных)
./payments/onpay_process.php (Подозрительное использование массива глобальных переменных)
./payments/qiwi_process.php (Подозрительное использование массива глобальных переменных)
./payments/onpay_response.php (Подозрительное использование массива глобальных переменных)
./payments/p24_response.php (Подозрительное использование массива глобальных переменных)
./payments/qiwi_response.php (Подозрительное использование массива глобальных переменных)
./payments/w1_process.php (Подозрительное использование массива глобальных переменных)
./includes/zip_class.php


На оригинальной версии нечего такого нет., ругает только RE вопрос с чем это связано и опасно ли ?

[Georg]

Задавал этот вопрос Техподдержке. Неопасно. В английской версии этих модулей просто нет. Это лицензионная защита. Айболит возможно будет включен в 5 версию.