Скорость Хостинга

Все заметки блога »

зашифрованный хакерский скрипт продажи ссылок⚠Закажите у специалистов

Кейс: клиент обратился с проблемой появления скрытых ссылок на страницах своего интернет-магазина, работающего на PHPShop Enterprise 3.6.


ul.c98ee5 {
padding: 0 !important;
margin: 0 !important;
font-size: 12px !important;
border: 1px solid #000000 !important;
}
.c98ee5 li {
list-style: none !important;
padding: 2px !important;
text-align: left !important;
}
...


  • Материалы о беременности и родах, развитии
    детей и др. Подробно о клинике.
    какой-то-сайт


    Сканирование и анализ исходного кода выявил вставку хакерского кода в файле шаблона footer.inc.php.
    Код php скрипта находился в файле usb2.gif и подключался через include.

    В файле usb2.gif обнаружился код достаточно популярной "уличной магии Девида Блейна", при расшифровке которая оказывается самым обыкновенным обфусцированным кодом бирж ссылок sape, setlinks, trustlink и др.

    Появление данного скрипта на сайте конечно же не является уличной магией, а является следствием взлома сайта, поэтому нужно найти хакерские шеллы или бэкдоры, через которые хакер загрузил файл и сделал вставку в файл шаблона.
    Совершенно закономерно сканер выявил классический WSO шелл.

    wso shell / обфусцированный хакерский шеллКроме того, при анализе исходного кода обнаружился бэкдор, который лучше вовремя закомментировать или удалить.

    Он как бы намекает нам на то, что CMS нужно либо покупать, либо скачивать с официального сайта, а нелицензионными (nulled) версиями пользоваться себе дороже.

    К сожалению, логи на хостинге клиента хранились только неделю и по ним обнаружить вариант загрузки шелла не удалось. Но известно, что в PHPShop Enterprise шелл можно загрузить через админку (кроме последних версий), вставив код в шаблон, либо через LFI уязвимость в скрипте админки через языковой файл (по заверению разработчиков это возможно только для версий до 2008 года). Это пара весомых аргументов в пользу закрытия админки дополнительной авторизацией.

    Вредоносный код и шелл удалили, поставили на сайт защиту и выслали подробный отчет о проделанной работе клиенту с рекомендациями на будущее.

    Конец кейса.

    Какие следует сделать выводы из данного кейса:

    1. Файлы картинок нужно сканировать наравне с файлами скриптов и шаблонов, в них могут быть вирусы, бэкдоры, шеллы
    2. Период ротации логов нужно делать максимально возможным, хотя бы сохранять их за 2 месяца, чтобы можно было сделать анализ взлома
    3. Уличной магии не существует. Если на сайте появились чужие ссылки, вирусы или подозрительная активность, сайт взломали. Нужно его как минимум просканировать на наличие хакерских скриптов
    4. Пользовать нелицензионными скриптами плохо, а лицензионными - хорошо. Так как в "нулленых" скриптах почти всегда есть бэкдоры и хакерские шеллы.
    5. Чтобы не стать жертвой мошенников, продающих ссылки с вашего сайта через биржи ссылок сделайте хитрость: зарегистрируйте свой сайт во всех популярных биржах ссылок сами. Два раза один и тот же сайт в систему не примут.
Возможно, вам понравится:
Хостинг Minecraft Серверов
Хостинг Minecraft Серверов
Скачать сервер JAILBREAK ДЖАИЛ
Скачать сервер JAILBREAK ДЖАИЛ ...
Бесплатный хостинг серверов SA:MP
Бесплатный хостинг серверов SA:MP ...
самый дешевый хостинг игровых
самый дешевый хостинг игровых ...
Похожие страницы: