Взлом сайта

Багрепорт
Здравствуйте!

У меня происходит взлом сайта. Злоумышленники вставляют на моем сайте внешние ссылки, визуально закрытые, но открытые для индексации.

Хостинг сообщает, что взлом происходит через подозрительные файлы LiveStreet.

/home/yaotdikh/public_html/blog/templates/compiled/synio/0b1afa8c2514a92285582b642c4671c99138b1fa.file.page.tpl.php

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/b0615a9655d4b446a1ca96d4d876bc8611b0adcf.file.topic.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/929848b885f20d3bd4919adc7834880e8d2aed98.file.comment_paging.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/17cb67555072beee834585db5a2468d7b96273c3.file.topic_vkcomments.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/d7435d6c70197bfcc0d3d4aeee59b0922aac50a3.file.blog.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/9b85fe0629e9b89d81d374834bcd9ceba12fe565.file.blog.tpl.php
String:: c99

40 комментариев

avatar
.htaccess в templates, templates/compiled, templates/compiled/simple ????
как выглядит?
avatar
.htaccess насколько я понимаю в templates/compiled, templates/compiled/simple пихать не следует. Присутствие .htaccess в корне templates разве не достоточно?
avatar
Достаточно
avatar
Options -Indexes
<Files ~ "\.tpl$">
Order allow,deny
Deny from all
avatar
Список плагинов пожалуйста.
avatar
Точнее, больше похоже на ситуацию, когда один из плагинов на хук в шаблоне вставляет свой скрытый блок.
avatar
Тут есть нюанс, у меня два движка стоит. Modx и livestreet. Скрытый блок вставляется в шаблоны Modx, а хостинг ругает файлы livestreet, ну и реально взломы начались после установки livestreet.
avatar
Admvote
Blogs Autoconnect Plugin
Fastls
Greetings
Lepra-style greetings.
Livestreet Profiler Plugin
Main preview topic
NiceURL
OpenID
SEO
Search Auto Completer
Simple template
Sitemap
Static page
StickyTopics v2
TinyMce
Tricky Title
Twitter Feed
Usertop
aceWidgetManager
Виджет для комментариев ВКонтакте и Facebook
Пингатор (исправленный)
Рекламные ссылки пользователей
avatar
Fastls
безумству храбрых хлопаем в ладоши
avatar
Я, лично, считаю, что плагины вообще не вызывающие родительские методы стандартных модулей не должны проходить модерацию. Это, прямо-таки, прямой путь к геморрою. Либо, на крайний случай, такие плагины должны получать какую-то пометку, что мол потенциально проблемные для совместимости.
avatar
у fastls есть такая пометка в описании в каталоге.
avatar
Я имел в виду стандартную какую-то пометку в каталоге, а не по желанию разработчика.
avatar
И сам файлик /home/yaotdikh/public_html/blog/templates/compiled/simple/d7435d6c70197bfcc0d3d4aeee59b0922aac50a3.file.blog.tpl.php тоже куда то на видное место
avatar
Мне кажется, кроме скомпиленного шаблона мы ничего в нём не увидим.
avatar
Дык як в курсе, но мне интересно увидеть что именно Хостинг принял за открытую ссылку а еще более интересно как он это определил
avatar
Теперь и мне интересно )
avatar
Найдены подозрительные файлы, взлом скорее всего идет через blog
/home/yaotdikh/public_html/blog/templates/compiled/synio/0b1afa8c2514a92285582b642c4671c99138b1fa.file.page.tpl.php
File: /home/yaotdikh/public_html/blog/templates/compiled/simple/b0615a9655d4b446a1ca96d4d876bc8611b0adcf.file.topic.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/929848b885f20d3bd4919adc7834880e8d2aed98.file.comment_paging.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/17cb67555072beee834585db5a2468d7b96273c3.file.topic_vkcomments.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/d7435d6c70197bfcc0d3d4aeee59b0922aac50a3.file.blog.tpl.php
String:: c99

File: /home/yaotdikh/public_html/blog/templates/compiled/simple/9b85fe0629e9b89d81d374834bcd9ceba12fe565.file.blog.tpl.php
String:: c99
avatar
Киньте любой з файлов куда-то на депозит на посмотреть
avatar
а то что вы выложили, это просто откомпилированный Smarty шаблон.
Врятле паук ориентирован на внедрения в откомпилированные шаблоны.
Как правило паук поражает или index.php или ищет вставки аля , итд
avatar
И если можно, то сообщение хостинга в оригинале
avatar
Ну, если чесно то не вижу в Вашем файле каких-то скрытых баннеров.
Скореее всего хостер просто либо тестирует функциональность по защите пользователей и еще недотестировал его.
Как вариант напишите в поддержку и спросите каким инструментом они пользовались при диагностике.
Если только собственным опытом… ну какбы не ве хостеры видели в глаза скомпилированный шаблон smarty и спокойно могут принять его за какой-то зашифрованный вирусняк
avatar
Тут есть нюанс, у меня два движка стоит. Modx и livestreet. Скрытый блок вставляется в шаблоны Modx, а хостинг ругает файлы livestreet, ну и реально взломы начались после установки livestreet.
avatar
Можете кинуть адрес сайта modx
avatar
отправил в ЛС
avatar
как правило подобные взломы происходят по фтп
кто — то из пользователей или вы сами заразились вирусом. Он перехватил фтп логин и пароль и отправил их на сайт сервер, раздатчик вируса, там стоит сканер фтп который бегает по папкам и ищет определенные поля в файлах движка.
Чтоб избавится от этоого, надо проверить все компьютеры на наличие вирусов. И сменить все доступы. И проанализировать лог фтп на сервере.

Будут вопросы — пишите.
avatar
Менялись везде доступы. Проверял ПК. Вирусов нет. Остался нюанс, что проблема хостинга и вирус остался на хостинге. Хостинг указывает на подозрительные файлы LS. Даже не знаю, что делать.

Остался вариант, заблокировать IP злоумышленника. 81.201.16.139
avatar
Хостинг указывает на подозрительные файлы LS. Даже не знаю, что делать.
очистите папку compiled и, если там в одном из файлов ВДРУГ был внедренец то больше его небудет
шаблоны откомпилируются заново и все.
Но я бы всетаки советовал еще раз связаться с хостингом потому что у меня такое ощущение что они просто ищут крайнего (по себе знаю и как хостер и как клиент хостера)
avatar
Спасибо. Очистил. Если повторится ситуация, то будем более серьезно разговаривать с хостингом.

При этом злоумышленник, молодец, вставляет ссылки перед индексацией.
avatar
Ну судя по заявлениям гугла!!!
их робот имеет столько мозгов чтобы не индексировать те ссылки которые конечный юзер не видит e.g. (закрытые дивом, покрашенные в цвет фона и тд)
avatar
А Яндекс еще такое не может :)
avatar
не он молодец. а скрипт. такие вещи руками не делаются
avatar
да вполне возможно что на хостинге криво выставлены права и к примеру все скрипты выполняются от одного пользователя. Тогда достаточно скрипт запустить на одном из сайтов, а он в свою очередь обойдет все дерево каталогов и внесет заразу.
avatar
кеш включен?
avatar
Да
avatar
файл .htaccess в папке tmp есть?
avatar
А установка LS его там не делает?
avatar
делает. но некоторые особи в порывах помощи иногда пишут что ручками нужно очистить папки компиленых шаблонов, кеша ЖС и КСС, а также папки tmp. Вот часть из них забывает упомянуть что вышеуказанный файл нужно оставить.

Ну а пользователи которые задают обычно вопросы об очистке кеша не сильно подкованы в знаниях и не рассматривают в удалении ВСЕХ файлов из папки тмп ничего плохого.

И, как следствие, папка (кеш БД) стает доступна извне…
avatar
У меня было.
По ftp «заразили» js файлы. Был добавлен код, которые генерил ссылки на «странные» сайты.
Поменял пароли. Восстановил js файлы
avatar
Тоже с этим сталкивался. Просто сменил провайдера.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.