В продовження нашої статті про атаку на Самку чужого. нарешті з'явився час докладно описати що ми зробили, щоб історія не повторилася.
1 - Поміняли абсолютно всі паролі. Ftp, бази даних, адміністраторів магазину.
2 - Додали в / system / logs файл .htaccess такого змісту:
Order Allow, Deny
Deny from all
3 - Перевірили всі права на папки файли і дали мінімальні
4 - Пройшлися вручну пошуком по всіх папок на яких було 777 знайшли все підселення експлойти, і прибрали їх.
5 - Пройшлися по всіх папок магазину і знайшли входженія base64 і eval. Це дозволило виявити ще вагон і візок всякого мотлоху.
6 - Назбирали статистику айпі з яких були атаки і заблокували їх в кореневому .htaccess
7 - Вилучили контролер admin / controller / tool / backup.php. Це не критичний функціонал - без нього жити можна.
8 - запаролено адмінку через .htaccess як це зробити читаємо тут.
9 - Відключили показ помилок на рівні сервера. І в налаштуваннях магазину.
Перш за все досить для того щоб наш зловредів не з'явилося знову.
Але для залізобетонної впевненості в тому, що до вас не причепиться якась гидота - цього мало.
Також сервер повинен бути з останніми патчами безпеки.
Вкрай не завадить SSL-сертифікат.
І ось така система дійсно дасть якусь надію, що вас не хакнуть, якщо захочуть.
Хуйнанир (11) Очко (0)
Відмінно. Нещодавно боровся з одним вірусом в магазині. Знайшов і виправив швидко, АЛЕ .... Не факт що занесено тільки в один файл, можливо є ще десь шкідливий код, але «спить».
Давно цікавився, можливо є якийсь скрипт який відстежує зміни в файлах і записує їх в лог. Це реально допомогло б знаходити різні впровадження чужорідні. Але, на жаль, я нічого не міг знайти.
| Відповісти за базар - Дати зацінити Кент Сховати відповіді ∧
1 рік 5 місяців назад
Потрібно відслідковувати не зміни файлів, а активність зовнішніх спроб проникнення.
У нашому випадку я поставив логгірованіе всіх get - post запитів.
| Відповісти за базар - Дати зацінити Кент Сховати відповіді ∧