Узнать / сравнить в каком месте произошло изменение сайта?

Question

[Natebash]

Всем привет. Дано - есть хостинг с сайтами которые были заражены вирусом. Потихоньку восстанавливаю каждый из сайтов, убираю вредоносный код, и ставлю пермишин на only read на папки с критичными для сайта файлами.

Проблема: есть магазин на Opencart, который постоянно отваливается на ровном месте. И не могу понять в какой из файлов\папок заливает\изменяет код, стоит ли доводить все до маразма и искать тулзу котораят будет пофайлово сравнивать изменения до \ после? (можно ли сделать такое в гите?) Что бы понять какая часть системы умирает, core файл или бд.

Как вы боритесь с такими проблемами? Причем восстанавливаю заведомо чистый бэкап всегда, который 100% не заражен.

Answer 1

[Дмитрий]

Лет 7 назад, в качестве левака мне давали сайт в котором не могли отбиться от созданий шеллов через дыры. Git позволил быстро вычищать залитое, поставленный логгер через auto-prepend-file секущий подозрительно большие get post зарпросы позволил быстро находить дыры через которые заливали.

Comments

[Natebash]

Я же не путаю ничего, что если используется обычный дешманский хостинг, а не VDS, то гит не развернуть в корневой папке? Встает вопрос как это все реализовать что бы посмотреть либо git log, либо diff между сайтом A и сайтом B

[Дмитрий]

Natebash, it depends. В каких то хостингах есть и ssh доступ и git. Но мой случай был не про хостинг - да.

[Natebash]

Дмитрий, Окей спасибо, тогда поресерчу данный кейс

[Natebash]

Дмитрий, Поднял гит на хостинге, закоммитив всю папку целиком. Вопрос такой - если допустим окажется что вирусня крошит бд, а не файловое хранилище, на бд тоже же пермишн можно поставить на только чтение?

[Дмитрий]

Natebash, эээмммммммм.. я так понимаю что вы хотите у пользователя бд который юзается сайтом - отжать все права на insert и update? Ну в принципе можно конечно, но хоть я и абсолютно не знаком с OpenCart сильное подозрение что после этого нельзя будет сделать заказ, а может быть даже положить в корзину.

Если вдумчиво подходить - отжимать только на таблицы с контентом - может и сработает.

[Natebash]

Дмитрий, Да, я все таки надеюсь что вирус бьет именно по файловой системе, и бд не затрагивает. Insert \ update хотел убрать как раз для тех строк таблицы которые отвечают за view. Так как сайт падает без ошибок в бд, просто ложиться фронт часть, с подозрением на замену либо конфигов \ htaccess файлов, либо с убиваем view папки отвечающий за отдачу веб морды

[Дмитрий]

Natebash, ну искать стоит именно вещи через которые шелл заливают - а падение это уже последствия.

Answer 2

[Сергей Арсентьев]

я не сильно разбираюсь в дырах, вирусах и т.п., но если нужно найти где поменялся код, использую простой скрипт https://disk.yandex.com/d/AEEqcHeP922fRg (скачал в инете), он сравнивает файлы на наличие изменений и выдает где менялось, удобно смотреть.

Comments

[Natebash]

Спасибо

[Сергей Арсентьев]

пожалуйста, помещаете его в корень opencart
и запускаете: типа такого https://ваш сайт/diffdir/FileCheker.php?password=pass1999
он первый раз все найдет
а второй раз уже только там где отличия были (по размеру или дате)

на опенкарт только storage постоянно меняется, но на него можно не обращать внимания либо исключить из проверки.