Как перенести сайт на umi.cms после взлома?

Question

[pcdesign]

Обратились ко мне ребята у которых взломали сайт на umi cms, с просьбой помочь.

Я сам раньше с этой cms не сталкивался.

Ситуация такая.

На хостинге бекапы не делались. Так что понять какие файлы были скомпрометированны, а какие нет через diff не представляется возможным.

Так же не понятно какие файлы относятся к движку, а какие были добавлены хакером.
Find показывает кое-какие файлы через mtime и ctime, но это можно обойти, так что веры нет.

Собираюсь на новом месте, на vds установить umi cms с нуля. Сделал дамп базы.
Скопировал картинки с хостинга.
Что дальше мне нужно сделать, чтобы восстановить работу сайта на новом месте и не утянуть следом зараженный код?

Answer 1

[Dmitry Bay]

Возможно попытаться установить чистую копию cms, подключить необходимые плагины, натянуть верстку.

но если дыра в cms не закрытая, то не поможет от взлома.

Comments

[pcdesign]

Да, это понятно. Но я эту cms вижу впервые в глаза. Хотелось бы поконкретнее. Так про любой взлом можно ваш ответ подставлять.

Как взломали я понял, прочитав 100500 строк логов.

[Dmitry Bay]

pcdesign: так решения нет прямого.
попробуйте поставить версию, которая у вас установлена, но чистую, и сравнить ее.

Answer 2

[Никита]

По хорошему, помимо переноса верстки и базы можно перенести еще и элементы шаблонизации сайта из папки templates. Работал только с xslt шаблонизатором, не могу представить себе способа заражения его файлов для нового взлома. Есть вариант что туда могли записать ссылки левые, но это, пожалуй, самый максимум. Так же обратите внимание на файл custom.php, что лежит в папке .\classes\modules - там обычно прописываются самописные кастомные макросы, которые вызываются из шаблонизатора. И там может и не быть, зависит от разработчиков).
Немного отходя в сторону - можете указать версию взломанной системы и способ? Первый раз вижу информацию о взломе UMI

Comments

[Никита]

еще уточнение - кастомные макросы могут лежать и папке у каждого модуля в той директиве, что я указал и имя им __custom.php. Скорее всего вам нужно будет просмотреть папки с модулями, есть ли доп функционал и если есть проверить его на безопасность и перенести

Answer 3

[Кирилл Арутюнов]

Это же платная CMS?
В техническую поддержку не обращались? Они уж точно должны знать, какие файлы относятся к их системе, а какие нет.

Да и вообще, если дыра в самой CMS, то это полностью на их совести, и они должны заниматься восстановлением сайта (по-хорошему; как на самом деле обстоят дела - не знаю).

Comments

[Никита]

правильная мысль, но как быть если систему не обновляли. Все таки уязвимости находят и непосредственно в языке программирования, о некоторых на момент разработки программеры могли и не знать.

[Кирилл Арутюнов]

Никита: Все равно писать в тех поддержку. Если они переложат свою ответственность на плечи владельца сайта, то уже пытаться разбираться самому.

Еще я бы внимательно проверил данные в базе на наличие XSS. На всякий случай.