Задать вопрос
@Kennius
Начинающий фронт-эндер

Как могли взломать сайт?

После проверки двух сайтов антивирусом в dle 13.1 обнаружилось два изменённых файлов /engine/classes/min/lib/JSMinify.php и engine/modules/functions.php
Так же система ругалась на отсутствующий файл /engine/data/.htaccess
А в логах обнаружено успешный запуск файла(при проверке файл не обнаружен) /engine/license.php?start с ip 37.140.192.92
как умудрились удалить файл?
Листинги
engine/modules/functions.php
/engine/classes/min/lib/JSMinify.php
  • Вопрос задан
  • 556 просмотров
Подписаться 1 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 2
@BorisKorobkov
Web developer
Измененные и запущенные файлы - это уже следствие, когда хакер получил доступ. Это уже никому не интересно.

А причину надо искать в другом. Обычно вирус на вашем компе (и кража пароля от ftp), перехват пароля (например, если ftp, а не sftp с публичными/приватными ключами), подбор пароля, SQL-инъекция, отсутствие валидации вводимых данных и загружаемых файлов, неправильная настройка веб-сервера и пр.
Ответ написан
Комментировать
@mirzok
Information Security
Самые частые варианты:
1. Украдены логин/пароль из FTP-клиента/из браузера, затем прямой доступ использовали для изменения кода
2. Заливка шелла на сайт через формы с недостаточной фильтрацией
3. Заражённый модуль/обновление
4. Другие уязвимости сайта (например, SQL-инъекция)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы