Разработчикам

Форум

Взломаны сайты в честь дня конституции украины

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#671

24.04.2023 09:43:20

Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#672

24.04.2023 10:00:11

Цитата
Или где возможно прячется код, который создает эти аккаунты?

Да, скорее всего где-то прячется.

Цитата
написал: Возможно как то это остановить/заблокировать?

Найти код и вычистить.

Советы по поиску смотрите в теме.

Цитата
написал: продолжают создаваться новые аккаунты ботов с правами администратора

Такое поведение ещё никто не описывал, готовых советов где именно поискать в Вашем случае нет - нужно анализировать, искать.

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 153705

Постоянный посетитель

Сообщений: 147 Баллов: 30 Регистрация: 18.12.2012

#673

24.04.2023 10:06:05

Цитата

написал:
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.

Наверное самый быстрый способ будет, написать обработчик события на создание пользователя, в него добавить лог, куда записать всё, до чего можно дотянуться, стэк вызовов в том числе, ну и блокировать создание естественно. Потом анализировать.

Если конечно пользователя создают через API, а не напрямую в БД пишут.

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#674

24.04.2023 10:10:43

Цитата

написал:

Цитата

По дате создания аккаунтов можно логи и сразу глянуть - может чего подозрительное в глаза бросится ...
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал.

PS ещё посмотрите агентов - может там зараза сидит

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#675

24.04.2023 10:29:08

Цитата
написал: PS ещё посмотрите агентов - может там зараза сидит

Агентов проверил, все чисто.
Через антивирус поправил все синтаксические кроме одной, а описания остальных ошибок вообще не нашел. Сравнивал с файлами бэкапа, все одно и тоже, нового или измененного кода не было.
В файле tools.php жалуется на 17 строку.

Код

<?php
/**
 * Class Tools
 * Project-specific functions class
 *
 * @author    Roman Shershnev <readytoban@gmail.com>
 * @version   1.0
 * @package   CodeCraft
 * @category  Tools
 * @copyright Copyright ВY 2015, Roman Shershnev
 */

namespace CodeCraft;

class Tools {

    public static void() {
        return NULL;
    }

}

Прикрепленные файлы

3.JPG (112.01 КБ)

Пользователь 7205696

Заглянувший

Сообщений: 23 Баллов: 2 Регистрация: 15.04.2023

#676

24.04.2023 11:46:28

Признаюсь честно, не особо разбираюсь в управлении сайтом, по этому с логированием пока разбираюсь. Пример автоматически создающихся пользователей. Основной поток идет с IP 80.70.109.182 и 80.70.111.182 . Аккаунты создаются с правами администратора магазина, но войти боты в него не могут.

Прикрепленные файлы

22.JPG (19.07 КБ)

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#677

24.04.2023 11:51:38

я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную

логи надо смотреть на уровне веб-сервера (nginx, httpd)

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 7180340

Заглянувший

Сообщений: 6 Регистрация: 04.04.2023

REMADMIN

#678

24.04.2023 12:04:29

Muz Vitrina, примеры пользователей, картинки с именами файлов, и т.д. никак здесь не помогут. Экстрасенсорными способностями здесь вряд ли кто-то обладает, и не видя содержимое ваших файлов, помочь вряд ли сможет.

Как минимум, как и посоветовал вам выше Алексей, настройте логирование POST запросов. Выше в теме вроде были примеры, как это сделать, или вот вам вариант.

Дальше наблюдайте. Как только увидите, что снова появились новые пользователи, смотрите в лог. В нём найдёте по времени файл к которому обращались, а также увидите содержимое запроса.

Удалённый системный администратор

Пользователь 13618

Эксперт

Сообщений: 1336 Баллов: 225 Регистрация: 05.04.2011

Сертифицированный партнер

#679

24.04.2023 12:44:15

для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов
это уже даст пищу для анализа

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 144171 Посетитель Сообщений: 28 Баллов: 4 Регистрация: 02.10.2012	#680 0 24.04.2023 12:56:18 новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером