Nash Posted April 20, 2023 at 06:54 AM Share Posted April 20, 2023 at 06:54 AM Добрый день! словил на одном из сайтов на ocstore 2.3 такую вирусню: - затирается главный файл .htaccess и в код главной страницы index.php в начало добавляется вредоносный код; - при попытке изменения .htaccess или index.php, они буквально через секунду снова перезатирались; - во ВСЕХ директориях сайта, который был основным зараженным, создались файлы .htaccess, запрещающие вам доступ чезер браузер к директориям; - создаются файлы в директориях сайта с вредоносным кодом и рандомным названием; - иногда встраивается вредоносный код в файлы; в логах обнаружил вот такое: Apr 16 04:22:07 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" Apr 16 04:22:08 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:07 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 301 278 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" Apr 16 04:22:09 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:09 +0300] "GET /index.php?route=product/product&product_id=30 HTTP/1.0" 404 65657 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" Apr 16 04:22:10 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:10 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 301 444 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" Apr 16 04:22:11 vh320 apache_access[10209]: WWWSITE.com 194.87.218.48 - - [16/Apr/2023:04:22:11 +0300] "GET /index.php?route=product/product&product_id=30'%20AND%20GTID_SUBSET(CONCAT(0x7176766b71,(SELECT%20IFNULL(CAST(COUNT(*)%20AS%20NCHAR),0x20)%20FROM%20INFORMATION_SCHEMA.USER_PRIVILEGES),0x7171716b71),4706)--%20EHZS HTTP/1.0" 200 1176 "http://WWWSITE.com:80/index.php?route=product/product&product_id=30" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.353.0 Safari/533.3" и тд... подскажите, пожалуйста, как защититься от такой дичи? 0 Quote Link to comment Share on other sites More sharing options...
halfhope Posted April 20, 2023 at 07:01 AM Share Posted April 20, 2023 at 07:01 AM Здравствуйте! У меня есть готовая услуга, но не знаю когда буду свободен. Так же есть статья, если хотите опробовать сами. 0 Quote Телеграмм - halfhope. Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.