• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела wpt лично.

Помощь Битрикс, защита от вирусов/взлома

Да, для начала копию восстановил, сменил все пароли (сайт, хостинг), проверил все сканером на уязвимости - вроде чисто
И опять ломанули, все изгадили, редиски

Сейчас все восстановил + закрыл админку по ip

И залили еще такую веселую вещь, добавив ее в исключения Веб антивируса битриксового

<!-- Google Tag Manager -->
<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'Для просмотра ссылки Войди или Зарегистрируйся
})(window,document,'script','dataLayer','GTM-KFR3ZNX');</script>
<!-- End Google Tag Manager -->
 
Последнее редактирование модератором:
Запрашивают восстановление пароля - и вот чудо, он у них, авторизуются, и делают всякие черные дела.

Вопрос важный!
Хотелось бы понять что делают взломщики ?
Как это предотвратить ?
Вариант с ограничением доступа к админ панели по ip понятен но не всегда удобен.
 
Хотелось бы понять что делают взломщики ?
Читать логи. Цели чаще всего простые — еда, или же в современной терминологии — пища!
Собрать пользователей, сделать копию. Повесить статистику на сбор пользователей, что бы делать им рассылку на целевые предложения от конкурирующих организаций. Собирать трафик на другие подобные ресурсы.

Как это предотвратить ?
Закрывать админку возможными способами с дополнительной авторизацией.
Использовать только свои сервера или виртуалки.
Не использовать шаред и сомнительные провайдеры.
Периодически менять пароли на все что только можно — в админку, к базе. Даже к своей личной почте. Не дублировать пароли к сервисам. Не сохранять их в браузерах.
Проводить аудит действующих администраторов и уровень их доверия. В том числе навязывать принудительно менять пароли на сложные политиками безопасности ограничением по времени жизни паролей. При неисполнении данных требований блокировать учетки, увольнять.

Вариант с ограничением доступа к админ панели по ip понятен но не всегда удобен.
Удобство и безопасность это два разных термина и чаще всего они взаимоисключают друг друга.
 
И опять ломанули, все изгадили, редиски

Детально логи изучали ? Как взломали ?

Удобство и безопасность это два разных термина и чаще всего они взаимоисключают друг друга.

Это классика жанра или удобство или безопасность.
Закрыл админ панель по ip.
Пока другого надежного решения не нашел.
 
Если на сайте шелл, то защита админ раздела уже никак не поможет, ни по IP ни через htaccess
Сам иногда пользуюсь шелами на битрикс сайтах, и они и админки закрывают и что только не делают...
Htaccess правится, потом возвращается обратно
файл 403 в папке админ - чиститься, потом возвращается
Вроде все на месте, но по факту уже нет
Стандартные инструменты поиска вирусов - бесполезны (личные заметки)
AI-Bolit - тоже как то не однозначно, даже простые шеллы не всегда находит.

По поводу читать логи, битрикс журнал чистится простым запросом с той же админки битрикса
но сначала удаляется лог.txt с корня(либо выше ../), через файловый менеджер битрикса
 
Если на сайте шелл, то защита админ раздела уже никак не поможет, ни по IP ни через htaccess
Сам иногда пользуюсь шелами на битрикс сайтах, и они и админки закрывают и что только не делают...
Htaccess правится, потом возвращается обратно
файл 403 в папке админ - чиститься, потом возвращается
Вроде все на месте, но по факту уже нет
Стандартные инструменты поиска вирусов - бесполезны (личные заметки)
AI-Bolit - тоже как то не однозначно, даже простые шеллы не всегда находит.

По поводу читать логи, битрикс журнал чистится простым запросом с той же админки битрикса
но сначала удаляется лог.txt с корня(либо выше ../), через файловый менеджер битрикса
Самый лучший способ найти спецаспециа по защите, люди пытаются чистить сами айболитом, при количестве файлов в Битрикс, они просто кладут сайт удаляя стандартные файлы движка. Через логи все не найти.
1. Держите всегда лицензию продлённого, а сайт обновленным.
2. Удалите лишние дополнения.
3. Admin admin - на админке не ставить.
4. Проверьте права на конфиг файлы.
5. Если уже Вас сломали, ищите спеца. 500 рублей он не может стоить. Даже маленький сайт это минимум 1 день работы, а так по хорошему дня 3. Ценники на лечение и защиту сайта на Битрикс - минимум 3-5 тысяч.
 
ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?
 
ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?

Боты ломятся, дырявые WordPressы исчут)
 
ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?
Это автоматические сканнеры, они имеют в себе базу уязвимостей крупную и проверяют все до чего дотянутся. Ищут уязвимые скрипты и ломятся туда.

Они бывают белые (всякие службы безопасности), оповещают потом что у вас могут быть уязвимые версии сайтов и черные, которые найдут дырку и начнут эксплуатировать. Тырить данные, спам рассылать и т.д..

Поглядывай, забивать прям не стоит, но и париться по этому поводу тоже.
 
ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?
была аналогичная ситуация, ip с которых пытались ломится все были китайские, ограничил доступ диапазону китайских ip в htaccess
 
Назад
Сверху