Взломали сайт

Главные вкладки

Аватар пользователя a-key a-key 30 июля 2015 в 13:07

В общем ситуация такая - есть мой сайт на Drupal 7. Тут я с утрица захожу в админку а мне пишет, что такого пользователя мол не существует, сбросил пароль. Но думаю я не мог себе поставить логин darksec, не настолько я лунатик))) Захожу в журнал хостинга и нахожу один IP который создал страницу на сайте, вставил туда вредоносный код и тем самым создал файл nyet.php в корне и из которого пытался отредактировать индексный файл.
Все почистил и думаю откуда доступ к админке?? и смотрю самый первый лог от этого IP был http://apps.darksecurity.ml/Drupal7.php?url=мой_сайт.ru%2F&submit=submit. Перехожу по этой ссылке а там написано мол вот новый логин darksec и новый пароль admin к этому сайту.. Возвращаюсь назад на свой сайт и вижу - действительно опять сменился логин/пароль. Потом думаю а поменяю я запрос и вставил вместо своего сайта другой И ОН СБРОСИЛ МНЕ ПАРОЛЬ ОТ ДРУГОГО САЙТА НА DRUPAL. Теперь я не знаю что делать! Как защитить свой сайт? Ведь хакер этот может вернуться или это робот вообще (не суть).

Комментарии

Аватар пользователя t1mm1 t1mm1 31 июля 2015 в 10:59

как минимум обновиться (ядро, модули). Потом почистить все на предмет чужого кода. У вас он там точно есть.

Аватар пользователя mo0n mo0n 20 августа 2015 в 16:15

Господа, простите за офф топ. У меня тоже самое, благо из резерва все поднял, обновил ядро, вместе с модулями. Сейчас выяснил что логин с паролем от админки передаются открытым текстом Sad Хочу запретить через .htaccess доступ к этой странице(мойсайт/user) всем, кроме определенных ИП, не могу найти где находится эта самая директория. Буду так же благодарен, если подскажите как могу пароль передавать хотя бы не в открытом виде,а в виде хэша.

Аватар пользователя .poltergeist .poltergeist 21 августа 2015 в 13:45

mo0n wrote:
Господа, простите за офф топ. У меня тоже самое, благо из резерва все поднял, обновил ядро, вместе с модулями. Сейчас выяснил что логин с паролем от админки передаются открытым текстом Sad Хочу запретить через .htaccess доступ к этой странице(мойсайт/user) всем, кроме определенных ИП, не могу найти где находится эта самая директория. Буду так же благодарен, если подскажите как могу пароль передавать хотя бы не в открытом виде,а в виде хэша.

переходите на https

Аватар пользователя mo0n mo0n 20 августа 2015 в 17:27

"ttenz" wrote:
можно по другому - http://drupal.stackexchange.com/questions/152640/protect-user-login-page...
Тоже вариант конечно, но мне бы хотелось настроить именно с блокировкой по ИП. Про метод предложенный Вами я читал на хабре, помнится пришли к выводу, что данная форма является условно безопасной. По-моему даже статьи находил по обходу такой безопасности. Пробовал добавлять .htaccess в директорию /modules/user - не помогло.

Аватар пользователя dashiwa dashiwa 20 августа 2015 в 18:03

И поставили они домик с картонными стенами,стальной дверью в метр толщиной ,и на окнах поставили противотанковое стекло и решетки .
А хакеры взяли ножницы и вошли через стену

Аватар пользователя mo0n mo0n 21 августа 2015 в 17:42

"ttenz" wrote:
https://www.drupal.org/project/restrict_by_ip[/quote]
Спасибо, отличный модуль! Единственное, я так и не понял где у меня находится файл авторизации. Ну и черт с ним.

"dashiwa" wrote:
И поставили они домик с картонными стенами,стальной дверью в метр толщиной ,и на окнах поставили противотанковое стекло и решетки .
А хакеры взяли ножницы и вошли через стену

Я проверял сайт на уязвимости через разные сервисы, безусловно что-то он все-таки находит, но это что-то, ооооочень не особо критично. Пойдем далее... Вход на машину разрешен только по сертификатам. БД открыта только локально, никакого pma нет. FTP тоже нет. Единственная реальная дыра была как раз в админке, которую на данный момент я закрыл. Я не говорю о том что сайт защищен на все 100%, но на мой взгляд этого вполне достаточно. От хорошего хакера, думаю вообще ничего не спасет.
".poltergeist" wrote:
переходите на https

Изначально я так и думал сделать, но деньги со своего кармана платить за сертификат не хочется. Если делать его самому, то будет появляться во весь экран надпись о том, что сертификат не подтвержден и что сайт небезопасен, хотя по факту это не так. Возможно есть вариант сделать по https только админскую страницу, честно говоря не знаю возможно ли такое.

Аватар пользователя mo0n mo0n 24 августа 2015 в 12:39

"ttenz" wrote:
https://www.drupal.org/project/securelogin[/quote]
В очередной раз спасибо Smile Мне начинает все больше нравиться друпал, своим кол-ом модулей, БЕСПЛАТНЫХ модулей. Я до этого на битриксе плотно сидел, без возможности обновлений и установки модулей -ужас.

Аватар пользователя mo0n mo0n 25 августа 2015 в 15:41

Прошу прощения, не могли бы пояснить что не так. https для админки заработал, только страницу не отображает. Где-то на форуме нашел, что необходимо прописать в settings.php
$conf['https'] = TRUE; это сделал, но все-равно в админку не впускает.

Аватар пользователя ttenz ttenz 25 августа 2015 в 16:11

"mo0n" wrote:
ttps для админки заработал, только страницу не отображает

купили, залили, прописали сертификат на сервере?

Аватар пользователя mo0n mo0n 25 августа 2015 в 16:25

А я могу его пока как либо удалить? В папке Modules, его не нахожу. Есть полный доступ к машине. Доступ к админке я походу посеял...

Аватар пользователя ttenz ttenz 25 августа 2015 в 17:08

"mo0n" wrote:

рад, что смог помочь.
вообще, советую полность перевести сайтн на ssl, + к безопасноти, + в выдаче поисковика

Аватар пользователя mo0n mo0n 25 августа 2015 в 17:29

У меня данный сайт не является коммерческим, я бы его назвал сайт-визитка, поэтому выдача не интересует, а на счет безопасности, ну блин там только обратная форма и всего. Вообще понимаю, что нужно знакомиться с ссл, но пока задался целью изучить систему мониторинга забикс. Сайтов уже многовато стало. После этого добью одну систему по битриксу, ну и к ссл перейду пожалуй Smile Я только в этой сфере пол года варюсь, еще много чего нужно изучить.