Securizare site

[DraghiciA]

Buna ziua. Am o problema legata de securizarea site-ului.Apare mereu un virus(posibili mai multi)+probleme pe adresa de e-mail. Am tema+modulele la zi, versiunea prestashop 1.6.1.10. Desi reusesc sa elimin problema pe moment dupa o perioada apare din nou. Am scanat fisierele site-ului cu 2 antivirusuri +1 anti-malware si multe scanere online dar tot nu gasesc vulnerabilitatea.Ce as putea sa fac in aceasta situaite? Ma poate ajuta cineva va rog ?

[MihaiAlex]

Cu cei de la hosting ai discutat? Scanarea ii facuta doar pe public_html?

Edited January 25, 2017 by MihaiAlex (see edit history)

[DraghiciA]

Cu cei de la hosting ai discutat? Scanarea ii facuta doar pe public_html?

Cei de la hosting au zis ca am nevoie de un expert prestashop si ca  tot ce pot face ei este sa imi recomande o firma, am discutat cu un reprezentat din partea firmei , au zis ca o sa primesc un e-mail cu detalii, insa au trecut 2 luni si nimic. Am scanat toate fisierele,nu doar public html, cap coada insa nimic. Daca scanez cu sucuri imi apare ca sunt probleme la securitate,dar doar atat, fara detalii. Firma de host are si ea un antivirus in C-Panel, am scanat si cu el, dar nimic.

[MihaiAlex]

Si mai exact unde iti apare acest warning? Ai relatat  mult prea general.

[DraghiciA]

Si mai exact unde iti apare acest warning? Ai relatat  mult prea general.

Nu este warning, Totul a inceput acum cateva luni cand dintr-o data de pe site-ul meu se facea redirect catre alte pagini, asta deoarece nu aveam tema si modulele la zi. Intre timp am cumparat tema originala,prima oara era pusa de cineva care avea tema si o utiliza la mai multe site-uri.Si de atunci tot am probleme de spam pe e-mail.O rezolv, apoi dupa o perioada apare. Punctul culminant a fost aseara cand am primit e-mail de la hosting ca prin intermediul site-ului meu se face phishing(pentru o banca parca) .Am sters fisierul respectiv, si inca cateva. Cineva mi-a zis ca este din cauza unul modul(modul pentru un slider) prin care atunci cand vrei sa schimbi poza, incarci alta poza. Si din cauza ca modulul permite upload, este vulnerabil si automat apar si virusi.

[MihaiAlex]

Putem muta discutia in privat daca doresti.

[zaurus]

Problema ta reala este ca pe site (ai cumva acolo instalat si un wordpress?!) ai o gaura de securitate prin care atacatorul poate face ce vrea cu serverul tau.

Chiar daca tu stergi codurile rele ramane gaura prin care poate pune ce vrea el pe server.

 

Daca nu este un site cu vizite multe sterge tot ce e acolo, reinstaleaza presta, gaseste un back-up mai vechi si curat al temei si refa toate setarile/modificarile de la acel backup si pana azi.

 

Sau apeleaza la sucuri, ia un plan platit si gasesc ei care-i buba.

 

Altfel risti sa nu mai trimiti mailuri catre gmail de pe ip-ul ala niciodata.

[costi43]

daca ai fail2ban activeazal daca au instalat cei de la host sau un denyhost vezi ce au ei acolo

[ploaie]

Eu am patit asa cu un cont FTP ghicit/spart cu bruteforce. Si era o curva de "bot" care se loga la FTP, punea un fisier, trimitea 200-500 spam-uri, si stergea fisierul. Care evident era aleatoriu, si orele la care trimitea erau aleatorii. Am gasit in loguri buba doar dupa ce a facut miscarea (a intrat dupa 4 zile parca) am schimbat parola, si evident ca el era ascuns in alte zeci de locuri sub diverse nume generice greu de depistat. Chestia e ca a fost foarte istet si a modificat timestamp-ul la fisiere, nu am reusit sa le filtrez dupa "ultimele modificate".

 

Am cautat manual tot ce continea "eval(" si le-am sters manual. Sa nu stergi tot ce contine "eval("!!! Pot fi si fisiere legitime.

Eu am gasit punctul de intrare, daca nu-l gasesti te consumi degeaba. Cum zicea zaurus, vezi ce alte scripturi (wordpress) care pot contine gauri mai ai.

 

Si mi-am dat seama dupa ce eram in spamhaus. Nu facea abuzuri mari, dar a fost o chestiune de timp sa fiu listat.

Edited January 25, 2017 by ploaie (see edit history)

[zaurus]

fail2ban nu rezolva nimic daca DEJA exista gaura de securitate.

 

mai degraba (si probabil ca deja cei de la hosting au facut-o) rulezi

ClamAV si LMD

si instalezi mod security cu owasp

 

dar asta nu-ti garanteaza ca scapi de jeg

[DraghiciA]

Eu am patit asa cu un cont FTP ghicit/spart cu bruteforce. Si era o curva de "bot" care se loga la FTP, punea un fisier, trimitea 200-500 spam-uri, si stergea fisierul. Care evident era aleatoriu, si orele la care trimitea erau aleatorii. Am gasit in loguri buba doar dupa ce a facut miscarea (a intrat dupa 4 zile parca) am schimbat parola, si evident ca el era ascuns in alte zeci de locuri sub diverse nume generice greu de depistat. Chestia e ca a fost foarte istet si a modificat timestamp-ul la fisiere, nu am reusit sa le filtrez dupa "ultimele modificate".

 

Am cautat manual tot ce continea "eval(" si le-am sters manual. Sa nu stergi tot ce contine "eval("!!! Pot fi si fisiere legitime.

Eu am gasit punctul de intrare, daca nu-l gasesti te consumi degeaba. Cum zicea zaurus, vezi ce alte scripturi (wordpress) care pot contine gauri mai ai.

 

Si mi-am dat seama dupa ce eram in spamhaus. Nu facea abuzuri mari, dar a fost o chestiune de timp sa fiu listat.

Nu am si wordpress instalat,din cate mi-am dat si eu seama, problema apare de la un modul, insa nu stiu care modul, cineva mi-a zis ca din cauza unui modul, cei de la host ca este de la alt modul...

[ploaie]

Ai monitorizat cu atentie logurile? Inclusiv error log, ca poate incerca sa acceseze ceva ce nu exista si il depistezi mai rapid. Cam trebuie sa ai ochiul format sa sesizezi ceva care nu e de acolo. Eventual ataseaza aici logurile sa ne uitam.

 

Eu folosesc acum server dedicat + directadmin si vad imediat care script php trimite mail si cand.

Daca ai hosting shared, aia ar putea sa sape sa iti zica unde e buba. Au acces la mult mai multe informatii decat dintr-un cont simplu de cpanel.

 

O alta solutie e sa stergi modulele care crezi ca sunt problematice. Simpla dezactivare nu presupune si indepartarea problemei.