ENG    РУС

Все заметки блога »

Кейс: удаляем скрытые ссылки с сайта на PHPShop Enterprise 3.6

Закажите лечение сайта и защиту от взлома у специалистов

Кейс: клиент обратился с проблемой появления скрытых ссылок на страницах своего интернет-магазина, работающего на PHPShop Enterprise 3.6.

Спам-ссылки появлялись в коде страницы в виде скрытого блока

<font style='display:none;'>
<style>
ul.c98ee5 {
padding: 0 !important;
margin: 0 !important;
font-size: 12px !important;
background-color: #F7F7F7 !important;
border: 1px solid #000000 !important;
}
.c98ee5 li {
list-style: none !important;
padding: 2px !important;
text-align: left !important;
}
...

</style>
<ul class="c98ee5">
<li>
<span><a
href="http://какой-то-сайт/otdelenie-pomoshchi-na-domu/">Врач на дом платно</a></span><br />
<span class="text">Материалы о беременности и родах, развитии
детей и др. Подробно о клинике.</span><br />
<span class="host">какой-то-сайт</span>


Сканирование и анализ исходного кода выявил вставку хакерского кода в файле шаблона footer.inc.php.
Код php скрипта находился в файле usb2.gif и подключался через include.

хакерская вставка вредоносного кода на сайте в шаблоне

Хозяйкам на заметку: всегда нужно выполнять полное сканирование сайта (например, нашим AI-BOLIT'ом), включая файлы изображений .gif, jpg, png, а не только .php скрипты.

В файле usb2.gif обнаружился код достаточно популярной "уличной магии Девида Блейна", при расшифровке которая оказывается самым обыкновенным обфусцированным кодом бирж ссылок sape, setlinks, trustlink и др.

зашифрованный хакерский скрипт продажи ссылок

Появление данного скрипта на сайте конечно же не является уличной магией, а является следствием взлома сайта, поэтому нужно найти хакерские шеллы или бэкдоры, через которые хакер загрузил файл и сделал вставку в файл шаблона.
Совершенно закономерно сканер выявил классический WSO шелл.

wso shell / обфусцированный хакерский шелл

Кроме того, при анализе исходного кода обнаружился бэкдор, который лучше вовремя закомментировать или удалить.

бэкдор в нелицензионной версии скрипта PHPShop Enterprise 3.6

Он как бы намекает нам на то, что CMS нужно либо покупать, либо скачивать с официального сайта, а нелицензионными (nulled) версиями пользоваться себе дороже.

К сожалению, логи на хостинге клиента хранились только неделю и по ним обнаружить вариант загрузки шелла не удалось. Но известно, что в PHPShop Enterprise шелл можно загрузить через админку (кроме последних версий), вставив код в шаблон, либо через LFI уязвимость в скрипте админки через языковой файл (по заверению разработчиков это возможно только для версий до 2008 года). Это пара весомых аргументов в пользу закрытия админки дополнительной авторизацией.

Вредоносный код и шелл удалили, поставили на сайт защиту и выслали подробный отчет о проделанной работе клиенту с рекомендациями на будущее.

Конец кейса.

Какие следует сделать выводы из данного кейса:

  1. Файлы картинок нужно сканировать наравне с файлами скриптов и шаблонов, в них могут быть вирусы, бэкдоры, шеллы
  2. Период ротации логов нужно делать максимально возможным, хотя бы сохранять их за 2 месяца, чтобы можно было сделать анализ взлома
  3. Уличной магии не существует. Если на сайте появились чужие ссылки, вирусы или подозрительная активность, сайт взломали. Нужно его как минимум просканировать на наличие хакерских скриптов
  4. Пользовать нелицензионными скриптами плохо, а лицензионными - хорошо. Так как в "нулленых" скриптах почти всегда есть бэкдоры и хакерские шеллы.
  5. Чтобы не стать жертвой мошенников, продающих ссылки с вашего сайта через биржи ссылок  сделайте хитрость: зарегистрируйте свой сайт во всех популярных биржах ссылок сами. Два раза один и тот же сайт в систему не примут.
  6. Инструкция от разработчиков по повышению безопасности магазина на PHPShop. На 100% она не защищает, так как остается возможность несанкционированных изменений в файлах и каталогах, но все, что там написано рекомендуем сделать.

Если у вас не получается самостоятельно удалить спам-ссылки с сайта, обратитесь к профессионалам.

 

Теги: скрытые ссылки, спам-ссылки, ссылки бирж sape, setlinks, mainlink, trustlink, невидимые ссылки на странице, взлом сайта, хакеры, уличная магия, PHPShop Enterprise, лечение сайта

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: