Помощь Битрикс, защита от вирусов/взлома

[premier]

Да, для начала копию восстановил, сменил все пароли (сайт, хостинг), проверил все сканером на уязвимости - вроде чисто
И опять ломанули, все изгадили, редиски

Сейчас все восстановил + закрыл админку по ip

И залили еще такую веселую вещь, добавив ее в исключения Веб антивируса битриксового

<!-- Google Tag Manager -->
<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'Для просмотра ссылки Войди или Зарегистрируйся
})(window,document,'script','dataLayer','GTM-KFR3ZNX');</script>
<!-- End Google Tag Manager -->

 

[prefer]

Запрашивают восстановление пароля - и вот чудо, он у них, авторизуются, и делают всякие черные дела.

Вопрос важный!
Хотелось бы понять что делают взломщики ?
Как это предотвратить ?
Вариант с ограничением доступа к админ панели по ip понятен но не всегда удобен.

 

[mrLom]

Хотелось бы понять что делают взломщики ?

Читать логи. Цели чаще всего простые — еда, или же в современной терминологии — пища!
Собрать пользователей, сделать копию. Повесить статистику на сбор пользователей, что бы делать им рассылку на целевые предложения от конкурирующих организаций. Собирать трафик на другие подобные ресурсы.

Как это предотвратить ?

Закрывать админку возможными способами с дополнительной авторизацией.
Использовать только свои сервера или виртуалки.
Не использовать шаред и сомнительные провайдеры.
Периодически менять пароли на все что только можно — в админку, к базе. Даже к своей личной почте. Не дублировать пароли к сервисам. Не сохранять их в браузерах.
Проводить аудит действующих администраторов и уровень их доверия. В том числе навязывать принудительно менять пароли на сложные политиками безопасности ограничением по времени жизни паролей. При неисполнении данных требований блокировать учетки, увольнять.

Вариант с ограничением доступа к админ панели по ip понятен но не всегда удобен.

Удобство и безопасность это два разных термина и чаще всего они взаимоисключают друг друга.

 

[prefer]

И опять ломанули, все изгадили, редиски

Детально логи изучали ? Как взломали ?

Удобство и безопасность это два разных термина и чаще всего они взаимоисключают друг друга.

Это классика жанра или удобство или безопасность.
Закрыл админ панель по ip.
Пока другого надежного решения не нашел.

 

[Ye11ow]

Если на сайте шелл, то защита админ раздела уже никак не поможет, ни по IP ни через htaccess
Сам иногда пользуюсь шелами на битрикс сайтах, и они и админки закрывают и что только не делают...
Htaccess правится, потом возвращается обратно
файл 403 в папке админ - чиститься, потом возвращается
Вроде все на месте, но по факту уже нет
Стандартные инструменты поиска вирусов - бесполезны (личные заметки)
AI-Bolit - тоже как то не однозначно, даже простые шеллы не всегда находит.

По поводу читать логи, битрикс журнал чистится простым запросом с той же админки битрикса
но сначала удаляется лог.txt с корня(либо выше ../), через файловый менеджер битрикса

 

[Simiys]

Если на сайте шелл, то защита админ раздела уже никак не поможет, ни по IP ни через htaccess
Сам иногда пользуюсь шелами на битрикс сайтах, и они и админки закрывают и что только не делают...
Htaccess правится, потом возвращается обратно
файл 403 в папке админ - чиститься, потом возвращается
Вроде все на месте, но по факту уже нет
Стандартные инструменты поиска вирусов - бесполезны (личные заметки)
AI-Bolit - тоже как то не однозначно, даже простые шеллы не всегда находит.

По поводу читать логи, битрикс журнал чистится простым запросом с той же админки битрикса
но сначала удаляется лог.txt с корня(либо выше ../), через файловый менеджер битрикса

Самый лучший способ найти спецаспециа по защите, люди пытаются чистить сами айболитом, при количестве файлов в Битрикс, они просто кладут сайт удаляя стандартные файлы движка. Через логи все не найти.
1. Держите всегда лицензию продлённого, а сайт обновленным.
2. Удалите лишние дополнения.
3. Admin admin - на админке не ставить.
4. Проверьте права на конфиг файлы.
5. Если уже Вас сломали, ищите спеца. 500 рублей он не может стоить. Даже маленький сайт это минимум 1 день работы, а так по хорошему дня 3. Ценники на лечение и защиту сайта на Битрикс - минимум 3-5 тысяч.

 

[shake1]

ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?

 

[nononameman]

ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?

Боты ломятся, дырявые WordPressы исчут)

 

[BaBL]

ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?

Это автоматические сканнеры, они имеют в себе базу уязвимостей крупную и проверяют все до чего дотянутся. Ищут уязвимые скрипты и ломятся туда.

Они бывают белые (всякие службы безопасности), оповещают потом что у вас могут быть уязвимые версии сайтов и черные, которые найдут дырку и начнут эксплуатировать. Тырить данные, спам рассылать и т.д..

Поглядывай, забивать прям не стоит, но и париться по этому поводу тоже.

 

[kolyaweb]

ломятся в
/wp-login.php
/phpMyAdmin/scripts/setup.php
и на всякие другие адреса, в ответ отдается 404, но все равно кому то неймется, продолжает упорно стучать на /wp-login.php, ip все разные
Кто что делает с этим, или похрен?

была аналогичная ситуация, ip с которых пытались ломится все были китайские, ограничил доступ диапазону китайских ip в htaccess