Witam. W moim sklepie postawionym na PrestaShop jacyś "hakerzy" z internetu złamali zabezpieczenia i weszli przez "jakaś" dziurę podmieniając index.php i przy okazji infekując inne moje strony na serwerze w ten sam sposób.
Za pomoc w usunięciu dziur PŁACĘ, proszę o pilny kontakt w tej sprawie na maila: ********[PW] - w treści wiadomości wpisując kwotę usługi.
Poniżej przedstawiam treść otrzymaną od serwerowni.
Witam,
Analiza wykazała wysyłkę wiadomości poprzez złośliwe skrypty zlokalizowane w obrębie Państwa stron internetowych.
Poniżej przesyłamy listę wykrytych (usuniętych) skryptów generujących opisywane zachowanie:
./public_html/config/ini.php
./public_html/modules/simpleslideshow/slides/zone.php
./public_html/modules/simpleslideshow/slides/Mailer-prv8.php
./public_html/modules/simpleslideshow/slides/ws.php
./public_html/modules/simpleslideshow/slides/infex.php
./public_html/modules/simpleslideshow/slides/update_old.php
./public_html/modules/simpleslideshow/slides/css.php
./public_html/modules/simpleslideshow/slides/index.php
./public_html/modules/simpleslideshow/slides/ww.php
./public_html/modules/simpleslideshow/slides/ac.php
./public_html/modules/homepageadvertise/slides/css.php
./public_html/modules/columnadverts/slides/css.php
Pragniemy podkreślić, że wskazana lista może nie być kompletna- w obrębie plików w dalszym ciągu mogą znajdować się złośliwe skrypty, dlatego też mając na celu zapewnienie najwyższej jakości oferowanych usług hostingowych funkcja "mail" odpowiedzialna za możliwość wysyłania wiadomości z poziomu języka PHP została zablokowana dla w/w domen.
Opisywania sytuacja jest typowa dla witryn opartych o CMS Joomla oraz Wordpress. Problem nie jest generowany przez same CMS'y (o ile są na bieżąco aktualizowane) lecz przez wdrożone dodatkowe pluginy/moduły. Haker/robot poprzez luki w ich bezpieczeństwie wgrywa na serwer złośliwe skrypty, które później są zdalnie wykonywane.
Jedynym rozwiązaniem tego typu sytuacji jest zlecenie webmasterowi przeprowadzenie kompleksowego audytu bezpieczeństwa oraz ręczne usunięcie już wgranych plików (skanery antywirusowe nie wykryją tego typu skryptów, ponieważ nie są one infekcjami). Sytuacja będzie się powtarzała cyklicznie do czasu usunięcia luk w bezpieczeństwie witryny.
Jednocześnie pragnę nadmienić, że usterka nie jest w żaden sposób związana z serwerem i jego zabezpieczeniami- przyczyną opisywanych zachowań są wyłącznie luki w bezpieczeństwie witryn.
Problem jest popularny i szeroko opisywany na różnych forach dyskusyjnych- z naszej strony radzimy także zapoznać się z niektórymi rozwiązaniami proponowanymi przez pozostałych użytkowników oraz twórców wdrożonych dodatków. Dodatkowe pluginy zabezpieczające także niestety nie pomogą w usunięciu usterki (choć rozwiązanie to byłoby najprostsze) z zasadniczej przyczyny- dodatkowo zabezpieczają one same systemy CMS bez dodatków, które stanowią utrudnienia.
