Recommended Posts

Сайт не скажу какой был заражен ботнетом, заключение хостера (проведены работы ):


Судя по логам на сервере, злоумышленники воспользовались уязвимостью в модуле PHPExcel, который используется у вас на сайтах, через уязвимость в его коде и загрузили вредоносный код на ваши сайты. 
/apps/third/phpexcel/PHPExcel/Calculation/Functions.php
Что же касается списка взломавших, он довольно длинный. Если посмотреть уникальное сочетание IP+URL атаки, можно увидеть, что к вам приходило больше полутора тысяч уникальных комбинаций:
zgrep POST /var/www/www-root/data/logs/*.access.log* | grep -vE "((contactus|ajax|admin|realty.*)\.?(php|html)?|review/)" | awk -F':| ' '{print $2" "$11}'| sort| uniq -c | sort -n

И порядка 1800 уникальных IP пришло ко взломанным файлам:
[root@gm36 ~]# zgrep POST /var/www/www-root/data/logs/*.access.log* | grep -vE "((contactus|ajax|admin|realty.*)\.?(php|html)?|review/)" | awk -F':| ' '{print $2}'| sort| uniq | wc -l
1810
IP-адреса принадлежат самым разным странам - Китай, Америка, Россия, Польша и так далее. Судя по всему, ваш сайт был заражен ботнетом, сканирующим интернет на предмет известных уязвимостей.
 

Как обезопаситься:

Обновить всё программное обеспечение до последних актуальных релизов в репозиториях.

Доступ по SSH к серверу ограничить, порт SSH сменить по вкусу.

В PHP отключить функции exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source, create_function. Отключить отображение служебных PHP-заголовков. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 29.12.2017 в 07:14, rumantic сказал:

Понятно.

Будем менять на новую библиотеку работы с Excel.

Дайте знать, когда выйдет патч

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас