Что происходит с сайтом? Каким-то образом поменялась главная страница

WorldMaster · 12.Март.2021 07:36:09

Здравствуйте. Есть у нас на работе сайт основной. Хостинг на 1gb.ru.
Так вот под новый год каким то образом там поменялась главная страница со ссылками на запрещенные ресурсы, порно и прочий соответствующий контент.
Сайт восстановили из бэкапа, на вопросы к службе поддержке получаем ответы типа: Вам сайт сам все это скачал и установил.
я конечно понимаю что сейчас сайты сами могут собирать страницы, подгружать инфу, но ведь код для этого должен каким то образом попасть на сервер??
Пароли для доступа меняет администрация 1gb. Так может она их и сливает?? Либо сами заражают ресурсы для навязывания опций защиты??

Объясните кто нибудь как такое может случится?? Сайт написан кучу лет назад и не менялся по коду.
А если есть уязвимость то как ее найти и закрыть??

AlexP · 12.Март.2021 08:28:03

Смотря что сайт умеет.

Если заменилась вся страница в ответе сервера, то это наверно было не XSS или SQL инъекция, а какое-то полноценное выполнение кода на сервере. Например, может сервер так настроен и/или из-за отсутствия фильтрации полученных данных, что при загрузке файлов можно загрузить скрипт myscript.php, а потом открыть site.ru/uploads/myscript.php и он выполнится. Или например сначала заменить .htaccess и т.п. (или просто сразу index.php) отправив вместо имени файла путь типа ../index.php).

WorldMaster · 12.Март.2021 09:16:36

Как заменить то если доступа к файлам нету??

А почему именно в эту папку?? Вроде нету на сайте возможности для пользователя залить файлы.

А как узнать где дырки в сайте?? есть сервис какой нибудь?? Или может это можно услугу где то заказать?

AlexP · 12.Март.2021 09:32:50

Если при загрузке файл создается в "uploads/" + имя_из_запроса, то если в имя из запроса добавить например ../ — файл будет создан не в той папке.

Лучше просто не допускать их, применяя во время разработки все best practices по безопасности — в первую очередь не доверять данным от клиента, не вставлять их напрямую никуда.

А так да, видимо надо найти кого-то, кто потыкает сайт (penetration testing) и/или изучит код.

WorldMaster · 12.Март.2021 09:50:40

Да если бы все следовали этим правилам. Сайт разрабатывала какая то шарага давно. А Контингент в разработке сайтов не всегда обладает хоть какими то познаниями в области безопасности. Как правило лепят побыстрее да подешевле.
Я когда в структуре ковырялся так вообще ужаснулся… код взят с какого то левого шаблона, там столько левого кода что писец… может наверное и функционал остался хоть явно на нашем сайте и не виден. ((

LiAN · 12.Март.2021 10:29:21

Ну так тогда действительно нужно:

Или самому потратить время на изучение кода.

ts-alan · 28.Март.2021 21:38:44

Такие вопросы лучше уточнять у спецальных людей, их назвают например секьюри тестеры или те же хакеры. Похоже что кто -то получил доступ к админке деплоя сайта. Вот пример вслома пароля и логина: юзер зашел на одном сайте под одной почтой и одним паролем. На другом сайте он указала ту же почту и пароль(левом). Админы второго сайта продали базу почт и паролей - у так назваемого хакера уже есть доступ к первому сайту, так как там использовали туже почту и пароль.Ну эт как говорил у специальных людей точно узнавать надо