Мошенники атакуют владельцев магазинов

Мошенники атакуют владельцев магазинов




Последнее время все чаще и чаще люди обращаются по поводу присланных им писем, вот такого характера:  


Бывает такое:  


Еще есть такой вариант письма:  


Как видим его зовут Станислав, все письма отправляются с одного и того же емайла stanisfilatov@gmail.com, проверил логи обращений на сервере, ip адрес тоже везде совпадает, то есть наш специалист даже и не пытается шифроваться. 

Однако! Стоит самостоятельно залатать дыры на сайте и ему не ответить, Станислав начинает показывать свою натуру, он начинает писать письма с угрозами, что мол вы не все дыры закрыли и даю вам сутки чтоб заплатить, а то все удалю. 



Так что же делать если вы получили такое письмо счастья от Станислава? 

 1. Сделайте бекап сайта, я надеюсь что бэкапы у вас и так делаются ежедневно, но на всякий случай сделайте еще раз бекап, и файлов и базы данный, и сохраните это себе на компьютер, что бы если что, не потерять весь сайт. Если не знаете как сделать бекап самостоятельно, обратитесь к вашему хостинг провайдеру, как правило они идут на встречу. 

 2. Выключаем отображение ошибок на сайте. 

 3. Обратитесь к вашему программисту, наверняка у вас есть человек который постоянно следит за сайтом и делает правки. На всякий случай скиньте ему эту статью. 

4. Смените доступы от сайта(админки), от базы данных, от фтп. Проблему это не решит, но если наш Станислав уже сохранил себе доступы или добавил пользователя, это немного его остудит, проверяем чтобы не было лишних пользователей админ-панели, есть лишние, удаляем их(так как иногда в письмах он и скриншот админ-панели присылает). 

5. Проанализируйте логи, ищите странные запросы, как правило он обращается к товару, добавляя sql инъекцию. Это может выглядеть как то так:

GET /index.php?route=product/product&path=2&product_id=13’+and(%2f**%2fsElEcT+1+%2f**%2ffR

Когда нашли, закрываем уязвимость, в идеале там где GET параметры должны быть цифровые делайте фильтр чтоб там были только цифры. 

6. Так как ip везде один, с которого идут обращения, ну по крайней мере из тех случаев которые я наблюдал, в общем, блочим этот ip 

7. Проверяем папки Image и download на наличие файлов с расширением *.php, если нашли, удаляем их.

8. Проверяем еще раз, есть ли какие-нибудь странные обращения к сайту. 

9. На всякий случай проверьте сайт айболитом или Вирусдай, или и тем и другим, это антивирусы для сайтов. 

 10. Что касается дальнейшей профилактики. Если у вас нет никаких дополнительных скриптов вроде интеграции с 1с или с цем какой-нибудь, а может парсер, тогда, можно еще и ограничить запуск других скриптов кроме индексных, сделать это можно добавив в файл .htaccess следующие инструкции:

    Order Allow,Deny
    Deny from all
    Order Allow,Deny
    Allow from all

Это позволит использовать любой файл, такой как index.php, index2.php и т.д., но откажется от доступа любого вида к другим .php файлам.

(44.200.171.74)