В продолжение нашей статьи про атаку на Самку чужого, наконец то появилось время подробно описать что мы сделали, чтобы история не повторилась.
1 — Поменяли абсолютно все пароли. Ftp, базы данных, администраторов магазина.
2 — Добавили в /system/logs файл .htaccess следующего содержания:
<FilesMatch ‘.(php) $’>
Order Allow,Deny
Deny from all
</FilesMatch>
3 — Проверили все права на папки файлы и дали минимальные
4 — Прошлись вручную поиском по всем папкам на которых было 777 нашли все подселенные эксплойты, и убрали их.
5 — Прошлись по всем папкам магазина и нашли входжения base64 и eval. Это позволило обнаружить еще вагон и тележку всякого хлама.
6 — Насобирали статистику айпи с которых были атаки и заблокировали их в корневом .htaccess
7 — Удалили контроллер admin/controller/tool/backup.php. Это не критичный функционал — без него жить можно.
8 — Запаролили админку через .htaccess как это сделать читаем здесь.
9 — Отключили показ ошибок на уровне сервера. И в настройках магазина.
Этого всего достаточно для того чтобы наш зловред не появился опять.
Но для железобетонной уверенности в том, что к вам не прицепится какая то гадость — этого мало.
Надо развернуть боевой рабочий сервер с ограниченным доступом, а всю разработку вести на каком нибудь деве.
Нужен Suhosin, Mod-Security, какая нибудь система проверки целостности структуры файлов, в идеале GIT, закрытые доступы к админке и phpmyadmin только по ip, нормальный хостинг, никаких шаредов, и отсутствие в одном аккаунте с боевым магазином соседей типа сайтов на WP. Правильные настройки серверного окружения.
Также сервер должен быть с последними патчами безопасности.
Крайне не помешает SSL-сертификат.
И вот такая система действительно даст какую то надежду, что вас не хакнут, если захотят.