Методы предотвращения заражения сайтов. Сбор информаций

Trafikgon, вот я все пытаюсь прикинуть как оно будет на практике и не понимаю в чем суть реализации вашей задумки , вы будете мониторить целосность сайта и реагировать на любые изменения ?

Да именно так.

Но пока думаем как сделать правильно.

1. Анализ сайта будет включаться после обнаружения шелла или мониторинг пауком будет режимным методом ..." интервал 5 минут" - примерно. Паралельная работа. 🚬

2. Особое внимание вредоностному коду. Ведь внедрить его не имея доступа к сайту почти невозможно.

максимум запись в базу запросами sql права если, есть. Часто их нет.

По-этому всегда под подозрения попадает тока фактор """"как доступ уже получен вредителем к сайту"". То есть он уже имелл доступ к файлам.

соответственно паук зафиксирует изменения что трогалось. Примерно чтобы такого небыло /ru/forum/568142

Нашел все ссылки в файле /engine/modules/show.short.php, удалил.

скока было потраченно времени и нерв?).

по-этому данную систему хотим разработать.

данная система спасла даже бы в случаях закрытия сайта от индексирования robots.txt
вредителем.

а также если ваш сайт дырявый как пробка.

И делать ли отправку по мылу оповещения владельцу сайта?

как типа платежная система paypal

А Вам не приходила в голову мысль почему именно только Вы до такого додумались?

Почему ни одна антивирусная компания до сих пор не изобрела данную технологию?

Как пауку понять что на сайт только что залили вирус, а не поставили поставили что то нужное? Это у него должна быть какая база данных что такое хорошо, а что такое плохо.

А если сделать так (хотя я не спец просто прикинул)

перед каждым изменение в файле его паук сохранят. И потом админ если что, все возвращает на свои места, и анализировать ничего не надо -)

Геометрическая прогрессия существует давно.

Информация к размышлению.

1. Штатные средства инициировать действия после обновления файловой системы всегда под рукой; в случае Linux см. описание inotify. Так что сканировать каждые ннцать минут ничего не нужно, достаточно взвести монитор на изменение интересующих файлов.

2. Чтобы опознать, вредоносный то код или нет, нужна в общем случае неслабая эвристика. Типовые, всем известные вредоносные скрипты найти несложно, по сигнатурам, а вот что-то поумнее - придётся повозиться.

3. Системы обнаружения вторжений (с ходу: Snort) давно уже существуют, и если речь об этом - проще дописать модуль/новые правила к готовой системе, чем пытаться наново её изобрести "на коленке".

В общем, прежний совет - изучите для начала текущее состояние дел в отрасли. На полгода это вас точно займёт.

Наверно - это связанно с тем, что данной системы негде нет. Тока не надо наш паук приравнивать

к """"антивирусам"""" которые стоят на серверах, где роспаложенны сайты. Которые часто отключают

из-за высокой нагрузки системы. Да и если он включен толку от него 0. Сайты долбят с внешки а потом внутри тоннами - в чем его +? ...абсолютно мал % толку, может спасать в плане против дырок в приложениях --- тема "использование шелкодов" кто не знает почитайте!

Процент кто может так ломать сервер людей с внешки пару % но потом захват "root" сервера большей части идет с внутри но как я писал % людей таких мал 🚬.

""""""Как пауку понять что на сайт только что залили вирус""""""""""" --- если он там появился значит есть шелл?🚬 если нет.....анализ кода страниц, ссылок которые появились на сайте.

мониторинг пауком в течение "n" времени.

Это у него должна быть какая база данных-------- база конечно будет :)

тем более наш паук способен выполнять жаваскрипт и видеть адресс на какой сайт ведет вредоностный.

По-этому данной системы негде нет. Антивирусы от этого не спасут. 🚬

Trafikgon добавил 23.01.2011 в 16:59

База естественно, будет для каждого сайта. Также, сайты будут разбиты на категорий.

Часто изменяющиеся. средне. мало - владельцами.

"И потом админ если что, все возвращает на свои места, и анализировать ничего не надо"

если сайтов тысячи? :) ... хотели делать отправку на мыло... какие файлы менялись какой код ставился владельцу сайта --- если есть подозрения на взлом или он уже произошел.

Но пока думаем как лучше сделать.

Trafikgon добавил 23.01.2011 в 17:09

информация для нас поступает с привата от лиц, кто ломает не тока сайты а и сервер с внутри. По-этому большой % выше информаций вашей решили оставить принебречь. Как показывает практика всё - это либо грузит систему либо админы отключают.

Системы обнаружения вторжений (с ходу: Snort) давно уже существуют ---- она грузит очень систему...и не помогает. Так как проникают на сервер, всегда другими путями выходит толку от нее нет, ресурсы тока жрет лишние.

Ненужно путать. Система нами будет создаваться для защиты исключительно владелцов сайтов!!!! а не сервера.

Чтобы защитить сервер! ради бога ставте антивирусы и Системы обнаружения вторжений. 🚬

любому админу среднему под силам или хотя бы права верно расставить.

По-этому повторюсь данной системы защиты сайтов негде нет именно для владельцов.

Во-общем жду еще вопросов от вас.

идея как мне кажется живая но насколько будет грузится проц при 5 минутном обходе на сайте с большим числом файлов, это наверное только практика ответит

тесты естественно будут проводится. Обычно на сервере держат не более 200 сайтов. Благодаря высокой скорости паука, а то есть движку v8 позволяющий выполнять работу асинхронным методом -- кратко возможность и одновременно вести анализ по всем файлам и сайту+ искать шеллы и тд.

Все - это возможно одним паралельным методом работы. кратко--- примерно как "Многопоточность"

но асинхронный метод маленько другая вещь позволяющий вести работу на 200тысяч потоках и больше. А то есть обходить крупный сайт будет занимать мало времени.

Систему очень мало грузит проверяли .. почти минимальны затраты. На сайтах не как неотрозится работы.

По-этому разработка данной системы будет уникальна для рынка.

Все взломщики будут плакать не успевая нечего сделать внутри, имея доступ к сайту. :)

Trafikgon, я обычно в таких случаях принимаю 2 таблетки ибуклина (ибупрофен + парацетомол). Через полчаса должно отпустить.