Общая тема о борьбе с шеллами и вирусами на сайте

Avatar 8
#11

6666!

Огромное спасибо за ваши советы!Мне,как новичку, вы очень помогли!

Лучшая монетизация трафика с вашего сайта!!! (http://icqadvert.org/to/3843/)
Avatar 198
#12

Для не зараженного сайта:

Еще есть смысл в каждой папке движка (в частности, images и прочие, а особенно не забыть папки, созданные вручную, например, какие-нибудь documents, которые не были созданы самим движком) проверить наличие индексного файла index.html/php/shtml/phtml и если его там еще нет - то создать хотя бы пустой, назвав его индексным, или в .htaccess в этой папке задать в качестве индексного какой-либо файл директивой

DirectoryIndex имя_файла

Тема очень полезная, я в закладки внес, поскольку пишу движок в настоящее время и мне очень важно учесть основные аспекты защиты против взлома.

Предлагаю воспользоваться моими услугами корректора. Проверю и уберу все ошибки, поправлю грамматику и склонения, сделаю текст лучше и читабельнее. Высокая скорость работы, цена 20 р за 1000 символов.
Avatar 197
#13

outtime, я когда-то тоже плодил пустые index.html, но потом узнал про


Options -Indexes
Подпись))
Avatar 0
[Удален]
#14

Также можно добавить, что для работы с вашими сайтами безопаснее будет использовать один из дистрибутивов linux (например ubuntu, как более дружественная для новичка), а windows - только для игр.

SG 11
#15

Из нюансов посоветую chmod 440 или 444 на .htaccess

Был случай - чинил сайт после хакера, который через доступный на запись htaccess добавлял расширение для обработчика php.

И теперь представьте - вы все php проверили, а в них ничего. А зараза лежит в .jpeg и работает.

Ну а на дедике вместо chmod меняйте владельца. Если chmod опытный обойдет, то chown root, chmod 644 - уже врядли.

И обязательно храните access.log. Хотя-бы месяц. Часто зараза всплывает, начинаешь раскручивать откуда взялась, а логи кончаются. Это сразу трудоемкость работы значительно увеличивает.

По времени изменения файлов можно ориентироваться только иногда. Продвинутые возвращают время изменения файла назад.

Чтобы логи меняли (терли свою активность) - в практике пока не встречал. Но на некоторых шаред хостингах такое возможно.

Безопасный хостинг с администрированием http://seahost.ru (http://seahost.ru) Аудит безопасности сайтов, приложений, удаление вирусов http://security-gu.ru (http://security-gu.ru)
Avatar 306
#16
6666:

3. все директории, в которые производится загрузка файлов или кэширование - делаем read-write и кладем в них волшебный .htaccess, который либо делает

deny from all

либо запрещает вызов php

Options -Indexes
php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

для незараженных:

- не забываем файл .htaccess сохранять в кодировке UTF-8

- в WP удаляем файл wp-cron, если вы не используете отсроченную публикацию постов

для зараженных:

- особенно когда 10ток сайтов в одной папке. Перед поиском и удалением шел и вирусных файлов, ложим в корень файл htaccess - закрываем доступ всем, кроме своего IP !! Так как, пока вы будете удалять, вирусы автоматически будут восстанавливать файлы

Аэройога (https://vk.com/aeroyogadom) Йога в гамаках (https://vk.com/aero_yoga) Аэройога обучение (https://aeroyoga.ru) и просто фото (https://weandworld.com)
Avatar 134
#17

Работайте через ssh (SCP, SFTP), клиент WinSCP5.

Информация для новичков, что такое SSH и как им пользоваться. Обязательно к изучению.

http://naikom.ru/blog/archives/2105

http://www.sdelaysite.com/kniga/tools/ssh-shell

http://www.siteprojects.ru/blog/?p=1109

---------- Добавлено 16.02.2013 в 22:08 ----------

Зачем защищать панель админа: http://www.revisium.com/kb/protect_adminpanel.html

Как защищать панель админа:

http://www.revisium.com/kb/secure_adminpanel.html

---------- Добавлено 16.02.2013 в 22:10 ----------

outtime:

поскольку пишу движок в настоящее время и мне очень важно учесть основные аспекты защиты против взлома.

Авторам самописных CMS и скриптов рекомендую

познакомится с программами и скриптами:

- RIPS (http://sourceforge.net/projects/rips-scanner/files/) - free

- sqlmap (http://sqlmap.org/) - free

- Acunetix Web Vulnerability Scanner - $$$

- XSpider 7.8 - $$$, но дешевле предыдущего

использовать готовые библиотеки фильтрации данных от пользователя и из базы данных:

https://phpids.org/

http://htmlpurifier.org/

http://www.phpinsider.com/php/code/SafeSQL/

http://code.google.com/p/php-antixss/

http://code.google.com/p/xmlseclibs/downloads/list

а также обязательно прочитать СпецВыпуск Хакер №75 http://www.xakep.ru/magazine/xs/075/xs_075.pdf, и познакомится с инструментами для pentest (http://habrahabr.ru/post/141803/).

Антивирус для ISPmanager (https://revisium.com/ru/products/antivirus_for_ispmanager/) | Антивирус для Plesk (https://plesk.revisium.com) | Профессиональное лечение и защита сайтов (https://revisium.com/)
Avatar 77
#18

Хоть данный вопрос здесь и не раз подымался, думаю не лишним будет повторить и в данной теме, ибо взломанных сайтов море.

Если у вас сайт на Joomla и вы используете редактор JCE устаревшей версии - срочно обновите его. Новость на оф. сайте, скачать обновлённую версию можно скачать с оф. сайта.

В сети лежит эксплоит, который способен удалённо загрузить через уязвимость в этом редакторе к вам на сайт php файл, предварительно переименованный в gif, а затем уже у вас на сервере переименовать обратно в php.

Если у вас стояла старая версия этого редактора, после обновления обязательно проверьте папки с картинками на наличие php файлов, а также выполните все рекомендации из первого поста данной темы, проверьте сайт айболитом, запретите выполнение php в папках с картинками.

Также хочу обратить внимание, что в последнее время я очень часто встречаю залитые файлы, содержащие простую html форму загрузки файлов на сервер. То есть через такую форму можно залить на сервер абсолютно любой файл. Так как код подобных файлов простой - айболит может их не находить.

Проще всего их найти через ssh, выполнив поиск последних изменённых файлов. Взломщики довольно редко заморачиваются, и дату не меняют.

Рекомендую хостинг в Беларуси (http://login.by/aff.php?aff=007)
SG 11
#19

айболит много чего не находит. хотя идея скрипта правильная.

помимо jce проблемы имеют ckeditor и phpadmin, в том числе свежие.

их стоит закрывать апачевским паролем или по адресам.

N 419
#20
security-guru:
айболит много чего не находит. хотя идея скрипта правильная.

Он просто малоизвестный и разрабатывается одним единственным человеком. Идея ведь не новая - даже clamav лучше ищет и не падает. Потому что серьезная программа на Cи с многолетней историей и большим числом аналитиков в разных странах.

Кнопка вызова админа ()

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий