Общая тема о борьбе с шеллами и вирусами на сайте

Avatar 292
#21

Так как когда то, я занимался защитой сайтов (в частности ДЛЕшных) от шеллов, то по опыту последних лет очень помогает настройка сервера, а чаще всего решает множество проблем на корню!

1) Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

2) Отключаем register_globals


register_globals = Off

3) Отключаем magic_quotes:

magic_quotes = Off
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

Все эти изменения следует делать в php.ini

Со времен ДЛЕ 8.0 сколько уже багов было найдено, а ни один сайт на сервере с подобными настройками не был подвержен уязвимостям!

На XBit.Money (https://xbit.money/?rid=111) меняю крипту на гривны. Лучшие курсы Обмен Вашего PayPal/ЯД/QIWI/WebMoney и куча плюшек! Рекомендую (https://exchangex.ru/index.php?who=26749)
Avatar 505
#22

Если вирус уже одолел, несколько простых и обязательных действий:

1. Если на хостинге несколько сайтов, то проверять и лечить нужно все до единого. Вплоть до сайтов на статическом хтмл. (не шутка)

2. Проверить свой ПК всеми возможными антивирусами.

3. Сменить все пароли (которые только существуют) и не хранить их в браузерах и клиентах ФТП.

4. Лечить сайты (если их несколько) нужно одновременно, увы. Пока Вы закачали на первый сайт новый, чистый движок и чините второй сайт, с третьего сайта зараза переползет на первый.

Сложно, но можно.

---------- Добавлено 19.02.2013 в 20:02 ----------

Внимание владельцам движков, где юзеры имеют возможность закачивать картинки. Закачиваются джипеги с кодом вируса внутри и запускаются из командной строки, дальше все, суши весла.

Проверяйте все аплоуды за предположительное время заражения!

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .
S 41
#23

Это актуально кстати для всех сайтов на которых установлен редактор JCE, рекомендую обновить версию этого редактора до последней. Предыдущая версия позволяла пользователям закачивать на сервер исполняемые файлы. А уже через это файл, с сайтом, и соседними сайтами на этой учетке злоумышленник может сделать все что угодно. Выше SEOCondition, уже давал совет как запретить файлам выполнение в папках куда производится пользовательская загрузка.

Кодинг на PHP. Разработка расширений под Joomla.
Avatar 77
#24

Думаю, что это здесь также лишним не будет.

Массовые взломы форумов на IPB. Походу уязвимы все версии.

Симптомы:

1.Файл /uploads/profile/photo-128.jpg. Если у вас есть такой, открываем его в блокноте, и смотрим что там. Если там php код, значит взломали.

2. Левые файлы в папках caсhe/ и hooks/, могут быть и в других. Называться могут как угодно, чаще всего: view-cache.php, zx.php, ipbcache.php,df.php,0e168b.php. Если они есть - опять же приплыли.

3. Файл tmpgw4ia4 в папке tmp, mod-tmp, в общем там, куда у вас пишутся сессии.

Лечение:

1. Ищем все левые файлы и удаляем их. Обязательно удаляем файл photo-128.jpg, и проверяем остальные картинки на наличие в них php кода. Если ищем при помощи айболита - запускаем его либо через ssh, либо включаем в нём полное сканирование, чтобы он и картинки проверял.

2. Лезем в Базу данных через phpMyAdmin, в таблицу core_hooks_files, находим там в конце записи, содержащие путь к картинке photo-128.jpg и к файлу tmpgw4ia4. Удаляем эти строки.

3. Ставим патчи. Оф. сайт и не оф. сайт. Какие ставить - зависит от того, что за форум у вас стоит)). Также обязательно ставим вот этот патч с оф сайта.

Рекомендую хостинг в Беларуси (http://login.by/aff.php?aff=007)
Avatar 97
#25

В настройках Apache должна стоят директива open_base_dir для каждого сайта отдельная, указывающая на дирректорию сайта

Самый простой вариант проверить наличие странных редиректов на сайте:

1. Чистим все куки в браузере по домену

2. Открываем яндекс и ищем в нем сайт, например по запросу домена

3. Переходим на сайт с Яндекса и смотрим наличие редиректов

Проверяем файл .htaccess на наличие длинных записей modrewrite проверяющих Юзерагент на mobi|mobile итд, список обычно большой, удаляем эти правила.

Если вы нашли вирус, но он прописался в тысячах файлов на сервере, делаем массовую замену по ssh, для этого:

1. Заходим на ssh

2. Делаем копию сайта в другой каталог на всякий пожарный

3. Составляем команду в shell

Например такую:

find . -name "*.php" -print0 | xargs -0 sed -i -e 's/eval(base64_decode("DQplcnJvcl9yDQp9"));//'

Общий синтаксис

find . -name "*.php" -print0 | xargs -0 sed -i -e 's/Сигнатура вируса//'

Сигнатуру берем в любом зараженном файле. В ней нужно заэкранировать символы регулярного выражения или заменить их символом "."

Для поиска шелл вставок в кодах, которые например не ищет айболит, делаем поиск по содержимому, например через mc по ssh:

1. system($_REQUEST

2. system(

Проверяем все файлы на error_reporting и смотрим нужный ли это файл

И еще много много нюансов, которые невозможно все описать:)

Программирование PHP,Mysql (/ru/forum/934470)
P0 13
#26

много выявил для себя интерестного, спасибо!

Avatar 161
#27

Добавлю еще, что иногда полезно посмотреть на свои сайты под другим юзерагентом, особенно если на сайт редко ходите - висит себе и висит.

Вот буквально на днях посмотрел на сайты в кеше поисковика - там внизу ссылки на чернуху. Здоровенный блок, и судя по всему висят уже давно, откуда мне знать было, контролировал работоспособность только, трафик вроде не падал, но ПС захавать ссылки левые успела.

При просмотре с юзерагентом яндекса - ссылки видны.

Также столкнулся с тем что если юзерагент мобильный - швыряет на фальшивую страницу с якобы необходимым апдейтом.

Вывод: Полезно поставить дополнение на браузер и иногда шерстить сайты с Юзерагентом поисковика или мобильного устройства.

PS: переадресация была реализована посредством .htaccess в корне хостинга, выше папок доменов, т.е. работала на все сайты.

Блок ссылок также был вшит в шаблон, кодированный base64 php файл. С проверкой Юзерагента.

PS2: ссылки ведут как на чьи-то сателлиты, кстати принадлежащие одному человеку, т.к. находятся на одном хосте и схожи по стилю, сателлиты по строительству, русскоязычные. Что-то стоит ему предъявлять или как-то кусать? В тот момент когда чистил от шеллов сайт - очень хотелось наказать, или просто морду набить.

Другая часть ссылок ведет на доры залитые на чужие ломаные сайты, в папку сайта клиники к примеру залит дор и т.д ...

Настрою Яндекс Директ + РСЯ + Ретаргетинг Ведение рекламной кампании. Консультации.
Avatar 321
#28

ssochi.com, для этого можно небольшой скрипт написать, который будет обходить сайты с разными агентами и сравнивать количество ссылок/скриптов/фреймов/код ответа

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
#29

Про скрытые ссылки

http://platon.ya.ru/replies.xml?item_no=2133

Avatar 505
#30

Кот в сапогах, спасибо, нужная ссылка.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий