Общая тема о борьбе с шеллами и вирусами на сайте

Так как когда то, я занимался защитой сайтов (в частности ДЛЕшных) от шеллов, то по опыту последних лет очень помогает настройка сервера, а чаще всего решает множество проблем на корню!

1) Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

2) Отключаем register_globals

register_globals = Off

3) Отключаем magic_quotes:

magic_quotes = Off
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

Все эти изменения следует делать в php.ini

Со времен ДЛЕ 8.0 сколько уже багов было найдено, а ни один сайт на сервере с подобными настройками не был подвержен уязвимостям!

Если вирус уже одолел, несколько простых и обязательных действий:

1. Если на хостинге несколько сайтов, то проверять и лечить нужно все до единого. Вплоть до сайтов на статическом хтмл. (не шутка)

2. Проверить свой ПК всеми возможными антивирусами.

3. Сменить все пароли (которые только существуют) и не хранить их в браузерах и клиентах ФТП.

4. Лечить сайты (если их несколько) нужно одновременно, увы. Пока Вы закачали на первый сайт новый, чистый движок и чините второй сайт, с третьего сайта зараза переползет на первый.

Сложно, но можно.

---------- Добавлено 19.02.2013 в 20:02 ----------

Внимание владельцам движков, где юзеры имеют возможность закачивать картинки. Закачиваются джипеги с кодом вируса внутри и запускаются из командной строки, дальше все, суши весла.

Проверяйте все аплоуды за предположительное время заражения!

Это актуально кстати для всех сайтов на которых установлен редактор JCE, рекомендую обновить версию этого редактора до последней. Предыдущая версия позволяла пользователям закачивать на сервер исполняемые файлы. А уже через это файл, с сайтом, и соседними сайтами на этой учетке злоумышленник может сделать все что угодно. Выше SEOCondition, уже давал совет как запретить файлам выполнение в папках куда производится пользовательская загрузка.

Думаю, что это здесь также лишним не будет.

Массовые взломы форумов на IPB. Походу уязвимы все версии.

Симптомы:

1.Файл /uploads/profile/photo-128.jpg. Если у вас есть такой, открываем его в блокноте, и смотрим что там. Если там php код, значит взломали.

2. Левые файлы в папках caсhe/ и hooks/, могут быть и в других. Называться могут как угодно, чаще всего: view-cache.php, zx.php, ipbcache.php,df.php,0e168b.php. Если они есть - опять же приплыли.

3. Файл tmpgw4ia4 в папке tmp, mod-tmp, в общем там, куда у вас пишутся сессии.

Лечение:

1. Ищем все левые файлы и удаляем их. Обязательно удаляем файл photo-128.jpg, и проверяем остальные картинки на наличие в них php кода. Если ищем при помощи айболита - запускаем его либо через ssh, либо включаем в нём полное сканирование, чтобы он и картинки проверял.

2. Лезем в Базу данных через phpMyAdmin, в таблицу core_hooks_files, находим там в конце записи, содержащие путь к картинке photo-128.jpg и к файлу tmpgw4ia4. Удаляем эти строки.

3. Ставим патчи. Оф. сайт и не оф. сайт. Какие ставить - зависит от того, что за форум у вас стоит)). Также обязательно ставим вот этот патч с оф сайта.

В настройках Apache должна стоят директива open_base_dir для каждого сайта отдельная, указывающая на дирректорию сайта

Самый простой вариант проверить наличие странных редиректов на сайте:

1. Чистим все куки в браузере по домену

2. Открываем яндекс и ищем в нем сайт, например по запросу домена

3. Переходим на сайт с Яндекса и смотрим наличие редиректов

Проверяем файл .htaccess на наличие длинных записей modrewrite проверяющих Юзерагент на mobi|mobile итд, список обычно большой, удаляем эти правила.

Если вы нашли вирус, но он прописался в тысячах файлов на сервере, делаем массовую замену по ssh, для этого:

1. Заходим на ssh

2. Делаем копию сайта в другой каталог на всякий пожарный

3. Составляем команду в shell

Например такую:

find . -name "*.php" -print0 | xargs -0 sed -i -e 's/eval(base64_decode("DQplcnJvcl9yDQp9"));//'

Общий синтаксис

find . -name "*.php" -print0 | xargs -0 sed -i -e 's/Сигнатура вируса//'

Сигнатуру берем в любом зараженном файле. В ней нужно заэкранировать символы регулярного выражения или заменить их символом "."

Для поиска шелл вставок в кодах, которые например не ищет айболит, делаем поиск по содержимому, например через mc по ssh:

1. system($_REQUEST

2. system(

Проверяем все файлы на error_reporting и смотрим нужный ли это файл

И еще много много нюансов, которые невозможно все описать:)

много выявил для себя интерестного, спасибо!

Добавлю еще, что иногда полезно посмотреть на свои сайты под другим юзерагентом, особенно если на сайт редко ходите - висит себе и висит.

Вот буквально на днях посмотрел на сайты в кеше поисковика - там внизу ссылки на чернуху. Здоровенный блок, и судя по всему висят уже давно, откуда мне знать было, контролировал работоспособность только, трафик вроде не падал, но ПС захавать ссылки левые успела.

При просмотре с юзерагентом яндекса - ссылки видны.

Также столкнулся с тем что если юзерагент мобильный - швыряет на фальшивую страницу с якобы необходимым апдейтом.

Вывод: Полезно поставить дополнение на браузер и иногда шерстить сайты с Юзерагентом поисковика или мобильного устройства.

PS: переадресация была реализована посредством .htaccess в корне хостинга, выше папок доменов, т.е. работала на все сайты.

Блок ссылок также был вшит в шаблон, кодированный base64 php файл. С проверкой Юзерагента.

PS2: ссылки ведут как на чьи-то сателлиты, кстати принадлежащие одному человеку, т.к. находятся на одном хосте и схожи по стилю, сателлиты по строительству, русскоязычные. Что-то стоит ему предъявлять или как-то кусать? В тот момент когда чистил от шеллов сайт - очень хотелось наказать, или просто морду набить.

Другая часть ссылок ведет на доры залитые на чужие ломаные сайты, в папку сайта клиники к примеру залит дор и т.д ...

ssochi.com, для этого можно небольшой скрипт написать, который будет обходить сайты с разными агентами и сравнивать количество ссылок/скриптов/фреймов/код ответа

Про скрытые ссылки

http://platon.ya.ru/replies.xml?item_no=2133

Кот в сапогах, спасибо, нужная ссылка.