- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сорри за глобальное потупление, но всё же спрошу: выяснили, что если тачем изменена дата модификации, то find -ctime найдет его. Но что-то не пойму как искать? Какие опции финда задавать? Приведи, плз, пример команды консоли что бы нашлись все файлы, модифицированные с 15-02-2014.
Вот так прямо - никакие. Эта опция с практической точки зрения сделана и воспринимает аргументы относительно текущего времени. Поэтому если запускать сегодня, то нужно отсчитать 3 дня. то есть : " find -ctime -3"
Еще неплохо бы понимать, что формально ctime - не дата модификации файла, а дата модификации служебной информации, которая тоже изменяется при модификации файла. Если файл просто переименовали или перетащили с другого хостинга в архиве, то ctime будет изменена.
У человека скорей всего мини бэкдор по типу eval($_GET['a']) спрятан, но только который не палится айболитом.
На eval айболит ругается как сумашедший :)
А у ТСа проблема в том, что он юзает ПО (темы для ВП) с помоек. Вот и вся проблема. :)
На новом хосте посмотрел логи - папки логов пусты ) Хостер по запросу дает лог максимум пары дней ) В итоге хрен знает что и как. Возможно через темку или плагин подозреваю, ибо пассы нигде не хранил.
На eval айболит ругается как сумашедший :)
А у ТСа проблема в том, что он юзает ПО (темы для ВП) с помоек. Вот и вся проблема. :)
Eval не панацея, за 30 минут можно придумать 10-20 вариантов обхода, из которых пару должно не палиться. Я не копался в нём, но думаю там в основном статический анализ, за исключением палевных функций по типу base64 и т.д.
Ради интереса попробовал, про такую банальную конструкцию он почему-то ничего не сказал:
Для тех кто не знает, обратные кавычки в php выполняются как шелл команда. Ещё можно с $$ придумать что-нибудь.
Источники возникновения заразы:
1. Заражённый ПК
2. Дыра в скриптах
3. Хостер.
4. Сниф твоего траффика.
+5. Слабые пароли
Если подходить к делу фундаментально, то нужно:
1. Ограничить доступ к фтп, ссш, админке и прочим критичным элементам управления сайтом(сервером) по IP. Если свой сервер, то убрать все что можно со стандартных портов, чтобы не засорять себе логи.
2. Ограничить доступ для пользователя под которым пашет веб. сервер к файловой системе. Оставить только чтение. Если это невозможно, то мониторить изменения: подсчет мд5 php скриптов и т.п. Инструментов много - aide и т.п.
3. Разделить по функционалу свои ПК. Т.е работаем с одного ПК (или вирт.машины), финансы и т.п. с другого, развлекаемся с третьего. В идеале, они не должны физически пересекаться (разные хдд, virtualbox portable..)
Это защитит это большинства автоматизированных методов взлома. Конечно, останутся еще атаки на базу данных сайта.
Eval не панацея,
А никто и не говорил обратного :)
Никто вообще не говорил как можно\нужно шифровать код. Речи об этом и не возникало.
Мой ответ касался только процитированной фразы.
Я не копался в нём, но думаю
Вот на это и расчет. И работает, что характерно. Есть и у aibolit свои фанаты.