Задрал вирус на хостингах

1 23
N
На сайте с 06.05.2007
Offline
419
#21
SeVlad:
Сорри за глобальное потупление, но всё же спрошу: выяснили, что если тачем изменена дата модификации, то find -ctime найдет его. Но что-то не пойму как искать? Какие опции финда задавать? Приведи, плз, пример команды консоли что бы нашлись все файлы, модифицированные с 15-02-2014.

Вот так прямо - никакие. Эта опция с практической точки зрения сделана и воспринимает аргументы относительно текущего времени. Поэтому если запускать сегодня, то нужно отсчитать 3 дня. то есть : " find -ctime -3"

Еще неплохо бы понимать, что формально ctime - не дата модификации файла, а дата модификации служебной информации, которая тоже изменяется при модификации файла. Если файл просто переименовали или перетащили с другого хостинга в архиве, то ctime будет изменена.

Кнопка вызова админа ()
SeVlad
На сайте с 03.11.2008
Offline
1609
#22
rushter:
У человека скорей всего мини бэкдор по типу eval($_GET['a']) спрятан, но только который не палится айболитом.

На eval айболит ругается как сумашедший :)

А у ТСа проблема в том, что он юзает ПО (темы для ВП) с помоек. Вот и вся проблема. :)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Spowen
На сайте с 27.02.2008
Offline
125
#23

На новом хосте посмотрел логи - папки логов пусты ) Хостер по запросу дает лог максимум пары дней ) В итоге хрен знает что и как. Возможно через темку или плагин подозреваю, ибо пассы нигде не хранил.

Заработай на криптовалютах (https://goo.gl/oy7as6), будь мужиком :)
R
На сайте с 13.04.2009
Offline
160
#24
SeVlad:
На eval айболит ругается как сумашедший :)
А у ТСа проблема в том, что он юзает ПО (темы для ВП) с помоек. Вот и вся проблема. :)

Eval не панацея, за 30 минут можно придумать 10-20 вариантов обхода, из которых пару должно не палиться. Я не копался в нём, но думаю там в основном статический анализ, за исключением палевных функций по типу base64 и т.д.

Ради интереса попробовал, про такую банальную конструкцию он почему-то ничего не сказал:

<?php echo `uname -a`; ?>

Для тех кто не знает, обратные кавычки в php выполняются как шелл команда. Ещё можно с $$ придумать что-нибудь.

DM
На сайте с 17.01.2009
Offline
42
#25
SeVlad:

Источники возникновения заразы:
1. Заражённый ПК
2. Дыра в скриптах
3. Хостер.
4. Сниф твоего траффика.

+5. Слабые пароли

Если подходить к делу фундаментально, то нужно:

1. Ограничить доступ к фтп, ссш, админке и прочим критичным элементам управления сайтом(сервером) по IP. Если свой сервер, то убрать все что можно со стандартных портов, чтобы не засорять себе логи.

2. Ограничить доступ для пользователя под которым пашет веб. сервер к файловой системе. Оставить только чтение. Если это невозможно, то мониторить изменения: подсчет мд5 php скриптов и т.п. Инструментов много - aide и т.п.

3. Разделить по функционалу свои ПК. Т.е работаем с одного ПК (или вирт.машины), финансы и т.п. с другого, развлекаемся с третьего. В идеале, они не должны физически пересекаться (разные хдд, virtualbox portable..)

Это защитит это большинства автоматизированных методов взлома. Конечно, останутся еще атаки на базу данных сайта.

SeVlad
На сайте с 03.11.2008
Offline
1609
#26
rushter:
Eval не панацея,

А никто и не говорил обратного :)

Никто вообще не говорил как можно\нужно шифровать код. Речи об этом и не возникало.

Мой ответ касался только процитированной фразы.

N
На сайте с 06.05.2007
Offline
419
#27
rushter:
Я не копался в нём, но думаю

Вот на это и расчет. И работает, что характерно. Есть и у aibolit свои фанаты.

1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий