- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Странно, что никто не рекомендует смотреть логи сайта, в особенности POST запросы. Это очень действенный способ для обнаружения вредоносных скриптов
Странно, что никто не рекомендует смотреть логи сайта, в особенности POST запросы. Это очень действенный способ для обнаружения вредоносных скриптов
Вы наверное не в курсе как ведут себя взломщики.
Как только сайт взломан, во все папки как можно отдаленные копируется PHP файл для спама или взлома.
Далее ежедневно обычно в ночное время ближе к утру запускают один из такий файлов из удаленного сервера, который раннее был взломан таким же способом, и рассылают спам.
Так что по логам можно найти 1 или несколько файлов.
Для устранения причины взлома, нужно искать везде и все что не относится к движку, либо удалить все и загрузить новую версию.
Вы наверное не в курсе как ведут себя взломщики.
Я в курсе
Для устранения причины взлома, нужно искать везде и все что не относится к движку, либо удалить все и загрузить новую версию.
Ну так логи как раз таки помогают найти такие файлы. Разве нет?
Очень смелое утверждение, откуда такая информация? Есть где-то статистика? Потому что по моим ощущениям ломают в основном WP.
Откуда информация, я написал в предыдущем сообщение.
Честная статистика есть только у компаний, которые занимаются чисткой от вирусов. Кампаний таких не много и вряд ли кто захочет ей просто так делиться... Хотя по сути то и секрета тут особого нет, но тем не менее. Самые часто ломаемые движки это все же джумла. Если скажем три года назад бросили сто сайтов на вордпрессе и сотню на джумле, то на джумле из этой сотни взломают минимум 99 а вп не больше половины.
Самые часто ломаемые движки это все же джумла. Если скажем три года назад бросили сто сайтов на вордпрессе и сотню на джумле, то на джумле из этой сотни взломают минимум 99 а вп не больше половины.
Я с вами несогласен и у меня для этого есть все основания. Я работаю в достаточно крупной компании, которая предоставляет услуги хостинга. Через меня проходят все жалобы на фишинг, спам и т.д. В 90% случаев взламывают WP, joomla на почетном втором месте.
Я в курсе
Ну так логи как раз таки помогают найти такие файлы. Разве нет?
Помогают найти файлы, но не саму причину, как этот файл появился.
Если в файлах движка есть код PHP с функцией eval, этот код нужно удалять, так как через этот код и загружают вредоносный код на сайт.
Обычно этот код вставляют в варезные движки, которые пользователи скачивают и используют без лицензий и бесплатно.
Поэтому, чтобы исключить возможность взлома, нужно использовать только лицензированное ПО.
Вы наверное не в курсе как ведут себя взломщики.
Как только сайт взломан, во все папки как можно отдаленные копируется PHP файл для спама или взлома.
Далее ежедневно обычно в ночное время ближе к утру запускают один из такий файлов из удаленного сервера, который раннее был взломан таким же способом, и рассылают спам.
Так что по логам можно найти 1 или несколько файлов.
Для устранения причины взлома, нужно искать везде и все что не относится к движку, либо удалить все и загрузить новую версию.
По сути Вы абсолютно правы. Все в общем почти так иесть, разница лишь в том, что обычно файлы во все каталоги добавляются и дописываются шеллы в начало и конец пхп файлов когда сайт уже продали на одном из форумов хакерских или бирж. При первичном взломе сайта обычно на него не копируют сотни и тысячи файлов, а делают три четыре грамотных закладки. Код внедряется в середину файла или делается фейковый плагин или компонент и т.д. Причем без шелов, без ботов, а инклудится тлько лоодер, размер которого редко превышает двухсот байт и найти который начинающему очень не просто. а вот уже потом действительно на сайт грузят все, что есть :-)
Наш рекорд (видел лично) это зараженная джумла, которая даже работала, но имелаа в себе более одиннадцати с половиной тысяч зараженных файлов :-)
Компании, которые этим серьезно занимаются обязательно делают сайты ловушки, для отслеживания новых так сказать веяний в этом сегменте. То есть какой либо лакомый сайт с заведомо ломаемым паролем или свежим уязвимым компонентом и системой слежения. И постоянно проверяют, что ловится в сети. Но это требует значительных ресурсов и потому обычно одиночным мастерам это не под силу.
---------- Добавлено 05.04.2016 в 15:37 ----------
Я в курсе
Этот ответ говорит ровно об обратном.
Были бы в курсе, такого не писали бы.
Как чаще всего ведут себя закеры ломающие сайт, может знать только сотрудник компании, в работу которого входит изо дня в день на протяжении несколькх лет лечить зараженные сайты и изучать свежий вредоносный код и найденные уязвимости. Иначе увы никак. Даже если Вы сами предположим пыталсь баловаться ища не стойкие пароли и внедряя на такие сайты шелы, то Ваши изыскания увы это баловство и на статистику никак не влияет.
Помогают найти файлы, но не саму причину, как этот файл появился.
Почему это? То есть по логам нельзя найти уязвимый плагин? Насколько я знаю, то анализ логов это то, что нужно делать, для того что бы найти причину. Если использовался уязвимый плагин, то к нему будут идти запросы и они будут отражены в логах.
Если в файлах движка есть код PHP с функцией eval, этот код нужно удалять, так как через этот код и загружают вредоносный код на сайт.
Вы сейчас пишите о функциях движка, то есть рекомендуете переписывать код без использования функции eval или имеете ввиду вредоносные файлы, которые имеют такую функцию?
---------- Добавлено 05.04.2016 в 14:42 ----------
Этот ответ говорит ровно об обратном.
Это почему?
Были бы в курсе, такого не писали бы.
Простите, не понимаю вашу логику. Почему если я в курсе я бы не писал о том, что я в курсе?
Как чаще всего ведут себя закеры ломающие сайт, может знать только сотрудник компании, в работу которого входит изо дня в день на протяжении несколькх лет лечить зараженные сайты и изучать свежий вредоносный код и найденные уязвимости. Иначе увы никак. Даже если Вы сами предположим пыталсь баловаться ища не стойкие пароли и внедряя на такие сайты шелы, то Ваши изыскания увы это баловство и на статистику никак не влияет.
Если в файлах движка есть код PHP с функцией eval, этот код нужно удалять, так как через этот код и загружают вредоносный код на сайт.
А вот тут Вы сильно погорячились. В большинство популярных CMS входят файлы, которые содержат файлы с функцией eval( с завода. И это не вредоносный код и удалять его ни в коем случае нельзя. А вот то, что eval( Это самая частая сигнатура, по которой можно найти большинство вредоносного кода это верно.
Вы сейчас пишите о функциях движка, то есть рекомендуете переписывать код без использования функции eval или имеете ввиду вредоносные файлы, которые имеют такую функцию?
Ни один из движков эту функцию НЕ использует, если она есть в коде, значит ее внедрили извне, либо пользователь загрузил движок уже с внедренным eval. eval нужно сносить к чертям, эта функция позволяет выполнять на сервере вставленную в ней строковую переменную.
Ну а если так хочется ее оставить в коде, тогда Вы или Ваш программист должен сделать все , чтобы переменную в eval не смогли определять и вставлять извне.
---------- Добавлено 05.04.2016 в 14:52 ----------
А вот тут Вы сильно погорячились. В большинство популярных CMS входят файлы, которые содержат файлы с функцией eval( с завода. И это не вредоносный код и удалять его ни в коем случае нельзя. А вот то, что eval( Это самая частая сигнатура, по которой можно найти большинство вредоносного кода это верно.
Содержится только в Javascript-ах, в PHP никто ее не использует.