q2e.ru к Вам не относится?
В заголовке указывает на то, что с высокой вероятностью письма шлются скриптом mailout.php - поищите у себя в файлах сайта, может быть лежит где-то такой.---------- Добавлено 05.11.2014 в 15:02 ----------P.S. Письма шлются скриптом, функцией mail судя по заголовкам, на взлом ящиков не похоже. Хотя и заголовки при желании можно потделать, но в этом нет особого смысла, так-что искать скрипт с именем mailout.php
Спасибо за Ваш интерес, отвечу по порядку.
И тем не менее, без антивирусов работу компьютера под управлением Windows представить сложно.
Я понимаю, что в определенном плане, это может стать гонкой на опережение, но многое зависит от подхода и идеологии.
Принципы работы phpsecure довольно просты. Есть два ключевых инструмента защиты - предотвращение несанкционированного запуска и фильтрация запросов. А так же третий, вспомогательный - "антивирусный" сканер, который обучен искать шелы и бэкдоры.
После установки продукта, все php-скрипты на сайте начинают запускаться с опцией PHP auto_prepend_file, которая, перед запуском любого скрипта, сначала запускает обработчик phpsecure.
Вначале, система находится в режиме сбора информации, т.е. просто собирается статистика о скриптах, которые выполняются на аккаунте. Потом, эти скрипты переносятся в список разрешенных и активируется защита от несанкционированного запуска. С этого момента, при попытке запуска нового или модифицированного скрипта, его запуск будет предотвращен системой (как Вы могли понять - содержимое запускаемых файлов также контролируется).
Это принцип работы защиты от несанкционированного запуска в общих чертах. На самом деле, алгоритмы сложнее, помимо списка разрешенных, предусмотрены также списки новых, измененных, игнорируемых и запрещенных файлов, предусмотрен контроль всех файлов, которые подключаются к скриптам посредством include и т.п., но Вы просили коротко.
Второй инструмент защиты - это фильтрация запросов. В общих чертах, это выглядит так - все запросы (POST, GET, REQUEST и даже FILES), прежде, чем попасть непосредственно к скрипту, проходят фильтрацию и потенциально опасные слегка видоизменяются.
Например, для того, чтобы выполнить SQL-инъекцию, обычно, необходимо в запросе имя таблицы БД, а также одну из SQL-команд, типа insert, update или selest. После прохождения фильтрации, select в запросе будет выглядеть как select <!--PHPSECURED--> и именно в таком виде будет передан непосредственно скрипту.
Соответственно, даже если скрипт содержит уязвимость позволяющую выполнить SQL-инъекцию, она не будет выполнена. Тоже самое, касается функций PHP, которые обычно используются при взломе, таких как eval, file_* и т.п. - они будут преобразованы и даже если уязвимость позволяет выполнить произвольный PHP-код, он не будет выполнен.
Если же данные ключевые слова будут передаваться в целях публикации на сайте, то искажающий их код будет выводится на странице в виде html-комментария, таким образом никак не исказив текст.
Также в наличии списки игнорирования и другие настройки.
Антивирусный сканер же, в текущий момент позволяет лишь выполнить проверку файловой системы на предмет наличия вредоносных кодов, хотя в ближайших версиях планирую наращивать функционал, например в предотвращение запуска добавить возможность игнорирования не только отдельных файлов, но и директорий, а функционал сканера использовать для проверки содержимого скрипта перед его запуском (опционально).
Теперь о нагрузках.
Вот пример с движка wordpress, с довольно большим количеством плагинов и тяжелой темой - при входе на главную страницу в работе участвуют почти 150 файлов (подключаемых через include):
Здесь сказано, что общее время генерации скрипта составило 0.57 секунды из которых непосредственно продукт занял 0.11 секунды, а сам движок отрабатывал 0.45 секунды.
Таким образом, продукт не оказывает особого влияния на быстродействие. По нагрузкам же, увеличивается количество дисковых операций (поскольку каждый из файлов, помимо того, что открывается и читается интерпретатором PHP, теперь открывается и читается также антивзломщиком, но в целом это не заметно - это всего лишь несколько операций чтения небольших файлов.
Т.е. продукт не создает ощущтимых нагрузок, равно как не замедляет работу сайта.
Могу добавить, что система была исследована разработчиками известных многим здесь FastVPS и они пришли к тем же выводам - работает, защищает, не грузит и дали мне разрешение на то, чтобы я мог упоминать их и заявлять, что продукт был одобрен ими, за что им большое спасибо.
Вообще, наличие сообщений в этой теме, показывает наличие интереса к продукту, поэтому в ближайшее время, я создам соответствующую тему на бирже оптимизатора, чтобы свободно оперировать ссылками.
Один из форумчан, отметившийся в самом начале этой темы, уже установил данный продукт и возможно сможет что-либо добавить.
А так же хочу поблагодарить пользователя Dybra за лояльность, полезные идеи и участие в развитии проекта - спасибо!
Спасибо за интерес.
Ответил в ПМ.
Буду благодарен за любые отзывы и комментарии, и чтобы не повторяться, готов отвечать в этой теме.
Спасибо за интересный образец :)
После добавления соответствующего признака в базу сканера, непосредственно шелл по указанному адресу, после сохранения его кода в файл и проверки сканером, определяется с рейтингом 47 (чем выше рейтинг - тем вероятнее угрозы, рейтинг 50 является пограничным, между подозрительными и наверняка опасными файлами).
Но честно признаюсь - такой шелл мне еще на глаза не попадался, поэтому сканер небыл обучен на него реагировать.
Вот файлы типа
<?php ${"\x47\x4c\x4fBA\x4c\x53"}["\x78\x6e\x77bez\x6ee\x6d\x77"]="\x6b\x6b";${"GL\x4fBA\x4c\x53"}["\x6f\x74xsjg\x6c"]="v";${"\x47\x4c\x4fBA\x4cS"}["\x69dx\x6b\x74u\x66\x73\x76\x76"]="\x6b";${"\x47L\x4f\x42A\x4c\x53"}["\x6e\x75\x78o\x65\x6a\x6f\x6bq\x62\x6da"]="\x5f\x61";${"\x47\x4cO\x42\x41\x4c\x53"}["\x6a\x6f\x66\x6b\x6c\x66if"]="_\x62";${"GLO\x42\x41L\ blah-blah-blah
А теперь и шелы типа того, что по ссылке :)
Хочу заметить, что сканирование выполняется не по сигнатурам в привычном понимании, а по "признакам", исходя из количества и совокупности которых, выстраивается "рейтинг" угрозы. Т.е., это ближе к эвристическому анализу.
При обнаружении файлов, которые сканер не распознает как угрозу - прямо в сканере есть кнопка "отправить на анализ". Добавление признака в базу дело пяти минут. База обновляется при каждом сканировании.
Как то так.---------- Добавлено 27.10.2014 в 12:35 ----------Справедливости ради добавлю - maldet этот шел определяет:
{HEX}php.cmdshell.nan.302
Не остался образец шаблона, в котором эта ссылка? Интересно проверить его моим сканером.
Спасибо! Результаты опроса как раз такие, каикими я и предполагал их увидеть. Мне хотелось выяснить реальный процент тех, кто может оказаться заинтересованным и я его выясняю :)
В целом, сервис пока не для домейнеров, которые регистрируют и продлевают домены сотнями, поскольку ограничение 100 доменов, а вот для держателей небольшого количества доменов, в пределах сотни, позволит чувствовать себя свободно.
Повторюсь - этот сервис не жрет системных и других ресурсов, поэтому не создает для нас дополнительных расходов и мощностей нам вполне хватает. Поэтому, в том виде, в каком он есть сейчас - сервис будет бесплатным всегда. Вот что касается свободы держать на мониторинге больше 100 доменов - в Ваших словах есть зерно истины. Вероятно стоит подумать над увеличением количества доменов за абонентскую плату, например, 1 рубль в год за домен, при том что до 100 доменов в любом случае будут обслуживаться бесплатно. Но городить этот огород при условии, что среди сотни домейнеров, сервисом заинтересуется 1 человек не имеет смысла (ну не ради же 5-10 рублей в год :) ), так-что "спрос рождает предложение".
Вероятно, это были не бесплатные сервисы или самостоятельные проекты, которые себя не окупили. Наш - не исчезнет. Обратите внимание - основная наша специализация, это - хостинг, VPS, Dedicated, регистрация доменов. Мощностей нам хватает более чем. Сервис направлен на людей, которые владеют доменами, т.е. потенциально на тех, кто может стать нашим клиентом. Если этот сервис привлечет внимание к нам хотя бы лишних 100-200 человек за год, из которых, со временем, 10 закажут какие-либо наши услуги - он окупит себя. Поэтому он не исчезнет.
Нужен он кому-то или нет - это субъективно. Вам не нужен, а тем не менее, в сервис добавлено со вчерашнего дня более ста доменов, значит кому-то нужен. Мне, кстати, нужен.
Что касается регистраторов и их писем и SMS-ок, я и не спорю, пишут, шлют. Не все, не всем и не всегда доходит. Мне лично, удобней получать уведомления в Jabber. Еще и автопродление есть у многих, но тоже не всегда применимо.
Я ж не настаиваю и не говорю, что как же вы жили без whois мониторинга. Это просто дополнительный уровень контроля для тех, кому он нужен, т.е. всего лишь дополнительный инструмент. Им можно пользоваться или не пользоваться. Денег мы за его использование не просим. А уж нужен он или нет - это каждый решит для себя самостоятельно.
Всем большое спасибо за здравое обсуждение.
P.S. По поводу слива информации в мошеннических целях - :)
Приятно слышать :)
Если она найдет его 🍻
Ну, во всяком случае сделали, в паре мест рассказали - дальше пусть живет как придётся. Задачу оно свою выполняет, остальное не так важно.
Мы стараемя не иметь дел с анонимами. Регистрация едина для всех наших сервисов, т.е. это регистрация в панели клиента, из которой открывается доступ к использованию или заказу тех или иных сервисов, среди которых есть услуги, требующие ввода достоверной информации (та же регистрация доменов), поэтому форма такая, какая есть. Отдельную регистрацию делать не имеет смысла, напротив - с менее строгой формой легко обойти ограничение 100 доменов на человека, чего мы допускать не хотим.
Это не благотварительность, выгода очевидна - рано или поздно, кто-либо из пользователей сервиса, закажет какую-либо из нашех платных услуг. Или расскажет о сервисе знакомому, тот же придет, увидит другие наши услуги и закажет что-либо. Ну вы поняли. Причем, сам по себе сервис не затратный - системных ресурсов не потребляет, кушать не просит. И будет работать все время, существования нашего проекта ( наш сайт webxl.ru работает с 2005 года и исчезать мы никуда не собираемся).
Мы не собираемся брать за это деньги. Вообще. Ни в ближайшем, ни в далеком будущем.
Она не всегда применима и не везде доступна. Согласен - сервис нужен далеко не всем, но есть категория людей, которым он может принести пользу - для них это и сделано.
