Общая тема о борьбе с шеллами и вирусами на сайте

Народ, завязывайте ругань.

Прямо сейчас. Я и так с трудом упросил администрацию форума прикрепить топик.

Попробую пояснить насчет рекламы:

1. Ссылки на сайты с антивирусами, услугами и прочим, разрешены, если они полезны для борьбы с вирусами.

2. Конкретные предложения услуг в топике запрещены.

Если кто-то зашел на чей-то сайт и заказал аудит или проверку, то я только рад. Тем не менее, в основе топика лежит бесплатный скрипт "айболит". Если хотите заказать у его создателя аудит, то молодцы. У кого-то другого, тоже молодцы. Хотите бесплатно поюзать - вообще классно.

Но тут все-таки не курилка, давайте не разводить срач. Спасибо.

А почему его надо ВЫПЯЧИВАТЬ В НЕПРЕДНАЗНАЧЕННОЙ для этого дела теме.

Скажи-ка мне, php-программист, что будет быстрей выполняться преинкремент, или постинкремент, и самое главное: ПОЧЕМУ?

$variable++ или ++$variable ???

Ответишь на вопрос: молодец, про;)

Не ответишь: просто молодец.

6666, сорри, реально этот спец😂 бесит:(

Готов понести наказание. Но постараюсь его смягчить

По теме: попытка

В 2011 году яндекс опубликовал стату по самым уязвимым CMSкам. Реальность(точность) этих данных к сожалению оценить очень трудно, так как очень много факторов взлома этих самых CMSок не могли быть учтены в стате:

1) Взлом самого хостера

Криворукий админ, дырка в ОС либо в ПО.

2) Взлом соседей по хостингу(не важен способ) и получение доступа к Вашему сайту.

Как правило такое бывает на всяких Гхостингах, где рулят Гадмины, которые делают Гконфиги:)

3) Кража у Вас данных от панели управления сайтом либо от ФТП

В 99% случаев - Ваш косяк. Либо соц.инженерия(Вы сами дали данные для доступа), либо вирус на компе, с которого производился доступ к сайту. Исключение: 0day-уязвимость, тут Вашей вины нет;)

Скажу по секрету: Ваш интернет провайдер(придурок Вася, который недавно туда устроился) может украсть эти данные.

4) Установка заведомо зараженной CMSки, причем скаченной с официального сайта(был тут недавно 1 случай с популярным скриптом доски объявлений, че уж тут скрывать)

Вашей вины тоже здесь нет. Вы ж не знали, что автор мудак:(

5) Использование всяких хаканых-перехаканых-нулленых скриптов(ДЛЕ, например). Во-первых: Вы нарушаете авторские права, а во-вторых: рискуете получить уже инфицированный злоумышленником скрипт.

6) Взлом ЦМСок через плагины. Как по мне, так это основная проблема. Учитывая тот факт, что сейчас развелось всяких php-программистов, то риск скачать такой плагин просто огромен.

7) Ну и непосредственный взлом через уязвимость самой ЦМСки, то есть это косяк команды разработчиков.

Некоторые из этих пунктов можно разделить еще на несколько подгрупп, но оставлю это Вам.

Итоги:

1) Грамотно выбирайте хостера(советы знакомых, отзывы на сторонних ресурсах, личный опыт).

2) см. пункт 1

3) Используйте антивирус, файрвол, ну и ГОЛОВУ само собой. На рабочем компе постарайтесь минимизировать закачки из интернета всяких софтов и т.д., особенно с сомнительных ресурсов.

4) Сходите в церковь поставьте свечку, на всякий случай;)

5) Делайте это только на свой страх и риск(он максимален)

6) Чем меньше плагинов - тем лучше в плане безопасности. Прежде чем поставить, почитайте отзывы хотя бы. Если же есть возможность - закажите аудит этого плагина.

7) Закупитесь помидорами😂не юзайте дле

Дружок, судя по твоему профилю тебе еще рано такие вещи знать. Мал еще.

И вопросы у тебя пока соответствующие. Расти )))

Внесу свои 5 копеек:

часто на форумах (не только на сёрче) проскакивают темы про движок dle и вставку скрипта <script>...</script> перед <!DOCTYPE html...>

Думаю, что америку не открыл (если уже предлагали подобное, помидорами не кидать:) ), но простенький метод поиска вредоносной вставки могу предложить.

Итак, нам потребуется 2 функции вывода текста:

и немного времени (минут 10 думаю вполне хватит)

Открываем корневой index.php, ищем первый вызов файла

require_once ROOT_DIR . '/engine/init.php';

и вставляем наши функции до и после вызова

сохраняем, открываем пациента и смотрим исходный код страницы,

получиться должно примерно так:

если да, то можно уже потихоньку начать радоваться, т.к. мы на верном пути,

если не так, то возвращаемся к index.php и переставляем наши функции ниже, до получения правильного результата

при достижении результата как в примере, ищем вызов файла и идем его редактировать

процедура полностью аналогичная - переставили фукции, сохранили, обновили исходный код, посмотрели где находятся цифры (соответственно в ту сторону и двигаться)

повторять процедуру пока переставляя наши функции вы выйдите на нужный файл и остается только сравнить его с оригинальным и найти вредоносную вставку и безжалостно удалить ее.

Далее все просто: идем на официальный сайт в раздел патчей dle-news.ru/bags/ и последовательно устанавливаем все для своей версии.

P.S. думаю начинающим будет полезно, а кто то просто возьмет на заметку...

бекап делайте всегда

http://ru.wikipedia.org/wiki/Резервное_копирование

А вот такой штукой кто-нибудь пользовался?

http://www.symantec.com/ru/ru/ssl-certificates

Это не имеет никакого отношения к теме

---------- Post added 15-03-2013 at 16:38 ----------

Допустим у вас на сайте нашлись вирусы. Вы их удачно почистили. Но надо выяснить каким образом они попали на сервер, тем более если у Вас закрыт фтп и прочее.

Обычно оставляют на сайте шелл скрипт php аля FilesMan, главное запомнить имя файла, если вы его нашли. После чистки сайта идем в логи сервера. Обычно они лежат в /var/www/http-logs для Debian, и /var/www/сайт/logs

В первом месте лежит обычно архивы gzip, во втором лог за сегодня. Сначала ищем по файлу за сегодня, потом по истории: Допустим шелл назывался topnews.php Выполянем команду

grep 'topnews.php' файл лога_access.log

Нашлась одна запись:

x.x.x.x - - [21/Feb/2013:08:20:15 +0000] "GET /engine/cache/system/topnews.php HTTP/1.0" 200 16198 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.57 Safari/537.17"

x.x.x.x - IP нарушителя.

Почему одна? Потому что залили шелл этот с другого шелла и с другого IP, который потом самоликвидировали. Можно теперь поискать ходы по этому IP или поискать в логе записи раньше этой, к IP привязываться не стоит, тк его обычно меняют между действиями. Особое внимание обратить на загрузку файлов и регистрацию новых пользователе, которые были до этого. Возможно это поможет найти вам дырявое место.

Просмотреть какие страницы открывал пользователь. Если например видно много подряд запросов POST к файлу php, которого на сервере нет, значит это работали в шелл и надо смотреть какие страницы открывали после этих POST запросов, тк обычно это делают вставки в код сайта типа system($_GET['blbllb']), а потом для проверки открывают страницу пораженую. А сам шелл потом грохают.

Офигеть способ, для этого лучше через ssh поиск по файлам сделать.

Даже новичку это подсилу.

Зачастую эти вставки никак не шифруются, а если и шифруются, то их несложно найти по определённому набору функций.

Искать легко, переходите в корневую папку сайта и используйте, например, grep. Искать легче всего по уникальной части вставки, если это javascript, то ищите по домену, с которого он подключается.

или так, если хотите только по php файлам искать:

вот такой вопрос. у меня на сайте при наведении мышки на некоторые слова, к примеру *приз* *free* *подарок* на экране всплывало небольшое окно с рекламой какого то казино. весь скрипт перерыл, не нашел ни чего. думал в браузере что то. но на других сайтах такого не было. кто то сталкивался с таким?

вроде бы это формат - видеоклик