Общая тема о борьбе с шеллами и вирусами на сайте

6666!

Огромное спасибо за ваши советы!Мне,как новичку, вы очень помогли!

Для не зараженного сайта:

Еще есть смысл в каждой папке движка (в частности, images и прочие, а особенно не забыть папки, созданные вручную, например, какие-нибудь documents, которые не были созданы самим движком) проверить наличие индексного файла index.html/php/shtml/phtml и если его там еще нет - то создать хотя бы пустой, назвав его индексным, или в .htaccess в этой папке задать в качестве индексного какой-либо файл директивой

Тема очень полезная, я в закладки внес, поскольку пишу движок в настоящее время и мне очень важно учесть основные аспекты защиты против взлома.

outtime, я когда-то тоже плодил пустые index.html, но потом узнал про

Options -Indexes

Также можно добавить, что для работы с вашими сайтами безопаснее будет использовать один из дистрибутивов linux (например ubuntu, как более дружественная для новичка), а windows - только для игр.

Из нюансов посоветую chmod 440 или 444 на .htaccess

Был случай - чинил сайт после хакера, который через доступный на запись htaccess добавлял расширение для обработчика php.

И теперь представьте - вы все php проверили, а в них ничего. А зараза лежит в .jpeg и работает.

Ну а на дедике вместо chmod меняйте владельца. Если chmod опытный обойдет, то chown root, chmod 644 - уже врядли.

И обязательно храните access.log. Хотя-бы месяц. Часто зараза всплывает, начинаешь раскручивать откуда взялась, а логи кончаются. Это сразу трудоемкость работы значительно увеличивает.

По времени изменения файлов можно ориентироваться только иногда. Продвинутые возвращают время изменения файла назад.

Чтобы логи меняли (терли свою активность) - в практике пока не встречал. Но на некоторых шаред хостингах такое возможно.

для незараженных:

- не забываем файл .htaccess сохранять в кодировке UTF-8

- в WP удаляем файл wp-cron, если вы не используете отсроченную публикацию постов

для зараженных:

- особенно когда 10ток сайтов в одной папке. Перед поиском и удалением шел и вирусных файлов, ложим в корень файл htaccess - закрываем доступ всем, кроме своего IP !! Так как, пока вы будете удалять, вирусы автоматически будут восстанавливать файлы

Работайте через ssh (SCP, SFTP), клиент WinSCP5.

Информация для новичков, что такое SSH и как им пользоваться. Обязательно к изучению.

http://naikom.ru/blog/archives/2105

http://www.sdelaysite.com/kniga/tools/ssh-shell

http://www.siteprojects.ru/blog/?p=1109

---------- Добавлено 16.02.2013 в 22:08 ----------

Зачем защищать панель админа: http://www.revisium.com/kb/protect_adminpanel.html

Как защищать панель админа:

http://www.revisium.com/kb/secure_adminpanel.html

---------- Добавлено 16.02.2013 в 22:10 ----------

Авторам самописных CMS и скриптов рекомендую

познакомится с программами и скриптами:

- RIPS (http://sourceforge.net/projects/rips-scanner/files/) - free

- sqlmap (http://sqlmap.org/) - free

- Acunetix Web Vulnerability Scanner - $$$

- XSpider 7.8 - $$$, но дешевле предыдущего

использовать готовые библиотеки фильтрации данных от пользователя и из базы данных:

https://phpids.org/

http://htmlpurifier.org/

http://www.phpinsider.com/php/code/SafeSQL/

http://code.google.com/p/php-antixss/

http://code.google.com/p/xmlseclibs/downloads/list

а также обязательно прочитать СпецВыпуск Хакер №75 http://www.xakep.ru/magazine/xs/075/xs_075.pdf, и познакомится с инструментами для pentest (http://habrahabr.ru/post/141803/).

Хоть данный вопрос здесь и не раз подымался, думаю не лишним будет повторить и в данной теме, ибо взломанных сайтов море.

Если у вас сайт на Joomla и вы используете редактор JCE устаревшей версии - срочно обновите его. Новость на оф. сайте, скачать обновлённую версию можно скачать с оф. сайта.

В сети лежит эксплоит, который способен удалённо загрузить через уязвимость в этом редакторе к вам на сайт php файл, предварительно переименованный в gif, а затем уже у вас на сервере переименовать обратно в php.

Если у вас стояла старая версия этого редактора, после обновления обязательно проверьте папки с картинками на наличие php файлов, а также выполните все рекомендации из первого поста данной темы, проверьте сайт айболитом, запретите выполнение php в папках с картинками.

Также хочу обратить внимание, что в последнее время я очень часто встречаю залитые файлы, содержащие простую html форму загрузки файлов на сервер. То есть через такую форму можно залить на сервер абсолютно любой файл. Так как код подобных файлов простой - айболит может их не находить.

Проще всего их найти через ssh, выполнив поиск последних изменённых файлов. Взломщики довольно редко заморачиваются, и дату не меняют.

айболит много чего не находит. хотя идея скрипта правильная.

помимо jce проблемы имеют ckeditor и phpadmin, в том числе свежие.

их стоит закрывать апачевским паролем или по адресам.

Он просто малоизвестный и разрабатывается одним единственным человеком. Идея ведь не новая - даже clamav лучше ищет и не падает. Потому что серьезная программа на Cи с многолетней историей и большим числом аналитиков в разных странах.