Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 14.03.2013, 14:02   #41
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,698
Репутация: 1432637

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от inSafety Посмотреть сообщение
Доры часто прописывают туда, а потом через них льют шеллы и т.п.
С точностью до наоборот.

Шеллы (бекдоры) часто прописывают туда, а потом через них льют доры и т.п.
Цитата:
Сообщение от inSafety Посмотреть сообщение
Для защиты от серверных атак, организованных "червями" и вирусами на JS файлы, помогает установка прав 555 на эти файлы. Это касается и других скриптов, если их код не меняется при работе сайта.
А чё не 111 или 333?
Отвечать не надо. Ибо бред. Не поможет в 99%.

Права должны быть такими, что бы не мешали норм работе, но в тоже время макс. ограничивали злоумышленика. На разных серверах это по разному.

Про всё остальное в топике уже рассказано (кроме, разве что, ссылки на экплоит-дб).
Чисто рекламный пост.
К тому же слабо профессиональный.
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***

Последний раз редактировалось SeVlad; 14.03.2013 в 14:13..
SeVlad вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:

Реклама
Старый 14.03.2013, 19:21   #42
6666
Академик
 
Аватар для 6666
 
Регистрация: 10.01.2005
Адрес: Миколайки
Сообщений: 16,191
Репутация: 1275216

ТопикСтартер Re: Общая тема о борьбе с шеллами и вирусами на сайте

Народ, завязывайте ругань.

Прямо сейчас. Я и так с трудом упросил администрацию форума прикрепить топик.

Попробую пояснить насчет рекламы:

1. Ссылки на сайты с антивирусами, услугами и прочим, разрешены, если они полезны для борьбы с вирусами.

2. Конкретные предложения услуг в топике запрещены.

Если кто-то зашел на чей-то сайт и заказал аудит или проверку, то я только рад. Тем не менее, в основе топика лежит бесплатный скрипт "айболит". Если хотите заказать у его создателя аудит, то молодцы. У кого-то другого, тоже молодцы. Хотите бесплатно поюзать - вообще классно.

Но тут все-таки не курилка, давайте не разводить срач. Спасибо.
__________________
Каждое мое сообщение проверила и одобрила Елена Летучая.
(c)
Для меня очень важно все что Вы говорите!
.
6666 вне форума   Ответить с цитированием
Сказали спасибо:
Старый 14.03.2013, 20:26   #43
Милованов Ю.С
php/mysql/html/etc
 
Аватар для Милованов Ю.С
 
Регистрация: 24.01.2008
Адрес: 127.0.0.1
Сообщений: 1,985
Репутация: 380280
Отправить сообщение для Милованов Ю.С с помощью ICQ Отправить сообщение для Милованов Ю.С с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от inSafety Посмотреть сообщение
SeVladПочему его надо скрывать?
А почему его надо ВЫПЯЧИВАТЬ В НЕПРЕДНАЗНАЧЕННОЙ для этого дела теме.
Скажи-ка мне, php-программист, что будет быстрей выполняться преинкремент, или постинкремент, и самое главное: ПОЧЕМУ?
$variable++ или ++$variable ???
Ответишь на вопрос: молодец, про
Не ответишь: просто молодец.

6666, сорри, реально этот спец бесит
Готов понести наказание. Но постараюсь его смягчить

По теме: попытка
В 2011 году яндекс опубликовал стату по самым уязвимым CMSкам. Реальность(точность) этих данных к сожалению оценить очень трудно, так как очень много факторов взлома этих самых CMSок не могли быть учтены в стате:
1) Взлом самого хостера
Криворукий админ, дырка в ОС либо в ПО.

2) Взлом соседей по хостингу(не важен способ) и получение доступа к Вашему сайту.
Как правило такое бывает на всяких Гхостингах, где рулят Гадмины, которые делают Гконфиги

3) Кража у Вас данных от панели управления сайтом либо от ФТП
В 99% случаев - Ваш косяк. Либо соц.инженерия(Вы сами дали данные для доступа), либо вирус на компе, с которого производился доступ к сайту. Исключение: 0day-уязвимость, тут Вашей вины нет
Скажу по секрету: Ваш интернет провайдер(придурок Вася, который недавно туда устроился) может украсть эти данные.

4) Установка заведомо зараженной CMSки, причем скаченной с официального сайта(был тут недавно 1 случай с популярным скриптом доски объявлений, че уж тут скрывать)
Вашей вины тоже здесь нет. Вы ж не знали, что автор мудак

5) Использование всяких хаканых-перехаканых-нулленых скриптов(ДЛЕ, например). Во-первых: Вы нарушаете авторские права, а во-вторых: рискуете получить уже инфицированный злоумышленником скрипт.

6) Взлом ЦМСок через плагины. Как по мне, так это основная проблема. Учитывая тот факт, что сейчас развелось всяких php-программистов, то риск скачать такой плагин просто огромен.

7) Ну и непосредственный взлом через уязвимость самой ЦМСки, то есть это косяк команды разработчиков.

Некоторые из этих пунктов можно разделить еще на несколько подгрупп, но оставлю это Вам.


Итоги:
1) Грамотно выбирайте хостера(советы знакомых, отзывы на сторонних ресурсах, личный опыт).
2) см. пункт 1
3) Используйте антивирус, файрвол, ну и ГОЛОВУ само собой. На рабочем компе постарайтесь минимизировать закачки из интернета всяких софтов и т.д., особенно с сомнительных ресурсов.
4) Сходите в церковь поставьте свечку, на всякий случай
5) Делайте это только на свой страх и риск(он максимален)
6) Чем меньше плагинов - тем лучше в плане безопасности. Прежде чем поставить, почитайте отзывы хотя бы. Если же есть возможность - закажите аудит этого плагина.
7) Закупитесь помидорамине юзайте дле
__________________
Подпись))
Милованов Ю.С вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 14.03.2013, 20:54   #44
inSafety
Студент
 
Регистрация: 14.03.2013
Адрес: Moscow
Сообщений: 5
Репутация: 10

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от Милованов Ю.С Посмотреть сообщение
А почему его надо ВЫПЯЧИВАТЬ В НЕПРЕДНАЗНАЧЕННОЙ для этого дела теме.
Скажи-ка мне, php-программист, что будет быстрей выполняться преинкремент, или постинкремент, и самое главное: ПОЧЕМУ?
$variable++ или ++$variable ???
Ответишь на вопрос: молодец, про
Не ответишь: просто молодец.
Дружок, судя по твоему профилю тебе еще рано такие вещи знать. Мал еще.
И вопросы у тебя пока соответствующие. Расти )))
inSafety вне форума   Ответить с цитированием
Старый 14.03.2013, 21:14   #45
kgtu5
Академик
 
Регистрация: 21.07.2010
Адрес: Kostroma
Сообщений: 2,269
Репутация: 150092
Отправить сообщение для kgtu5 с помощью ICQ Отправить сообщение для kgtu5 с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Внесу свои 5 копеек:
часто на форумах (не только на сёрче) проскакивают темы про движок dle и вставку скрипта <script>...</script> перед <!DOCTYPE html...>
Думаю, что америку не открыл (если уже предлагали подобное, помидорами не кидать ), но простенький метод поиска вредоносной вставки могу предложить.
Итак, нам потребуется 2 функции вывода текста:
Цитата:
echo "111";
Цитата:
echo "222";
и немного времени (минут 10 думаю вполне хватит)
Открываем корневой index.php, ищем первый вызов файла
require_once ROOT_DIR . '/engine/init.php';
и вставляем наши функции до и после вызова
Цитата:
echo "111";
require_once ROOT_DIR . '/engine/init.php';
echo "222";
сохраняем, открываем пациента и смотрим исходный код страницы,
получиться должно примерно так:
Цитата:
111<script>...</script>222<!DOCTYPE html...>
если да, то можно уже потихоньку начать радоваться, т.к. мы на верном пути,
если не так, то возвращаемся к index.php и переставляем наши функции ниже, до получения правильного результата
при достижении результата как в примере, ищем вызов файла и идем его редактировать
процедура полностью аналогичная - переставили фукции, сохранили, обновили исходный код, посмотрели где находятся цифры (соответственно в ту сторону и двигаться)
повторять процедуру пока переставляя наши функции вы выйдите на нужный файл и остается только сравнить его с оригинальным и найти вредоносную вставку и безжалостно удалить ее.

Далее все просто: идем на официальный сайт в раздел патчей dle-news.ru/bags/ и последовательно устанавливаем все для своей версии.

P.S. думаю начинающим будет полезно, а кто то просто возьмет на заметку...
__________________
аська 45два48499два записки на работе
помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ и ТАМ
!!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
kgtu5 вне форума   Ответить с цитированием
Сказали спасибо:
Старый 15.03.2013, 10:32   #46
Кот в сапогах
Зарегистрированный
 
Регистрация: 02.07.2012
Сообщений: 513
Репутация: 69488

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

бекап делайте всегда

http://ru.wikipedia.org/wiki/Резервное_копирование
Кот в сапогах вне форума   Ответить с цитированием
Старый 15.03.2013, 10:51   #47
alex-sandro
Студент
 
Регистрация: 10.03.2013
Сообщений: 17
Репутация: 10

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

А вот такой штукой кто-нибудь пользовался?

http://www.symantec.com/ru/ru/ssl-certificates
alex-sandro вне форума   Ответить с цитированием
Старый 15.03.2013, 14:17   #48
bukachuk
Кандидат наук
 
Аватар для bukachuk
 
Регистрация: 07.09.2008
Адрес: Воронеж
Сообщений: 341
Репутация: 103548

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от alex-sandro Посмотреть сообщение
А вот такой штукой кто-нибудь пользовался?

http://www.symantec.com/ru/ru/ssl-certificates
Это не имеет никакого отношения к теме

---------- Post added 15-03-2013 at 16:38 ----------

Допустим у вас на сайте нашлись вирусы. Вы их удачно почистили. Но надо выяснить каким образом они попали на сервер, тем более если у Вас закрыт фтп и прочее.
Обычно оставляют на сайте шелл скрипт php аля FilesMan, главное запомнить имя файла, если вы его нашли. После чистки сайта идем в логи сервера. Обычно они лежат в /var/www/http-logs для Debian, и /var/www/сайт/logs

В первом месте лежит обычно архивы gzip, во втором лог за сегодня. Сначала ищем по файлу за сегодня, потом по истории: Допустим шелл назывался topnews.php Выполянем команду
Код:
grep 'topnews.php' файл лога_access.log
Нашлась одна запись:
Код:
x.x.x.x - - [21/Feb/2013:08:20:15 +0000] "GET /engine/cache/system/topnews.php HTTP/1.0" 200 16198 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.57 Safari/537.17"
x.x.x.x - IP нарушителя.
Почему одна? Потому что залили шелл этот с другого шелла и с другого IP, который потом самоликвидировали. Можно теперь поискать ходы по этому IP или поискать в логе записи раньше этой, к IP привязываться не стоит, тк его обычно меняют между действиями. Особое внимание обратить на загрузку файлов и регистрацию новых пользователе, которые были до этого. Возможно это поможет найти вам дырявое место.

Просмотреть какие страницы открывал пользователь. Если например видно много подряд запросов POST к файлу php, которого на сервере нет, значит это работали в шелл и надо смотреть какие страницы открывали после этих POST запросов, тк обычно это делают вставки в код сайта типа system($_GET['blbllb']), а потом для проверки открывают страницу пораженую. А сам шелл потом грохают.
bukachuk вне форума   Ответить с цитированием
Сказали спасибо:
Старый 16.03.2013, 05:29   #49
rushter
Академик
 
Регистрация: 13.04.2009
Сообщений: 1,685
Репутация: 137458

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от kgtu5 Посмотреть сообщение
Внесу свои 5 копеек:
часто на форумах (не только на сёрче) проскакивают темы про движок dle и вставку скрипта <script>...</script> перед <!DOCTYPE html...>
Думаю, что америку не открыл (если уже предлагали подобное, помидорами не кидать ), но простенький метод поиска вредоносной вставки могу предложить.
Итак, нам потребуется 2 функции вывода текста:


и немного времени (минут 10 думаю вполне хватит)
Открываем корневой index.php, ищем первый вызов файла
require_once ROOT_DIR . '/engine/init.php';
и вставляем наши функции до и после вызова

сохраняем, открываем пациента и смотрим исходный код страницы,
получиться должно примерно так:

если да, то можно уже потихоньку начать радоваться, т.к. мы на верном пути,
если не так, то возвращаемся к index.php и переставляем наши функции ниже, до получения правильного результата
при достижении результата как в примере, ищем вызов файла и идем его редактировать
процедура полностью аналогичная - переставили фукции, сохранили, обновили исходный код, посмотрели где находятся цифры (соответственно в ту сторону и двигаться)
повторять процедуру пока переставляя наши функции вы выйдите на нужный файл и остается только сравнить его с оригинальным и найти вредоносную вставку и безжалостно удалить ее.

Далее все просто: идем на официальный сайт в раздел патчей dle-news.ru/bags/ и последовательно устанавливаем все для своей версии.

P.S. думаю начинающим будет полезно, а кто то просто возьмет на заметку...
Офигеть способ, для этого лучше через ssh поиск по файлам сделать.
Даже новичку это подсилу.
Зачастую эти вставки никак не шифруются, а если и шифруются, то их несложно найти по определённому набору функций.
Искать легко, переходите в корневую папку сайта и используйте, например, grep. Искать легче всего по уникальной части вставки, если это javascript, то ищите по домену, с которого он подключается.
Цитата:
grep -rl 'domain.ru' .
или так, если хотите только по php файлам искать:
Цитата:
grep -rl --include=*.php 'domain.ru' .
__________________
r
rushter вне форума   Ответить с цитированием
Старый 16.03.2013, 07:26   #50
pascalreal
Студент
 
Аватар для pascalreal
 
Регистрация: 13.05.2009
Сообщений: 30
Репутация: -1146
Отправить сообщение для pascalreal с помощью ICQ

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

вот такой вопрос. у меня на сайте при наведении мышки на некоторые слова, к примеру *приз* *free* *подарок* на экране всплывало небольшое окно с рекламой какого то казино. весь скрипт перерыл, не нашел ни чего. думал в браузере что то. но на других сайтах такого не было. кто то сталкивался с таким?
pascalreal вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны