Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 24.02.2013, 23:01   #31
6666
Академик
 
Аватар для 6666
 
Регистрация: 10.01.2005
Адрес: Миколайки
Сообщений: 16,230
Репутация: 1275216

ТопикСтартер Re: Общая тема о борьбе с шеллами и вирусами на сайте

Кот в сапогах, спасибо, нужная ссылка.
__________________
Каждое мое сообщение проверила и одобрила Елена Летучая.
(c)
Для меня очень важно все что Вы говорите!
.
6666 вне форума   Ответить с цитированием

Реклама
Старый 25.02.2013, 21:12   #32
OtherSide
Дипломник
 
Регистрация: 20.01.2013
Сообщений: 76
Репутация: -2016

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от Хортица Посмотреть сообщение
Так как когда то, я занимался защитой сайтов (в частности ДЛЕшных) от шеллов, то по опыту последних лет очень помогает настройка сервера, а чаще всего решает множество проблем на корню!

1) Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

Код:
disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname
2) Отключаем register_globals
Код:
register_globals = Off
3) Отключаем magic_quotes:
Код:
magic_quotes = Off
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
Все эти изменения следует делать в php.ini

Со времен ДЛЕ 8.0 сколько уже багов было найдено, а ни один сайт на сервере с подобными настройками не был подвержен уязвимостям!
а где php.ini этот лежит?
OtherSide вне форума   Ответить с цитированием
Старый 25.02.2013, 21:20   #33
security-guru
Дипломник
 
Регистрация: 16.02.2013
Сообщений: 57
Репутация: 2986
Отправить сообщение для security-guru с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

phpinfo() вам в помощь
__________________
Безопасный хостинг с администрированием http://seahost.ru
Аудит безопасности сайтов, приложений, удаление вирусов http://security-gu.ru
security-guru вне форума   Ответить с цитированием
Старый 25.02.2013, 23:24   #34
OtherSide
Дипломник
 
Регистрация: 20.01.2013
Сообщений: 76
Репутация: -2016

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

если на dle 98 поставить шаблон от 96, будет это уязвимостью.?
OtherSide вне форума   Ответить с цитированием
Старый 26.02.2013, 07:56   #35
bukachuk
Кандидат наук
 
Аватар для bukachuk
 
Регистрация: 07.09.2008
Адрес: Воронеж
Сообщений: 341
Репутация: 103548

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Очень часто стали ставить скрытые ссылки на сайт. Обычно это делают через подгрузку ссылки с удаленного узла. То есть в шаблоне ссылки не будет, но на сайте она есть.

Как можно поискать на сайте данный код. Как правило он не закодирован и выполнен красиво, как код движка.

Ищем по содержимому всех файлов строки функций подгрузки удаленного файла, например file_get_contents
Как правило код, который подгружает ненужные ссылки содержит вам узел в закодированном или неявном виде
Типа file_get_contents(base64_decode("blalala"));
или например $u = base64_decode("blabla"); $v = file_get_contents($u); Итд

Конечно нужно понимать, что при поиске по файлам выйдет несколько результатов, в том числе коды бирж итд. Надо просто просмотреть куда идет обращение.

Как расшифровать что в этих каракулях base64
Например у Вас код
Код:
 eval(base64_decode("blablabla"));
Заменяем eval на echo, получаем в итоге:
Код:
echo base64_decode("blablabla");
После него можно поставить exit; Чтобы не искать результат на сайте. Если в результате Вы видите опять тоже самое, значит надо делать по кругу. Конечно это самый простой способ, но для новичка пойдет
bukachuk вне форума   Ответить с цитированием
Старый 26.02.2013, 08:16   #36
sok3535
Профессор
 
Регистрация: 18.04.2011
Сообщений: 824
Репутация: 347162

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

eval gzinflate base64_decode PHP Decoder
sok3535 вне форума   Ответить с цитированием
Старый 08.03.2013, 18:31   #37
богоносец
убивец демо†кратии
 
Аватар для богоносец
 
Регистрация: 30.01.2007
Адрес: совок_б/к
Сообщений: 9,549
Репутация: 1002549

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

А про nginx чего-нибудь по теме известно?
богоносец вне форума   Ответить с цитированием
Старый 08.03.2013, 23:50   #38
security-guru
Дипломник
 
Регистрация: 16.02.2013
Сообщений: 57
Репутация: 2986
Отправить сообщение для security-guru с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от богоносец Посмотреть сообщение
А про nginx чего-нибудь по теме известно?
а nginx к теме никакого отношения не имеет
по большому счету нюанс только в том, что если на сервере nginx+fastcgi, то не будет никаких перенаправлений через .htaccess

в остальном сломаная связка nginx+fastcgi практически не отличается от apache+mod_php
security-guru вне форума   Ответить с цитированием
Старый 14.03.2013, 13:36   #39
inSafety
Студент
 
Регистрация: 14.03.2013
Адрес: Moscow
Сообщений: 5
Репутация: 10

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Любое появление вирусов и тем более шеллов на сайте - это взлом.
Чаще всего сайты взламывают
1. Через уязвимости в коде сайта
2. Через уязвимости сервера
3. Через вирус/троян на ПК админа

Пару советов, которых вроде еще не было на ветке
1. Безопасность в работе с сайтом
- Администрировать сайт, как и работать с FTP, БД и т.п. только с чистого ПК
- Желательно, не хранить учетные данные на разных ПК
- Не хранить учетные записи на почте и FTP менеджерах.
- Не доверять администрирование сайтам непроверенным людям.
(Крупные и-нет магазины нередко пользуются услугами фрилансеров для наполнения сайтов, потом случаются проблемы, полно случаев из своей практики)

2. Предупреждение взлома сайта
- Не пользоваться сомнительными сборками CMS, плагинами и дополнениями к ним
- Обязательно обновлять CMS
- никогда не оставлять бэкапы файлов на сервере, использующихся при установки CMS, плагинов и т.п.
- Исключить возможность эксплуатирования инъекций в код и БД сайта (PHP, SQL inj и т.п), т.е. фильтровать пересылаемые данные GET, POST. Фильтровать запись/чтение кук. Инъекция в кукисы - частое явление.
- Обеспечить безопасность сессий, исключить возможность проведение XSS атак, фильтрация данных форм и т.п.
- Исключить возможность обхода авторизация админа сайта. Т.е., вроде как админпанель запаролена и все ОК, но существует возможность для злоумышленника использовать какие-либо файлы админки, к примеру, позволяющие осуществлять запись на сервер.
- В случае использования популярных CMS а-ля Joomla, WP и т.п., не лишним будет проверить версию CMS на наличие для нее уже готовых решений по взлому. К примеру, на сайте http://www.exploit-db.com/ и ему подобных.

3. Если сайт взломали
Советов в этой ветке дано много, но вроде не было следующего:
Обязательно проверить конфиги, и серверные скрипты на дописки. Доры часто прописывают туда, а потом через них льют шеллы и т.п.
После обнаружения фактов взлома сайта, следует вычистить все вирусы, доры, по возможности перезалить сайт, удалить все последствия взлома. Потом обязательно провести аудит сайта на наличие уязвимостей и устранить из. Если этого не сделать, все повторится.

Для защиты от серверных атак, организованных "червями" и вирусами на JS файлы, помогает установка прав 555 на эти файлы. Это касается и других скриптов, если их код не меняется при работе сайта.

Алексей.

Последний раз редактировалось moldu; 14.03.2013 в 20:32.. Причина: удалена рекламная информация
inSafety вне форума   Ответить с цитированием
Старый 14.03.2013, 14:41   #40
6666
Академик
 
Аватар для 6666
 
Регистрация: 10.01.2005
Адрес: Миколайки
Сообщений: 16,230
Репутация: 1275216

ТопикСтартер Re: Общая тема о борьбе с шеллами и вирусами на сайте

Господа, важно!

Данный топик был прилеплен администрацией так как тема нужная и важная, и, более того, айболит - программа бесплатная.

Реклама платных услуг по очистке от вирусов, к сожалению, в топике запрещена, как бы полезны и нужны эти услуги не были.
6666 вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 02:40. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны