Общая тема о борьбе с шеллами и вирусами на сайте

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

register_globals = Off

magic_quotes = Off

magic_quotes_gpc = Off

magic_quotes_runtime = Off

magic_quotes_sybase = Off

а где php.ini этот лежит?

phpinfo() вам в помощь

если на dle 98 поставить шаблон от 96, будет это уязвимостью.?

Очень часто стали ставить скрытые ссылки на сайт. Обычно это делают через подгрузку ссылки с удаленного узла. То есть в шаблоне ссылки не будет, но на сайте она есть.

Как можно поискать на сайте данный код. Как правило он не закодирован и выполнен красиво, как код движка.

Ищем по содержимому всех файлов строки функций подгрузки удаленного файла, например file_get_contents

Как правило код, который подгружает ненужные ссылки содержит вам узел в закодированном или неявном виде

Типа file_get_contents(base64_decode("blalala"));

или например $u = base64_decode("blabla"); $v = file_get_contents($u); Итд

Конечно нужно понимать, что при поиске по файлам выйдет несколько результатов, в том числе коды бирж итд. Надо просто просмотреть куда идет обращение.

Как расшифровать что в этих каракулях base64

Например у Вас код

 eval(base64_decode("blablabla"));

Заменяем eval на echo, получаем в итоге:

echo base64_decode("blablabla");

После него можно поставить exit; Чтобы не искать результат на сайте. Если в результате Вы видите опять тоже самое, значит надо делать по кругу. Конечно это самый простой способ, но для новичка пойдет:)

eval gzinflate base64_decode PHP Decoder

А про nginx чего-нибудь по теме известно?

а nginx к теме никакого отношения не имеет :)

по большому счету нюанс только в том, что если на сервере nginx+fastcgi, то не будет никаких перенаправлений через .htaccess

в остальном сломаная связка nginx+fastcgi практически не отличается от apache+mod_php

Любое появление вирусов и тем более шеллов на сайте - это взлом.

Чаще всего сайты взламывают

1. Через уязвимости в коде сайта

2. Через уязвимости сервера

3. Через вирус/троян на ПК админа

Пару советов, которых вроде еще не было на ветке

1. Безопасность в работе с сайтом

- Администрировать сайт, как и работать с FTP, БД и т.п. только с чистого ПК

- Желательно, не хранить учетные данные на разных ПК

- Не хранить учетные записи на почте и FTP менеджерах.

- Не доверять администрирование сайтам непроверенным людям.

(Крупные и-нет магазины нередко пользуются услугами фрилансеров для наполнения сайтов, потом случаются проблемы, полно случаев из своей практики)

2. Предупреждение взлома сайта

- Не пользоваться сомнительными сборками CMS, плагинами и дополнениями к ним

- Обязательно обновлять CMS

- никогда не оставлять бэкапы файлов на сервере, использующихся при установки CMS, плагинов и т.п.

- Исключить возможность эксплуатирования инъекций в код и БД сайта (PHP, SQL inj и т.п), т.е. фильтровать пересылаемые данные GET, POST. Фильтровать запись/чтение кук. Инъекция в кукисы - частое явление.

- Обеспечить безопасность сессий, исключить возможность проведение XSS атак, фильтрация данных форм и т.п.

- Исключить возможность обхода авторизация админа сайта. Т.е., вроде как админпанель запаролена и все ОК, но существует возможность для злоумышленника использовать какие-либо файлы админки, к примеру, позволяющие осуществлять запись на сервер.

- В случае использования популярных CMS а-ля Joomla, WP и т.п., не лишним будет проверить версию CMS на наличие для нее уже готовых решений по взлому. К примеру, на сайте http://www.exploit-db.com/ и ему подобных.

3. Если сайт взломали

Советов в этой ветке дано много, но вроде не было следующего:

Обязательно проверить конфиги, и серверные скрипты на дописки. Доры часто прописывают туда, а потом через них льют шеллы и т.п.

После обнаружения фактов взлома сайта, следует вычистить все вирусы, доры, по возможности перезалить сайт, удалить все последствия взлома. Потом обязательно провести аудит сайта на наличие уязвимостей и устранить из. Если этого не сделать, все повторится.

Для защиты от серверных атак, организованных "червями" и вирусами на JS файлы, помогает установка прав 555 на эти файлы. Это касается и других скриптов, если их код не меняется при работе сайта.

Алексей.

Господа, важно!

Данный топик был прилеплен администрацией так как тема нужная и важная, и, более того, айболит - программа бесплатная.

Реклама платных услуг по очистке от вирусов, к сожалению, в топике запрещена, как бы полезны и нужны эти услуги не были.

С точностью до наоборот.

Шеллы (бекдоры) часто прописывают туда, а потом через них льют доры и т.п.

А чё не 111 или 333?

Отвечать не надо. Ибо бред. Не поможет в 99%.

Права должны быть такими, что бы не мешали норм работе, но в тоже время макс. ограничивали злоумышленика. На разных серверах это по разному.

Про всё остальное в топике уже рассказано (кроме, разве что, ссылки на экплоит-дб).

Чисто рекламный пост.

К тому же слабо профессиональный.