Общая тема о борьбе с шеллами и вирусами на сайте - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 15.02.2013, 19:39   #1
Академик
 
Аватар для 6666
 
Регистрация: 10.01.2005
Адрес: Миколайки
Сообщений: 16,230
Репутация: 1275216

По умолчанию Общая тема о борьбе с шеллами и вирусами на сайте

Еще раз коротко - что делать для защиты ваших сайтов:

1. изоляция сайтов (один сайт - один эккаунт)
2. все директории и файлы cms делаем read-only
3. все директории, в которые производится загрузка файлов или кэширование - делаем read-write и кладем в них волшебный .htaccess, который либо делает

deny from all

либо запрещает вызов php

Options -Indexes
php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

4. на файл с данными БД ставим минимальные возможные права (например, 0400 или 0444)
5. закрываем админку через .htaccess для вашего IP или по кодовому слову (я про это уже писал ранее)
6. удаляем все ненужные плагины и шаблоны
7. обновляем cms и оставшиеся плагины до свежих версий
8. сканируем свой комп на вирусы Касперским и AVZ
9. пользуемся SFTP (SCP) протоколом при работе с сайтом и не храним пароли в клиенте
10. после проверки компьютера на вирусы меняем все пароли у сайта и хостинга (включая пароль от БД). И делаем это раз в два месяца хотя бы.

Вот такие простые, казалось бы, действия избавят вас от кучи геморроя.

Взято отсюда: http://vk.com/siteprotect

Кто в не в курсе, советы этого человека помогли очень многим. Причем бесплатно.

Ссылка на ПО для борьбы с вирусами: http://www.revisium.com/ai/

Убедительная просьба, прежде чем создавать новый топик "взломали сайт, поможите чем можите!" внимательно прочитать все инструкции!

---------- Добавлено 15.02.2013 в 20:43 ----------

+ убедительная просьба: В этом топике делиться только достоверными и действенными способами борьбы с вирусами!
__________________
Каждое мое сообщение проверила и одобрила Елена Летучая.
(c)
Для меня очень важно все что Вы говорите!
.
6666 вне форума   Ответить с цитированием

Реклама
Старый 15.02.2013, 20:07   #2
SEOCondition
Professor
 
Аватар для SEOCondition
 
Регистрация: 03.10.2011
Сообщений: 284
Репутация: 42331

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Заливаем .htaccess в папки uploads и templates (превентивный метод)

1. Вариант первый: создаем .htaccess и прописываем в нем
Код:
php_flag engine  off
2. создаем .htaccess и прописываем в нем

Цитата:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>
Если первый способ не помог (файлы всё ещё исполняются, то попробуйте использовать второй). Если Вы используете хостинг, то может быть отключена настройка из пункта 1.

Совет: стоит разделить управление сайтом на АЦ И Модераторский Центр (есть спец.модуль)
Кроме того, не мешало бы установить ограничение на доступ к таким файлам как admin.php (его стоит переименовать) по ip, если у Вас статика (или маску указать, в противном случае).
Чуть позже дополню пост.
Совет 2: категорически не рекомендуется устанавливать модуль "Запросы к MySQL из админ-панели"
Совет 3: включите безопасный режим в АЦ

P.S: если так случилось, что Вы не имеете лицензии на DLE, как результат, не получаете уведомлений по эл.почте об обнаруженных уязвимостях, подпишитесь на dle-news.ru/bags/, либо можно написать небольшую программку, которая при обновлении страницы будет уведомлять Вас по телефону, либо по эл.почте (у кого на что фантазии хватит).
__________________
Монетизация, продвижение сайтов [личка]
SEOCondition вне форума   Ответить с цитированием
Сказали спасибо:
Старый 15.02.2013, 20:33   #3
Милованов Ю.С
php/mysql/html/etc
 
Аватар для Милованов Ю.С
 
Регистрация: 24.01.2008
Адрес: 127.0.0.1
Сообщений: 1,985
Репутация: 380280
Отправить сообщение для Милованов Ю.С с помощью ICQ Отправить сообщение для Милованов Ю.С с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Спасибо, давно надо было создать. А то задрали. Уже 100500 тем понасоздавали
Пожалуй, тоже внесу свою скромную лепту в общее дело...

1) Как показывают личная практика и наблюдения других людей - в подавляющем большинстве случаев взлом популярных CMSок происходит через плагины/хаки/модули/расширения, которые либо скачены хрен пойми откуда, либо написаны хрен пойми кем.
Мораль: качать CMSки и все что с ними связано только с оффициального сайта.

2) Не храните пароли в файловом менеджере или в браузере. Про браузер вообще забудьте, а вот с файловым менеджером можно сделать так: дописываем в конец пароля какие-нибудь символы(алгоритм можно придумать свой, например 3 любых символа и т.д. Тут все зависит от фантазии), и когда надо заюзать ФТП - просто удаляем эти символы. После завершения работы опять возвращаем на место наши секретные символы.

3) Забудьте про qwerty, 123qwe и прочие пароли с первых строк брут-словаря.
Используйте сложные пароли.

4) Если хотите хранить пароли в текстовом файле, можете делать так(если у Вас винда):
а)Создаем файл, например kernel.dll
б)Правой кнопкой мыши->открыть с помощью->Notepad++, ставим галочку "использовать для всех файлов этого типа".
в)Прячем его, куда Макар телят не пас.
г)Делаем скрытым, системным.
д)Открываем мой компьютер и в адресной строке(где путь указан), прописываем путь до файла, включая файл и тыкаем Enter. Например так: c:\windows\system32\bla-bla-bla\kernel.dll
е)Вуаля. Открывается Notepad++ и мы видим наши пароли

5) Немного соли...
То что Вы прочитаете в топике(не только этот пост, а вообще) - возможно и избавит Вас от X-дневного секаса с вирусами, но есть одно НО... Если Вас будут намерено ломать, то скорее всего сломают. Это в большей степени зависит от желания и навыков взломщика(-ов) и никакие антивирусы Вам не помогут.

Удачи на дорогах
__________________
В продаже игра ВК 820.000 участников.
Милованов Ю.С на форуме   Ответить с цитированием
Сказали спасибо 6 пользователей:
Старый 15.02.2013, 20:41   #4
sdaprel
Аспирант
 
Регистрация: 03.07.2009
Сообщений: 196
Репутация: 33093
Отправить сообщение для sdaprel с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

1. В качестве учетной записи администратора сайта, использовать вместо логина admin (по умолчанию), любой другой.
2. Для учитной записи администратора сайта использовать крипто-стойкие пароли (длинной не менее 8 символов с использованием цыфр и букв в нижнем и верхнем регистре). В качестве пароля не использовать логин, а так же правильные слова на английском языке, русские слова набранные латиницей. Не использовать одинаковые пароли для разных сервисов (админка, почта, твитер, аська и т.д.).
sdaprel вне форума   Ответить с цитированием
Старый 15.02.2013, 20:45   #5
6666
Академик
 
Аватар для 6666
 
Регистрация: 10.01.2005
Адрес: Миколайки
Сообщений: 16,230
Репутация: 1275216

ТопикСтартер Re: Общая тема о борьбе с шеллами и вирусами на сайте

Не храним пароли в агенте ФТП!
*хинт: если совсем лень вбивать их каждый раз, стираем пару первых или последних знаков в пароле и логине и добиваем вручную.
6666 вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 15.02.2013, 20:53   #6
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 15,810
Репутация: 1373250

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Цитата:
Сообщение от Милованов Ю.С Посмотреть сообщение
Используйте сложные пароли.
Придумать незабываемый сложный пароль ОЧЕНЬ легко:
Любую фразу на русском языке пишите в латинской раскладке:
васядурак => dfczlehfr

Лучше, если при этом будут использоваться разные регистры:
ВасилийКруглыйДурень => DfcbkbqRheuksqLehtym

Еще лучше, если будут использованы цифры и др символы. Особенно хорош метод замены "похожих" букв:
В@сёк-Дур@4ок => D@c`r-Leh@4jr


В качестве фразы используйте слова или названия любимой песни, муз. группы, фильма, изречения великих и тд.
Не используйте - свои имя, ники, даты рождения и др информацию доступную о вас в паблике.

Прим. В данных примерах нарочно исключён пробел. Как показала практика - не все сервисы нормально его принимают.
__________________
Ⓦ Не халява, но за бесплатно: хорошие сайты для эксперимента с 2мя протоколами. Первый пошел.
Помощь по Вордпрессу и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 50$ ***

Последний раз редактировалось SeVlad; 15.02.2013 в 21:27..
SeVlad вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 15.02.2013, 20:57   #7
sdaprel
Аспирант
 
Регистрация: 03.07.2009
Сообщений: 196
Репутация: 33093
Отправить сообщение для sdaprel с помощью Skype™

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

прикрепить бы эту темку
sdaprel вне форума   Ответить с цитированием
Старый 15.02.2013, 21:51   #8
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 15,810
Репутация: 1373250

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

Не давайте доступы к админкам, ФТП и ПУ хостинга сходу и кому попало.

Для решения ваших задач в большинстве случаев исполнителю достаточно дать только нужные файлы. При получении проверьте их методом сравнения с исходными - что там добавлено и нет ли подозрительных вставок.

Если всё же нужно дать доступ - постарайтесь по максимум "пробить" надежность и квалификацию этого человека. Если это на форуме - почитайте его посты, посмотрите за что его "спасибнули" и тп.

После того, как кто-то поработал у вас на сайте\фтп\етс - тут же смените пароли! (Желательно сменить их и ДО того, как кому-то давать. Наверняка ж вы их и в других местах используете )



===Немного не про сайтовую безопасность, но где-то рядом ====
НИКОГДА не ведитесь в аське\скайпе\мыле\и тд на предложения типа "я тот-то с форума..".
Если кто-то на форуме оказывает вам помощь и речь приближается к оплате - вначале пообщайтесь через личку форума и там(!) обменяйтесь контактами.
Много мошейников мониторят форумы и представляются теми, кто реально помогает.
Примеры: раз, два, три (см 5 пост) и ещё масса подобных топиков не только на сёрче.
Если же вам маякнули с предложением помочь по вашему вопросу, то прежде чем ему отвечать - загуглите номерок\мыло\етс.
SeVlad вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 15.02.2013, 22:10   #9
iren K
Академик
 
Регистрация: 28.12.2008
Сообщений: 2,865
Репутация: 288407

По умолчанию Re: Общая тема о борьбе с шеллами и вирусами на сайте

внесу свои пять копеек
- по ftp рекомендую подключаться только через ssh (sftp)
- в корень советую залить .ftpaccess с содержимым:
<Limit WRITE>
DenyAll
</Limit>
- все индексные/конфигурационные и т.п. файлы закрыть для записи (cmod 444)
- если не используете cgi скрипты - закрыть папки cgi-bin для доступа (0444), также рекомендую постоянно мониторить просматривать temp,logs и т.п. директории
__________________
c уважением Iren
iren K вне форума   Ответить с цитированием
Сказали спасибо:
Старый 15.02.2013, 22:34   #10
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 15,810
Репутация: 1373250

По умолчанию Краткая метода поиска нечисти

Если на вашем сайте обнаружены вирусы\доры\редиректы и пр зараза:

1. Проверяем файлы .htacсess и index.php. В начале в корне сайта, потом во всех подкаталогах.
2. Проверяем яваскрипты.
3. Если пп1-2 не дали результатов - ищем по всем файлам.

Первый инструмент, который может помочь обнаружить заразу на сервере - айболит.
Кроме того стоит освоить программы для массового поиска текста в файлах (под видной и тоталкомандир справляется не плохо)

Найденные подозрительные коды\тексты желательно спросить у гуглояндексов - они могут рассказть много интересного

Нашли-почистили-исправили - хорошо. Но мало. Главное - найти причину появления заразы.
А это может быть что угодно - от дырок в дополнениях к движкам (сами движки в основной массе нормальные) - плагинах, модулях, шаблонах\темах и до соседей по хостингу: у некоторых хостеров существуют дыры, через которые можно залить шел на все аккаунты юзеров.

Отчасти могут помочь выявить источник проникновения - логи хостера.
SeVlad вне форума   Ответить с цитированием
Сказали спасибо:
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 21:03. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны