X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

5 страниц V   1 2 3 4 5 >
Открыть тему
Тема закрыта
> Давайте вместе лечить свои сайты
Brodyaga
Brodyaga
Topic Starter сообщение 17.1.2013, 1:03; Ответить: Brodyaga
Сообщение #1


Участник
***

Группа: User
Сообщений: 244
Регистрация: 24.12.2010
Из: Прекрасного далека
Поблагодарили: 34 раза
Репутация:   8  


В последнее время листая темы на разных форумах, заметил что идет какая то волна взломов сайтов.
С вероятностью в 99% ваши сайты ломают школьники, которые не хотят работать и пытаются нажиться на честных вебмастерах.
Давайте вместе разбираться с данной волной взломов и закрывать наконец дырки в чудо скриптах.
В своем время когда я использовал популярные системы управления контентом, очень часто приходилось сталкиваться со взломами сайтов, размещали ссылки, заливали шеллы, крали базу данных с уник контентом или попросту сносили ее, как говорится, чем бы дитя не тешилось...

Хочу немного описать некий порядок действий которые помогут вам хоть как то разобраться и понять порядок взлома.
Обычно, взломам подвергаются забытые сайты или же сайты которыми редко кто занимается, все же если видно что за сайтом следят, вряд ли кто то его будет ломать, если только ради своего самолюбия и чисто похвастаться перед своими дружбанами сидящими на соседней парте.

Обычно, поняв принцип взлома, а именно как и через что попали к вам на сервер (речь не идет о зараженных ПК или же обычным дарением паролей) дает залатать дыру в скрипте, на самом деле это очень и очень кропотливая работа по выявлению хода действий хакера, на которые обычно отвечает лог вашего аппача, в логе показаны обращения к сервере, среди которых есть однотипные, возможно длинные ссылки обращений к серверу. Чем больше вы медлите по выявлению бреши, тем сложнее вам будет найти ее корни.

Тем не менее чтобы вам проще было убирать лишний код со страниц своего сайта, а так же лишние файлы или же узнать какие файлы были изменены или же удалены я рекомендую вам поставить чекер файлов , к примеру FileChecker.
Как он работает, его работа очень проста и должна быть понятна рядовому пользователю, тем более что все работу он делает сам. FileChecker запускается кроном, так же в любое время вы можете запустить его непосредственно перейдя по адресу системного файла. Загрузив файл в директорию вашего сайта и запланировав крон задание FileChecker приступит к слежению за вашими файлами:

1. Первое срабатывание по крону, FileChecker создает лог файл в котором хранит всю подноготную о всех ваших файла
2. Второе обращение к файлу FileChecker отправляет на ваш эмаил информацию о изменениях в директории сайта

Его информация содержит следующее.
1. Предоставляет список новых файлов, которых не было в ходе первой проверки директории
2. Предоставляет список измененных файлов на сервере (на тот случай если какой то из файлов правился)
3. Список удаленных файлов с сервера

Тем самым FileChecker поможет вам понять какие именно файлы добавились и какие новые файлы появились, вы сможет быстро изменить или же удалить ненужные файлы.

Так же, если у вас нет FileChecker и вас уже посетила напасть, выявить новые файлы, а так же файлы которые были отредактированы (перезалиты) вам поможет обычный FTP клиент, я пользуюсь Filezia, вы можете посмотреть время последней перезаписи файла или же время добавления нового файла. Конечно же это нудное и кропотливое занятие, но от этого никуда не денешься.

Восстанавливать сайты из бэкапа во многих случаях неразумно, так как вы попросту затираете следы и вновь даете хакеру воспользоваться чудо дырочкой в коде.
Лучше постарайтесь выяснить какие файлы были отредактированы и какие появились новые.

Если вы используете популярные системы управления сайтами, такие как нулевые версии DLE напичканные чудо модулями с красивыми, ненужными плюшками, то наверника сталкивались с данной проблемой. И со сложностью ее устранения. Я лично давно уже отказался от популярных скриптов, а тем более от нулевых скриптов, так как чем популярнее скрипт, тем больше спрос на выявление бреши в скрипте, ну а нулевые зачастую уже содержат код которые и позволяет хакерам делать с вашим сайтом то что ему захочется.

Наверное со времен развития скрипта DLE, менялись в ней только дырки, но поведения хакера оставалось одним и тем же, я не знаю, может фантазии у них не хватает или же возможностей, но что не сайт то все одно и тоже или приблизительно одно и тоже. Я сталкивался не скажу что со взломом, а вобщем то с дырявым загрузчиком, через который мне и грузили шелл, это было давно, но не думаю что, что то изменилось, так как все шеллы находятся практически в одном и тоже месте
/uploads/
/uploads/post/
/uploads/foto/
/engine/

Файлы могут содержать разные названия, даже например user.php, наверное это бомба со времен каменного века, так как сколько не приходилось видеть шеллы они обычно их так и называли shell.php иногда даже с версией шелла facepalm.gif

Я хочу предложить в данной теме помогать пострадавшим в выявлении заразы, а так же пытаться отыскать бреши в скриптах. Думаю любая информация по теме будет полезна любому из нас.


Поблагодарили: (4)
9
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Volandmax
Volandmax
сообщение 17.1.2013, 1:10; Ответить: Volandmax
Сообщение #2


Частый гость
**

Группа: User
Сообщений: 64
Регистрация: 29.11.2011
Из: Москва
Поблагодарили: 14 раз
Репутация:   2  


Пост конечно интересный и большое спасибо за него, но думаю не особо полезен именно в той ситуации, которую Вы описали.
Сейчас идет взлом не всех сайтов подряд, а именно ДЛЕ, при чем 90 процентов-всем известная но уже залатанная дырка. Просто кто то не серьезно относится к своему сайту и ему лень зайти на сайт разработчиков и скачать последний патч. Тем более после выхода такового обычно трубят на всех мало мальски известных форумах.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
install
install
сообщение 17.1.2013, 1:54; Ответить: install
Сообщение #3


Яндекс ЛОХ
*******


Группа: Active User
Сообщений: 3530
Регистрация: 28.5.2009
Из: Нижневартовска
Поблагодарили: 1376 раз
Репутация:   201  


Volandmax, ломают все подряд, не только ДЛЕ.
Недавно Джумлу массово ломанули.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lostprophet
lostprophet
сообщение 17.1.2013, 1:59; Ответить: lostprophet
Сообщение #4


Топовый постер
*******

Группа: Super Moderator
Сообщений: 2565
Регистрация: 18.11.2008
Из: Ростов-на-Дону
Поблагодарили: 3170 раз
Репутация:   292  


Brodyaga, линк на оффсайт данной чудо-программы имеется?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Brodyaga
Brodyaga
Topic Starter сообщение 17.1.2013, 8:31; Ответить: Brodyaga
Сообщение #5


Участник
***

Группа: User
Сообщений: 244
Регистрация: 24.12.2010
Из: Прекрасного далека
Поблагодарили: 34 раза
Репутация:   8  


lostprophet, офф сайта что то не могу найти, юзаю данную версию https://www.google.ru/search?q=FileChecker&...920&bih=955


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Official
Official
сообщение 17.1.2013, 9:23; Ответить: Official
Сообщение #6


пишу помаленьку
******


Группа: Active User
Сообщений: 1691
Регистрация: 25.9.2010
Из: Санкт-Петербург
Поблагодарили: 738 раз
Репутация:   197  


(install @ 17.1.2013, 0:54) *
Volandmax, ломают все подряд, не только ДЛЕ.
Недавно Джумлу массово ломанули.

2 месяца назад мой на ВП сломали. На главную вывесили флаг Азербайджана и эмблему Ислама. Подписались, как "Сyber army Azerbaidjan"=) Сделал бэкап и все ок.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Volandmax
Volandmax
сообщение 17.1.2013, 10:06; Ответить: Volandmax
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 64
Регистрация: 29.11.2011
Из: Москва
Поблагодарили: 14 раз
Репутация:   2  


install,

Ну вообще по сути ломают все подряд, даже сапописы, но вот сейчас волна именно DLE взломов пошла. На всех форумах/сайтах это наблюдаю, и ставят ссылку на statuses.ws ( НЕ ЗАХОДИТЬ, ВИРУС!!!). Я думал Вы как раз об этой волне wink.gif

Official,

Кстати то же помню эту волну, заражали JS файлы. Я помню дня 2 чистил 3 блога dry.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
denum
denum
сообщение 17.1.2013, 11:24; Ответить: denum
Сообщение #8


Частый гость
**

Группа: User
Сообщений: 72
Регистрация: 15.8.2011
Поблагодарили: 21 раз
Репутация:   3  


(Official @ 17.1.2013, 8:23) *
2 месяца назад мой на ВП сломали. На главную вывесили флаг Азербайджана и эмблему Ислама. Подписались, как "Сyber army Azerbaidjan"=) Сделал бэкап и все ок.

Азербайджанские хакеры взломали компьютерный класс в школе и, вынесли все огнетушители...

(Volandmax @ 17.1.2013, 9:06) *
Кстати то же помню эту волну, заражали JS файлы. Я помню дня 2 чистил 3 блога

я написал скрипт, который не плохо справлялся с этой задачей в считанные секунды.
на хабре писал статью, если пригодится - http://habrahabr.ru/post/141710/ и продолжение - http://habrahabr.ru/post/141938/


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Volandmax
Volandmax
сообщение 17.1.2013, 11:34; Ответить: Volandmax
Сообщение #9


Частый гость
**

Группа: User
Сообщений: 64
Регистрация: 29.11.2011
Из: Москва
Поблагодарили: 14 раз
Репутация:   2  


denum,

Так это вы автор статьи? Большое спасибо кстати. Как раз она то меня и навела на поиск нужных файлов, я тогда не знал, что атаке подверглись именно JS.
Скрипт если честно не использовал, чистил ручками, но хотя бы понял где копать goodpost.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
denum
denum
сообщение 17.1.2013, 11:37; Ответить: denum
Сообщение #10


Частый гость
**

Группа: User
Сообщений: 72
Регистрация: 15.8.2011
Поблагодарили: 21 раз
Репутация:   3  


Volandmax, да, автор статьи - я.
Я очень рад, что она помогла многим людям! Читать подобный фидбек о том, что статья помогла не просто очистить сайт от вредоносного кода, но и понять как против этого бороться - это во истину главное удовольствие!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
5 страниц V   1 2 3 4 5 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Требуется почистить сайты от вирусов
6 Mukis 339 10.12.2017, 15:40
автор: qpPeW
Открытая тема (нет новых ответов) Продам сайты в ГГЛ + мира + ротапост
тиц 10-40
22 xline 2465 10.12.2017, 12:55
автор: genjnat
Открытая тема (нет новых ответов) ClickDealer- свои люди на рынке буржа!
8 ClickDealer 1293 8.12.2017, 19:51
автор: ClickDealer
Горячая тема (нет новых ответов) Регистрация Вашего сайта (профиля,DLE сайты,подписи на форумах,постинг Тиц 10> , ПР 1>)
277 kaartes 102563 7.12.2017, 9:55
автор: Tootkin
Открытая тема (нет новых ответов) Хостинг под мелкие adult сайты нужен
10 RMak 1576 6.12.2017, 22:49
автор: RICHHost


 



RSS Текстовая версия Сейчас: 13.12.2017, 21:17
Дизайн