Ответ
Дорогая экономия Опции темы
Старый 15.03.2012, 12:21
  #1
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,376

Дорогая экономия
Каждому человеку свойственно чувство халявы. И, зачастую, при создании сайта возникает вопрос- зачем мне платить за нормальный дизайн, если можно скопировать из инета кучу бесплатных шаблонов. Сказано - сделано. Скопировал, установил ЦМС сам или попросил школьника Васю, который за 100ре поменял логотип у шаблона. Все сайт работает!

Заполняем контентом и ждем доход. но в один прекрасный день весь ваш честно заработанный трафф начинает уходить на левый сайт о_О. Что за нахер говорите вы и бежите к Васе, который ставил ЦМС-ку. Но тот конечно ничего не знает, Или сделает вид что знает, поковыряется в коде и все. Вы ищете кого-то кто сможет исправить ситуацию, теряя при этом потенциальный доход и посетителей.

Ситуация неприятная, скажу я вам. Как от этого обезопасится? Обязательно покупать шаблон? НЕТ! Просто потратить 15 минут перед тем как заливать незнакомые файлы на хостинг. Прежде всего у любого шаблона есть свой минимальный набор файлов - посмотрите у шаблонов которые идут в стоковом варианте к ЦМС и сравните с количеством файлов которые вам предлагают установить.

Очень часто скрипт редиректа устанавливается внизу страницы, т.е. его прикручивают или в footer.php или внизу index.php. Людой javascript в эти местах должен вызвать подозрение.

Прогоните скачаній шаблон антивиром - на всякий пожарный. Вполне возможно что где-то внутри js файлов сидит тихонько троян и ждет своего времени. Ведь не обязательно взлом должен произойти сразу после установки - это может начаться и через полгода после установки, и через год и через 15 минут.

Вроде все хорошо, переходим к следующему шагу - запускаем любой файловый менеджер, и ищем файлы в которых содержатся фразы
eval, system, exec, passthru
Если находим, то втройне задумываемся про необходимость такого шаблона и просим кого-то кто понимает в php посмотреть что это за код. ТАк как это может быть как безобидный обработчик картинок, так и дырявый скрипт или вообще сам shell зашитый в коде шаблона. И установив его вы просто открываете двери к своему сайту.

Посмотрели, разобрались. Хорошо. Если набор файлов похож на стандартный, подозрительных команд в коде нету, заливаем и радуемся сохраненным деньгам, если же такое есть - три раза думаем перед тем как залить на сервер.

И еще - если вы нашли подозрительные файлы, которых в стандартном наборе нету - поинтересуетесь у гуггла что это зай файлы. Например хороший файлик timthumb.php, которым пользуется большая часть сайтов - большая дырища в защите вашего сайта. Конечно имеется патч к нему, но где гарантия что в халявном шаблона стоит именно пропатченный файл?

Нету такой гарантии!

Ну и наконец что делать если вас всетаки сломали и траф идет стороной? Во первых сразу жеубираем с сервера свой шаблон нестандартный - не удаляем а просто убираем на свой комп для тщательноо анализа, потом ищем все файлы которые были созданы в последние n дней, когда начался хаос.

НО! не вариант что вы их найдете, потому что очень часто таким файлам дают названия похожие на стандартные (например у WordPressa начало с wp-) и дату создания маскируют, так что ищете сравнивая с эталоном, который должен быть у вас на компе или качаете дистрибутив чистой цмс, и сравниваете. Учтите чем больше плагинов установлено - тем тяжелее искать будет.

Поискали левые файлы, и будем считать что нашли, но не радуемся, так как они лишь продукт жизнедеятельности, надо еще найти саму дыру через которую были они залиты (созданы). Дырой может быть , как я уже говорил, шаблон или дырявый плагин. Поэту читаем про этот плагин спросив у гугла "плагин бла-бла-бла, уязвимость". Если не находим - значит он более-менее чистый. Если находи м- нах над надо такой шаблон?...

Итак, просмотрели файлы шаблона или шаблонов если такие есть вокомплекте на добавление левых кодов в конце, надо взглянуть еще на один довольно важный файл - .htaccess зачастую сюда пишуться правила для редиректа ваших посетителей, для разрешения выполнения текстовых файлов или даже картинок как php файлов (а потом просто переименовав файл в vasya.jpg заливать и выполнять любой код на вашем серваке). Удаляем левый строки, и радуемся вернувшейся аудитории... и вдруг - херась, та же история

Оказывается забыли поменять пароли на фтп, админку хостинга и админку сайта... Значит все по новой начинать, ведь устранив дыру и не поменяв пароль - вы просто выгнали вора, но дверь не закрыли а оставили открытой. Ну и не забываем сообщить хостеру о вашем взломе.

Конечно, я слишком сгустил краски, но ситуация вполне реальна. Будьте внимательны и думайте что льете на свой сервер. ведь 90% взломов сайтов, неважно какой сложности это собственноручно залитый дырявый скрипт.

Удачи и процветания!
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 15.03.2012, 19:06
  #2
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,376

Вспомнил еще одну маленькую уловку, которую уже лет пять использую на своих сайтах). Так как все мы не без греха, и можем допускать ошибки, решил я делать себе информирование на мыло о всех измененных файлах на хостинге за сутки. Как это делается -
Заходим в крон на вашем хостинге и создаем новое правило. Я лично поставил его на 23:55 каждого дня.
вот что надо выполнять

/usr/bin/find /home/bla-bla-bla/domains/bla-bla-bla.com/public_html -mtime 0 | grep -v "/home/bla-bla-bla/domains/bla-bla-bla.com/public_html/engine/cache" | mail -s "Report" mymail@gmail.com >/dev/null 2>&1
Что это за строчки? Итак - делаем поиск
/usr/bin/find
P.S. Чуть не забыл - уточните у своего хостера абсолютные пути , а то они иногда отличаются

в папке
/home/bla-bla-bla/domains/bla-bla-bla.com/public_html -mtime 0 |
(деталей синтаксиса не скажу, так как уже не помню. если заинтересует - можете погуглить сами, но раз в сутки работает)

Добавляем исключение в папке где НЕ ХОТИМ проверять файлы (если вдруг захотите)
grep -v "/home/bla-bla-bla/domains/bla-bla-bla.com/public_html/engine/cache" |
Ну и отправляем отчет на свое мыло
mail -s "Report" mymail@gmail.com >/dev/null 2>&1
И, поверьте на слово, после такого отчета спим спокойно. любое изменение или добавление файла будет вам показано
в таком виде
/home/bla-bla-bla/domains/bla-bla-bla.com/public_html/
/home/bla-bla-bla/domains/bla-bla-bla.com/public_html/mydir/kakayto-fail.html
/home/bla-bla-bla/domains/bla-bla-bla.com/public_html/papka/
P.S. чуть не забыл - уточните у хостера абсолютные пути, а то они иногда отличаются. После того как сделали - запустите вручную, чтоб проверить работает ли. Если все ок, то вы получите пустое письмо, залейте или сделайте изменение на хостинге, и запустите снова - вам должно прийти письмо с с указанными изменениями
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 15.03.2012, 20:36
  #3
Bosmer
 
Регистрация: 07.04.2011
Сообщений: 221

Матрос, спасибо за статью. теперь буду умнее) Вот только вчера матрос вылечил мой сайт от подобной проблемы. Весь траф уходил на левый сайт, благо, сработано было все быстро. Всем советую не экономить на обслуживании сайта, если вы в этом не разбираетесь и не хотите разбираться. Как раз причиной моего заражения был дырявый шаблон для WP.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 15.03.2012, 20:36
  #4
Bunny
 
Аватар для Bunny
Регистрация: 31.07.2011
Сообщений: 166

Интересные статьи. Пиши больше на такие темы.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 15.03.2012, 22:32
  #5
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,376

Спасибо за теплые отзывы, не думал что эта тема будет интересна.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 15.03.2012, 23:05
  #6
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,376

И напоследок к безопасности можно отнести такой шаг - если, не дай Бог, вы заметили ненужную активность - запоминаете название файла который менялся, заходите по ФТП на свой аккаунт (тут способов много, но я бы советовал использовать старый добрый Far manager, так как с него точно не стянут ваши данные и не отследят его), и смотрите время изменения файла. Дальше переходите в папку Logs в корне вашего аккаунта, и увидите там много файлов, среди которых будет vash_domen.com.access.log. Открываете его и ищете время в которое изменялся ваш файл и его имя. Как правило вам откроется строчка типа

XXX.XXX.XXX.XXX - - [15/Mar/2012:00:54:14 +0200] "GET /bla-bla-bla/путь к вашему файлу HTTP/1.0" .....
Что она нам даст - самое нужное это первая величина - IP из которого все это делалось. Имея его вы можете поиском в этом же файле поискать что еще делалось с этого адреса, и сообщить его службе поддержки хостера с просьбой отследить были ли фтп авторизации с него (будем знать зашел злоумышленник имея логин и пароль на ФТП или использовал дыру, и соответственнно если зашел по ФТП то меняем пароли и ищем троян на компе, или если только через дыру, то делаем все что я отписал в первом посте).

Кроме того имея этот IP вы можете попросить службу поддержки запретить доступ с него или вообще со всей этой подсети.

Конечно от серьезных атак это не спасет, но от мелких проделок, которые делают редиректы или заражают ваши файлы троянами уберегут наверняка. ДА, и еще если случай взлома имел место, вы его успешно ликвидировали, то стоит скачать весь сайт на локальный комп и прогнать антивирусом (особенно это касается js файлов).

На этом у меня все по защите сайтов от взлома. Если у кого-то есть свои заметки или случаи обороны - пишите, пожалуйста.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 16.03.2012, 05:23
  #7
creativius
 
Регистрация: 20.12.2011
Сообщений: 1,080

Плюсанул. Насчет обороны, то лучшая защита - это нападение, поэтому надо самому учится кулцхакерству или иметь хорошего знакомого для этих целей.
Матрос - красава
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 16.03.2012, 11:49
  #8
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,376

creativius, спасибо . Насчет того что лучшая оборона это нападения - согласен на все 100%. Именно поэтому когда учился защищать, пришлось сначала искать пути для атаки. Так что и сейчас советую при защите чего-либо, сначала поищите варианта нападения. т.е. устанавливая СМЦ-ку надо спросить у гугла не только "как защитить ХХХ от взлома" но и "как взломать ХХХ" - и имею на руках все карты - можно действовать или самому, или попросить того кто разбирается
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.07.2012, 23:33
  #9
kamakama
 
Регистрация: 04.07.2012
Сообщений: 10

Заходим на ачат и находим в поиске уязвимости, sql inj, бэкдоры почти под любой двиг любой версии. Так что выход один - или учить языки программирования и самому латать "дыры" или заказывать это у опытных людей.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием

Ответ
 
 

Метки
мануал


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 23:26. Часовой пояс GMT +3.