WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #1  
Старый 05.08.2013, 21:23
Battle_t Battle_t вне форума
Студент
 
Регистрация: 05.08.2013
Сообщений: 4
По умолчанию как узнать что на сайте вирус?

Вобщем занес яндекс мой сайт в базу небезопасных, хотя видимых причин и не было, открывался как обычно, антивирус не ругался. Так как нечасто такое происходит, нашли не сразу оказалось htacess заражен, но суть не в этом.
Скажите, плиз, как находить такую дрянь, где ее можно увидить просканить? чтоб не ждать когда выкинут из поиска.
Ответить с цитированием
  #2  
Старый 07.08.2013, 21:00
Battle_t Battle_t вне форума
Студент
 
Регистрация: 05.08.2013
Сообщений: 4
По умолчанию

подниму тему.
слишком сложный вопрос задал чтоли?
Ответить с цитированием
  #3  
Старый 07.08.2013, 21:13
Lizavetta Lizavetta вне форума
Студент
 
Регистрация: 03.08.2012
Сообщений: 8
По умолчанию

В .htacess обычно прописывают редирект для смартфонов, следите за его изменением по возможности. Файлы сайта скачивайте к себе на компьютер для проверки антивирусом, или на хостинге проверяйте если такая услуга есть.
Ответить с цитированием
  #4  
Старый 07.08.2013, 21:52
Battle_t Battle_t вне форума
Студент
 
Регистрация: 05.08.2013
Сообщений: 4
По умолчанию

про хтацесс понятно, я теперь за ним слежу и так и этак.. к сож. то что дома стоит не улавливает такие редиректы. а на хостингах выбор не большой доктор вэб и еще 1,5 калеки.

Последний раз редактировалось Battle_t, 07.08.2013 в 22:03
Ответить с цитированием
  #5  
Старый 08.08.2013, 20:57
Lizavetta Lizavetta вне форума
Студент
 
Регистрация: 03.08.2012
Сообщений: 8
По умолчанию

Цитата:
Сообщение от Battle_t
....а на хостингах выбор не большой доктор вэб и еще 1,5 калеки.
Какой из антивирусов лучше, подсказать вам не могу, но выбор как раз есть. Пример хостинга с Касперским https://www.nic.ru/news/2013/hci-regl-ch.html
Наверняка есть еще много других, ищите, сравнивайте.
Ответить с цитированием
  #6  
Старый 08.08.2013, 23:26
Battle_t Battle_t вне форума
Студент
 
Регистрация: 05.08.2013
Сообщений: 4
По умолчанию

ок...спасип. буду иметь ввиду
Ответить с цитированием
  #7  
Старый 15.10.2013, 13:17
Parabellum Parabellum вне форума
Студент
 
Регистрация: 01.10.2013
Сообщений: 1
По умолчанию

Довольно часто добавляют скрипты, которые спамят. Если есть доступ по ssh, то можно зайти под root и запустить поиск из корня аккаунта:
grep -rl 'v3c6e0b8a' ./*
grep -rl 'FilesMan' ./*
grep -rl 'eval(base64_decode' ./*
Помогает выявлять спамящие скрипты. Еще часто добавляют страницы расширения .html со ссылкой на "веселые" сайты. Такие искать только руками, но обычно себя никто не утруждает, поэтому кидают в корень.
А так общий совет, держите CMS последней версии и взлом стремится к нулю.
Ответить с цитированием
  #8  
Старый 29.08.2014, 00:55
ISR ISR вне форума
Студент
 
Регистрация: 26.01.2012
Сообщений: 12
Отправить сообщение для ISR с помощью ICQ
По умолчанию

Превентивные меры

Для того, чтобы максимально обезопасить себя от взлома, желательно придерживаться следующих правил:
1. Своевременно обновлять ПО на сервере;
2. Своевременно обновлять CMS;
3. Своевременно делать резервные копии;
4. Использовать стойкие пароли. Желательно, чтобы пароли, которыми вы пользуетесь, содержали не менее 8 символов, включая цифры и спецсимволы ($%#/*);
5. По возможности, не хранить пароли в открытом виде;
6. Использовать минимально возможные права на доступ к папкам и файлам.

Поиск вирусов

Итак, вы подозреваете, что у вас на сайте вирус. Для начала, стоит выяснить, а так ли это. Полезно будет изучить сайт при помощи, например, Firebug. Если при загрузки сайта/страницы на вкладках сеть или консоль, мы видим подозрительную активность: редирект, загрузка iframe, подгрузка посторонних страниц или файлов — есть повод задуматься. Далее стоит попробовать «скормить» URL вашего сайта онлайн сервисам, таким как antivirus-alarm.ru или vms.drweb.com/online. Они помогут определить наличие на ваших сайтах вредоносного кода. После работы сервисов вам остается лишь посмотреть файлы, которые указаны в выводе. Чаще всего зловредный код прописывается в начало или в конец файла. Итак, онлайн сервис что-то нашел или не нашел, но у вас остаются подозрения, что скрипты инфицированы. Самое время приступить к ручному осмотру.
Поверхностный осмотр.
find /home/user/data/www/site.ru/ -type f -mtime -20
данная команда поможет отыскать файлы сайта site.ru, которые были изменены меньше, чем 20 дней назад. Если вы знаете приблизительную дату заражения, изменяя параметр ключа mtime можно довольно быстро отыскать нужные файлы.
Осмотр лог-файла ftp (/var/log/xferlog, например) также поможет в поиске вирусов, если заражение было осуществленно по ftp.
Tue Jun 19 10:56:38 2012 0 <IP> 16171 /home/user/data/www/site.ru/include/virus.php a _ i r user ftp 0 * c
такая запись говорит нам о том, что в папку include 19 июня по ftp был загружен файл virus.php размером 16кб, пользователем user с ip адресом <IP>. Обращаем внимание на ключ i в записи, который говорит нам, что файл был загружен на сервер.
Также, вероятно, будет полезно осмотреть директории, доступные широкому кругу пользователей. Это такие директории, как uploads, image и д.р. Те, в которые могут писать пользователи сайта.
file /home/user/data/www/site.ru/uploads/* | grep -i php
покажет php файлы в папке uploads, независимо от их расширения. Вряд ли вы позволяете своим посетителям загружать php файлы на сервер. А уж если это php файл, притворяющийся картинкой... Например
file in.jpg
in.jpg: PHP script text
Детальный осмотр.
Допустим, вы ничего не нашли при поверхностном осмотре. Переходим к детальному изучению.
htaccess
Бывает так, что редиректы прописываются в файлы htaccess.
find /home/user/data/www/site.ru/ -type f -iname '*htaccess'
команда поможет вам найти все файлы htaccess для сайта site.ru. Внимательно изучите эти файлы на предмет посторонних перенаправлений.
Php/js код
Вручную вредоносный код можно искать по паттернам. Чаще всего, это либо закодированный в base_64 код, либо обфусцированный по определенному алгоритмому. Имеет смысл искать следующие, наиболее распространенные, паттерны:
FilesMan, try{document.body, String["fromCharCode"], auth_pass, fromCharCode, shell_exec, passthru, system, base64_decode, chmod, passwd, mkdir, eval(str_replace, eval(gzinflate, ="";function, "ev"+"al",md5=,ss+st.fromCharCode, e2aa4e
Поиск вредоносного кода можно осуществлять с помощью команды grep, например
grep -ril base64_decode /home/user/site.ru
покажет все файлы в папке site.ru, в которых встречается base64_decode. Вообще говоря, некоторые из этих функций и переменных могут использоваться в коде на вполне законных основаниях, поэтому, прежде, чем удалять или чистить файл, убедитесь, что это именно вредоносный код. Также, перед удалением, рекомендую сделать резервную копию сайта.
Если вы нашли вредоносный код на сайте, не спешите править файл. Вначале посмотрите на него с помощью команды stat
stat infected.js
В выводе вы увидите дату последнего доступа, модификации и изменения атрибутов файла. Это может помочь установить время и дату взлома. По этим датам можно поискать файлы и события в логах, как это показано вначале статьи.
Для того, чтобы удалить вредоносный код из файла, может использоваться следующая конструкция
sed -i "" 's/начало_паттерна.*конец_патт ерна//g' infected.js
например, код @preg_replace («\x40\50\x2e\53\x29\100\x69\145»,"\x65\166\x61\ 154\x28\142\x61\163\x65\66\x34 удалиться с помощью команды
sed -i "" 's/@preg.*34//g' infected.js
Помните, что перечисленные действия не дают гарантии полной очистки ваших скриптов!!! Если сомнения еще остались, лучше восстановить ближайшую резервную копию.
Действия после очистки

После завершения чистки ваших скриптов желательно сделать следующее:
- сменить пароли доступа к вашему серверу;
- обновить CMS, которую вы используете и все сопутствующее ПО (плагины, модули);
- сделать чистую резервную копию сайта.
Эти действия снизят вероятность последующего взлома и уберегут от потери данных.
__________________
Низкие цены на мощные KVM/OVZ SSD виртуальные сервера! Все включено!
interserver.ru
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 22:17.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot