JavaScripts maliciosos. Cómo buscar código malicioso sin antivirus ni escáneres. Problemas más comunes

El código malicioso ingresa al sitio por negligencia o mala intención. El propósito del código malicioso es diferente, pero, en esencia, daña o interfiere con operación normal sitio. Para llevar código malicioso en WordPress, primero debe encontrarlo.

¿Qué es el código malicioso en un sitio de WordPress?

Por apariencia, más a menudo, el código malicioso es un conjunto de letras y símbolos del alfabeto latino. De hecho, este es un código encriptado mediante el cual se realiza una u otra acción. Las acciones pueden ser muy diferentes, por ejemplo, sus nuevas publicaciones se publican inmediatamente en un recurso de terceros. En esencia, esto es el robo de su contenido. Los códigos también tienen otras "tareas", por ejemplo, colocar enlaces salientes en las páginas del sitio. Las tareas pueden ser las más sofisticadas, pero una cosa está clara: es necesario buscar y eliminar los códigos maliciosos.

Cómo llegan los códigos maliciosos al sitio

También hay muchas lagunas para obtener códigos para el sitio.

En la mayoría de los casos, estos son temas y complementos descargados de los recursos "izquierdos". Aunque tal penetración es típica de los llamados enlaces encriptados. El código explícito no llega al sitio.
La penetración de un virus cuando se piratea un sitio es la más peligrosa. Como regla general, piratear un sitio le permite colocar no solo un "código de un solo uso", sino también instalar un código con elementos de malware (programa malicioso). Por ejemplo, encuentra un código, lo elimina y se restaura después de un tiempo. Una vez más, hay muchas opciones.

Debo decir de inmediato que la lucha contra tales virus es difícil, y extracción manual requiere conocimiento. Hay tres soluciones al problema: primera decisión- use complementos antivirus, por ejemplo, un complemento llamado BulletProof Security.

Esta solución da buenos resultados, pero lleva tiempo, aunque sea un poco. Hay una solución más radical, deshacerse de los códigos maliciosos, incluidos los virus complejos, es restaurar el sitio a partir de copias de seguridad prefabricadas del sitio.

Dado que un buen webmaster lo hace periódicamente, será posible volver a una versión no infectada sin ningún problema. Tercera decisión para los ricos y los perezosos, simplemente comuníquese con una "oficina" especializada o un especialista individual.

Cómo encontrar código malicioso en WordPress

Es importante comprender que el código malicioso de WordPress puede estar en cualquier archivo del sitio y no necesariamente en el tema de trabajo. Se puede traer con un plugin, con un tema, con código "casero" sacado de Internet. Hay varias formas de intentar encontrar código malicioso.

Método 1. A mano. Desplácese por todos los archivos del sitio y compárelos con los archivos de una copia de seguridad no infectada. Encuentre el código de otra persona: elimínelo.

Método 2. Con complementos de seguridad de WordPress. Por ejemplo, . Este complemento tiene una gran función, escanear los archivos del sitio en busca de la presencia del código de otra persona, y el complemento hace un gran trabajo con esta tarea.

Método 3. Si tiene un soporte de alojamiento razonable y le parece que el sitio es "extranjero", pídales que analicen su sitio con su antivirus. Su informe enumerará todos los archivos infectados. A continuación, abra estos archivos en editor de texto y eliminar el código malicioso.

Método 4. Si puede trabajar con acceso SSH al directorio del sitio, adelante, hay una cocina.

¡Importante! Independientemente de cómo busque el código malicioso, antes de buscar y luego eliminar el código, bloquee el acceso a los archivos del sitio (habilite el modo de mantenimiento). Recuerde los códigos que se restauran cuando se eliminan.

Búsqueda de códigos maliciosos por la función eval

Hay algo como esto en php función de evaluación . Te permite ejecutar cualquier código en su línea. Además, el código se puede codificar. Debido a la codificación, el código malicioso parece un conjunto de letras y símbolos. Hay dos codificaciones populares:

base64;
Rot13.

En consecuencia, en estas codificaciones, la función eval se ve así:

eval(base64_decode(...))
eval (str_rot13 (...)) //entre comillas internas, conjuntos largos e incomprensibles de letras y símbolos..

El algoritmo de búsqueda de código malicioso por la función eval es el siguiente (trabajamos desde el panel de administración):

vaya al editor del sitio (Apariencia→Editor).
copie el archivo functions.php.
ábralo en un editor de texto (por ejemplo, Notepad++) y busque la palabra: evaluar.
si lo encuentra, no se apresure a eliminar nada. Es necesario entender lo que esta función "pide" ejecutar. Para entender esto, el código necesita ser decodificado. Para decodificar es herramientas en línea llamados decodificadores.

Decodificadores/codificadores

Los decodificadores funcionan de forma sencilla. Copie el código a descifrar, péguelo en el campo del decodificador y decodifique.

En el momento de escribir este artículo, no he encontrado ningún código cifrado en WordPress. Encontré el código del sitio de Joomla. En principio, no hay diferencia para entender la decodificación. Miramos la foto.

Como puede ver en la foto, la función eval, después de la decodificación, no mostró un código terrible que amenaza la seguridad del sitio, pero enlace de derechos de autor encriptado, el autor de la plantilla. También puede eliminarlo, pero volverá después de actualizar la plantilla si no usa .

En conclusión, anotaré para no tener un virus en el sitio:

El código malicioso en WordPress a menudo viene con temas y complementos. Por lo tanto, no instale plantillas y complementos de "izquierda", recursos no verificados, y si los instala, bombéelos con cuidado para detectar la presencia de enlaces y funciones ejecutivas de php. Después de instalar complementos y temas de recursos "ilegales", verifique el sitio con antivirus.
Asegúrese de hacer copias de seguridad periódicas y realizar otras.

JavaScript malicioso

Mi opinión, que consiste en que es más fácil y efectivo protegerse contra los scripts de navegación maliciosos (ataques XSS almacenados) por medio de los navegadores, fue expresada anteriormente: . Se supone que la protección del navegador contra JavaScript, que consiste en agregar un código de filtrado a las páginas html del sitio, es confiable; sin embargo, la presencia de dicha protección no elimina la necesidad de usar también un filtro del lado del servidor. Contra los mismos ataques XSS en el servidor, puede organizar una línea de defensa adicional. También debemos recordar acerca de la posibilidad de que un atacante inyecte en el mensaje html enviado desde el sitio, no el navegador, sino scripts del servidor (php), al reconocer que el navegador no será fuerte.

Un script de ataque, ya sea un script de navegador o un script de servidor, es un programa, y uno debe pensar que el programa siempre tendrá algunas diferencias simbólicas con el html "puro". Intentemos encontrar tales diferencias y usarlas para construir un filtro html en el servidor. A continuación se muestran ejemplos de JavaScript malicioso.

XS:

algún texto

XSS encriptado:

algún texto

Los navegadores restauran el texto de los caracteres primitivos no solo dentro de los contenedores html (entre las etiquetas de apertura y cierre), sino también dentro de las propias etiquetas (entre< и >). La codificación de URL está permitida en las direcciones http. Esto complica el reconocimiento de código malicioso del lado del servidor, ya que la misma secuencia de caracteres se puede representar de diferentes formas.

Gusanos XSS:

"+innerHTML.slice(acción= (método="post")+".php",155)))">

"].join(""); with(new XMLHttpRequest)open("POST","post.php"),send(c);alert("XSS")"></p> <br><p><form><input name="content"><iframe onload="i=parentNode;i.action=(i.method="post")+".php"; i.value="<formulario>"+i.innerHTML;i.submit(alert("XSS"))">!}</p> <br><p><b><iframe onload="with(new XMLHttpRequest)open("POST","post.php"), setRequestHeader("content-type","application/x-www-form-urlencoded"),send("content= "+parentNode.innerHTML.bold(alert("XSS")))"></b></p> <br><p><script id=_> alert("xss");with(new XMLHttpRequest)open("POST","post.php"),send("content="+_.outerHTML) </script></p> <p>Los gusanos XSS anteriores son solo algunos de los muchos presentados a la competencia de enero de 2008 de Robert Hansen (también conocido como RSnake) para el gusano de JavaScript malicioso más pequeño (más corto) (resultados de la competencia).</p> <h3><b>Signos de ataques XSS</b></h3> <p>Un script XSS es un programa que accede a objetos DOM ( <a href="https://neonkaraoke.ru/es/rates/vyrazitelnyi-javascript-document-object-model-obektnaya-model-dokumenta-chto/">objeto de documento</a> Modelo) y sus métodos. Cualquier otra cosa es poco probable que sea dañina. Por ejemplo, la cadena JavaScript <br><b>onckick="var a = "xss""</b> <br>no afecta el modelo de objeto del documento, por lo que incluso si está incrustado en una etiqueta html, dicha línea es inofensiva. Solo al manipular los objetos del documento html y sus métodos, un pirata informático puede causar un daño significativo al sitio. Por ejemplo, la línea <br><b>onmousemove="document.getElementsByTagName("cuerpo").innerHTML="XSS""</b> <br>ya reemplaza el contenido de la página.</p> <p>El distintivo de llamada del método DOM está entre paréntesis, también puntos a la izquierda del signo igual. Los paréntesis también se pueden usar en html: para establecer el color en el formato <b>rgb()</b>, sin embargo, los colores de fuente y de fondo en html se establecen en al menos tres formas más. Por lo tanto, se pueden sacrificar los paréntesis sin comprometer la expresividad del texto html. Debe aceptarse como regla que los paréntesis dentro de una etiqueta (es decir, entre< и >) - esto es muy peligroso, si recibimos un mensaje del usuario en el servidor, se encuentran corchetes dentro de las etiquetas en este mensaje, entonces lo más apropiado que debemos hacer es bloquear dicho mensaje.</p> <p>El punto puede estar contenido en etiquetas html: al especificar la dirección del enlace (etiqueta <b><A> </b>); al configurar el tamaño de los elementos html ( <b>estilo = "altura: 1,5 pulgadas; ancho: 2,5 pulgadas;"</b>). Pero las secuencias de caracteres de la forma <br><b>punto letras es igual</b> <br>no puede estar en etiquetas html. Si hay una secuencia específica dentro de la etiqueta html, el mensaje del usuario, con una alta probabilidad, contiene un script y debe bloquearse.</p> <p>Otro signo evidente de peligro es el símbolo " <b>+ </b>" dentro de la etiqueta. No existe tal cosa en html sin secuencias de comandos. Si se encuentran ventajas dentro de las etiquetas, bloqueamos el mensaje sin piedad.</p> <p>Para el cifrado con primitivos de caracteres dentro de las etiquetas html, un usuario del sitio bien intencionado que agrega un comentario a través de <a href="https://neonkaraoke.ru/es/internet/chto-delat-esli-ne-rabotaet-vizualnyi-redaktor-ne-rabotaet-vizualnyi/">editor visual</a>, nunca vendrá corriendo. El uso de primitivas simbólicas en etiquetas no proporciona ningún beneficio en forma de medios expresivos adicionales, solo requiere tiempo de escritura adicional. En la mayoría de los casos, uno debe pensar, un usuario bien intencionado ni siquiera sabe que hay algunos caracteres primitivos en html. De ahí la regla: el ampersand dentro de la etiqueta es prueba de un ataque al sitio. En consecuencia, si vemos esto, bloqueamos el mensaje.</p> <p>Debe adoptarse una regla similar para el símbolo " <b>% </b>", que se puede usar en la codificación de URL. Sin embargo, los porcentajes también se usan en html "puro" para establecer los tamaños relativos de los elementos. Combinaciones en las que " <b>% </b>" va seguido inmediatamente de una letra o un número.</p> <h3><b>Desarmar secuencias de comandos del servidor</b></h3> <p>A diferencia de los intérpretes de JavaScript en los navegadores, el intérprete de php en el servidor no se toma libertades al escribir el texto del programa. Por lo tanto, para neutralizar un posible script de servidor, basta con hacer un reemplazo completo en el mensaje html del usuario de todos los caracteres que son esenciales al escribir un programa php con sus primitivas html. En primer lugar, los signos de dólar y el guión bajo, el punto, los corchetes, los corchetes y los corchetes, los signos más y menos, la barra invertida están sujetos a reemplazo.</p> <h3><b>Filtro PHP para mensajes HTML</b></h3> <p>$message es el mensaje html recibido del editor visual al servidor.</p> <p>// recordar la longitud del mensaje</span>$lensaje = strlen($mensaje); <span>// corta la etiqueta del comentario</span>$mensaje = preg_replace("//", "", $mensaje); <span>// quitar cada etiqueta donde el atributo "src" se refiere a un recurso externo</span>$mensaje = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $mensaje); <span>// corta todas las etiquetas que tengan cualquier carácter excepto: - a-z 0-9 / . : ; " = % # espacio</span>$mensaje = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $mensaje); <span>// quitar cada etiqueta que tenga la secuencia ". a-z ="</span>$mensaje = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $mensaje); <span>// corta cada etiqueta que tenga la secuencia "%a-z" o "%0-9"</span>$mensaje = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $mensaje); <span>// quitar cada etiqueta que contenga la secuencia "script" o "js:"</span>$mensaje = preg_replace("/<[^>]*?script[^>]*?>/i", "", $mensaje); $mensaje = preg_replace("/<[^>]*?js:[^>]*?>/i", "", $mensaje); <span>// elimina todas las etiquetas que comienzan con un carácter que no sea "a-z" o "/"</span>$mensaje = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $mensaje); <span>// verifique: si el mensaje se acorta, termine el programa</span>$mensaje2 = strlen($mensaje); if ($lenmensaje != $lenmensaje2) ( imprime "No se pudo agregar el mensaje"; exit; ) <span>// hacer un reemplazo completo de símbolos peligrosos con sus correspondientes primitivas</span>$mensaje = str_replace("$", "$", $mensaje); $mensaje = str_replace("_", "_", $mensaje); $mensaje = str_replace(".", ".", $mensaje); $mensaje = str_replace(chr(92), "\", $mensaje); // \ $mensaje = str_replace("(", "(", $mensaje); $mensaje = str_replace(")", ")", $mensaje); $mensaje = str_replace("[", "[", $mensaje); $mensaje = str_replace("]", "]", $mensaje); $mensaje = str_replace("(", "(", $mensaje); $mensaje = str_replace(")", ")", $mensaje); $mensaje = str_replace("?", "?", $mensaje); <span>// ahora el mensaje ha sido revisado, los scripts en él se han vuelto inofensivos</p> <p>Tenga en cuenta que el filtro no elimina las etiquetas emparejadas. digamos que tenemos <br><b><DIV onclick="alert("XSS")">¡haga clic aquí!</DIV> </b> <br>El filtro solo cortará <b><DIV onclick="alert("XSS")"> </b>, pero la etiqueta emparejada (de cierre) <b></DIV> </b> permanecerá Si envía mensajes que tienen etiquetas sin sus pares correspondientes al navegador, es posible que se produzca una molestia en forma de un sitio "sesgado". Después de todo, no se sabe con qué etiqueta de apertura el navegador coincidirá con la etiqueta de cierre que queda sin un par. Por lo tanto, y también por razones de seguridad, los mensajes en los que el filtro elimina algo no deben enviarse al navegador en absoluto. Es mejor imprimir algo como "No se pudo agregar el mensaje" y terminar el programa.</p> <p>Se supone que el mensaje debe escribirse en un archivo (no en una base de datos).</p> <h3><b>Discusión</b></h3> <p>Estaré agradecido por las críticas. Escribe al foro de soporte, a la sección</p> <p>1. Descomprima en la carpeta del sitio. <br>2. siga el enlace su_sitio/fscure/ <br>3. todos</p> <h2>¿Qué puede?</h2> <p>1. <a href="https://neonkaraoke.ru/es/services/parametry-ustanovki-ustroistv-v-windows-7-otklyuchaem-avtomaticheskii-poisk/">Búsqueda automática</a> virus por firma. <br>2. Encontrar una cadena en archivos <br>3. Eliminación de archivos <br>4. Parchear código malicioso usando expresiones regulares</p> <p>El script no hará todo el trabajo por usted y requiere un conocimiento mínimo. Antes de trabajar, se recomienda hacer una copia de seguridad del sitio.</p> <h2>¿Como funciona?</h2> <p>En el primer inicio, hace un índice de archivos. El archivo fscure.lst en la carpeta. Muestra una lista de archivos que contienen <b>firmas potencialmente maliciosas</b>. "Potencialmente dañino" significa que depende de usted decidir si es un virus o no. La lista de firmas se configura en el archivo config.php, constante SCAN_SIGN. Con la configuración predeterminada, el script no verifica los archivos js y no contiene firmas para ellos. <br></p> <h2>Problemas más comunes</h2> <p>1. no crea un índice fscure.lst. Puede suceder si no hay suficientes derechos. Pon 777 en la carpeta fscure</p> <p>2. Error 5xx. La mayoría de las veces "504 Gateway Time-out". La secuencia de comandos no tiene tiempo para funcionar y se bloquea en un tiempo de espera. En este caso, hay varias formas de acelerar su trabajo. La velocidad depende principalmente del tamaño del índice. Está en el archivo fscure.lst. Por lo general, un archivo de hasta 5Mb en el 90% de los casos logra procesar. Si no tiene tiempo, puede reducir la "avaricia" del script prohibiendo escanear *.jpg, *.png, *.css en la configuración. <br>En el archivo config.php.</p> <p>// separador; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");</p> <p>3. Hosting emite una advertencia como <br>(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php</p> <p>No hay ningún virus en el script y nunca lo hubo. Y (HEX)base64.inject.unclassed.6 es una construcción como "echo base64_decode(", que es común e inofensivo en sí mismo. <a href="https://neonkaraoke.ru/es/mts-bank/kak-obnovit-gugl-hrom-do-poslednei-versii-obzor-rasshirenii-i/">ultima versión</a> He reemplazado este código.</p> <h2>¿Qué hacer si no puede encontrar el virus usted mismo?</h2> <p>Puede ponerse en contacto conmigo para obtener ayuda. Mis tarifas son modestas. Doy 6 meses de garantía en mi trabajo. El costo del trabajo es de 800 rublos. para 1 sitio. Si hay varios sitios en la cuenta, el precio se determina individualmente.</p> <p>Si logró hacer todo usted mismo, le agradeceré una recompensa financiera o un enlace a mi sitio.</p> <p><b>Mis requisitos:</b><br>Yandex <br> 41001151597934</p> <p>dinero web <br>Z959263622242 <br>R356304765617 <br>E172301357329</p> <p>La verdad de la vida es que el sitio puede ser pirateado tarde o temprano. Después de explotar con éxito la vulnerabilidad, el pirata informático intenta establecerse en el sitio colocando shells web de piratas informáticos, cargadores en los directorios del sistema e inyectando puertas traseras en el código del script y la base de datos CMS.</p> <p>Los escáneres ayudan a detectar shells web descargados, puertas traseras, páginas de phishing, correos no deseados y otros tipos de scripts maliciosos: todo lo que saben y se agrega previamente a la base de datos de firmas de malware. Algunos escáneres, como AI-BOLIT, tienen un conjunto de heurísticas que pueden detectar archivos con código sospechoso, que a menudo se usa en scripts maliciosos, o archivos con atributos sospechosos que los piratas informáticos pueden descargar. Pero, desafortunadamente, incluso en el caso de usar varios escáneres en el alojamiento, es posible que se produzcan situaciones en las que algunos scripts de piratas informáticos no se detectan, lo que en realidad significa que el atacante todavía tiene una "puerta trasera" y puede piratear el sitio y superarlo. <a href="https://neonkaraoke.ru/es/mts-bank/chto-takoe-kvm-pereklyuchatel-shema-ego-podklyucheniya-polnyi-kontrol--/">control total</a> en cualquier momento.</p> <p>Los scripts maliciosos y de piratas informáticos modernos son significativamente diferentes de los que existían hace 4 o 5 años. Los desarrolladores de código malicioso ahora combinan ofuscación, cifrado, descomposición, carga externa de código malicioso y otros trucos para engañar al software antivirus. Por lo tanto, la probabilidad de perderse nuevo "malware" es mucho mayor que antes.</p> <p>¿Qué se puede hacer en este caso para detectar de manera más efectiva los virus en el sitio y los scripts de piratas informáticos en el alojamiento? Es necesario utilizar un enfoque integrado: escaneo automatizado inicial y análisis manual posterior. Este artículo se centrará en las opciones para detectar código malicioso sin escáneres.</p> <p>Primero, considere qué debe buscar exactamente al piratear.</p> <ol><li><b>guiones de piratas informáticos.</b><br>La mayoría de las veces, cuando se piratea, se cargan archivos que son shells web, puertas traseras, "cargadores" (cargadores), scripts para correos no deseados, páginas de phishing + controladores de formularios, puertas y archivos de marcadores de piratería (imágenes del logotipo de un grupo de piratas informáticos, <a href="https://neonkaraoke.ru/es/services/import-dannyh-v-excel-iz-tekstovogo-faila-import-dannyh-v-excel-iz/">archivos de texto</a> con un “mensaje” de hackers, etc.)</li> <li><b>Inyecta (inyecciones de código) en archivos existentes</b>.<br>El segundo tipo más popular de alojamiento de código malicioso y de piratas informáticos son las inyecciones. Los redireccionamientos móviles y de búsqueda se pueden inyectar en archivos de sitio .htaccess existentes, las puertas traseras se pueden inyectar en scripts php/perl, fragmentos virales de javascript o redireccionamientos a <a href="https://neonkaraoke.ru/es/mts-bank/zasorilsya-disk-s-chto-mozhno-udalit-lokalnyi-disk-s-perepolnen/">recursos de terceros</a>. Las inyecciones también son posibles en archivos multimedia, por ejemplo.jpg o. El código malicioso a menudo consta de varios componentes: el código malicioso en sí se almacena en el encabezado exif <a href="https://neonkaraoke.ru/es/rates/sposoby-vozmozhnoi-konvertacii-png-v-jpg-konvertiruem-izobrazheniya-png-v-jpg-dobavte-png/">archivo jpg</a>, pero se ejecuta mediante un pequeño script de control, cuyo código no parece sospechoso para el escáner.</li> <li><b>Inyecciones de base de datos</b><b>.<br></b> La base de datos es el tercer objetivo del hacker. Las inserciones estáticas son posibles aquí<script>, <iframe>, <embed>, <object>, которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.<br> Кроме того во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.</li> <li><b>Инжекты в кэширующих сервисах. </b><br> В результате некорректной или небезопасной настройки кэширующих сервисов, например, memcached, возможны инжекты в закэшированные данные “на лету”. В некоторых случаях хакер может внедрять вредоносный код на страницы сайта без непосредственного взлома последнего.</li> <li><b>Инжекты </b><b>/ </b><b>инцицированные элементы в <a href="https://neonkaraoke.ru/es/mts-bank/vosstanovlenie-povrezhdennogo-hranilishcha-sistemnyh-komponentov-windows-7/">системных компонентах</a> сервера. </b><br> Если хакер получил привелегированный (root) доступ к серверу, он может подменить элементы веб-сервера или кэширующего сервера на инфицированные. Такой веб-сервер будет с одной стороны обеспечивать контроль над сервером с помощью управляющих команд, с другой – время от времени внедрять динамические редиректы и вредоносный код на страницы сайта. Как и в случае инжекта в кэширующий сервис, администратора сайта скорее всего не сможет обнаружить факт взлома сайта, так как все файлы и база данных будут оригинальными. Этот вариант наиболее сложный для лечения.</li> </ol><p>Итак, предположим, что сканерами вы уже проверили файлы на хостинге и дамп базы данных, но они ничего не обнаружили, а вирусный <script …> по-прежнему на странице или мобильный редирект продолжает отрабатывать при открытии страниц. Как искать дальше?</p> <h2><b>Поиск вручную </b></h2> <p>В unix сложно найти более ценную пару команд для поиска файлов и фрагментов, чем find / grep.</p> <p>find . -name ‘*.ph*’ -mtime -7 </p> <p>найдет все файлы, которые были изменены за последнюю неделю. Иногда хакеры “скручивают” дату изменения у скриптов, чтобы таким образом не обнаружить новые скрипты. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты</p> <p>find . -name ‘*.ph*’ -сtime -7 </p> <p>Если нужно найти изменения в каком-то временном интервале, можно воспользоваться тем же find</p> <p>find . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls </p> <p>Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент</p> <p>grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ * </p> <p>При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг</p> <p>find / -perm -4000 -o -perm -2000 </p> <p>Чтобы определить, какие скрипты запущены в <a href="https://neonkaraoke.ru/es/news/nomer-bezgranichnoi-lyubvi-megafon-kak-podklyuchit-otklyuchit/">данный момент</a> и грузят CPU хостинга, можно вызвать</p> <p>lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str= } else { str=str»,»}}END{print str}’` | grep vhosts | grep php </p> <h2><b>Используем мозг и руки для анализа файлов на хостинге </b></h2> <ol><li><b>Идем в директории </b><b>upload, cache, tmp, backup, log, images </b>, в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями. Например, для joomla можно проверить.php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредонос.<br> Для WordPress имеет смысл проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.</li> <li><b>Ищем файлы со странными именами </b><br> Например, php, fyi.php, n2fd2.php. Файлы можно искать <ul><li>- по нестандартным сочетаниям символов,</li> <li>- наличию цифр 3,4,5,6,7,8,9 в имени файлов</li> </ul></li> </ol><ol><li><b>Ищем файлы с нехарактерными расширениями </b><br> Допустим, у вас сайт на WordPress или Для них файлы с расширениями.py, .pl, .cgi, .so, .c, .phtml, .php3 будут не совсем обычными. Если какие-то скрипты и файлы с данными расширениями будут обнаружены, скорее всего это будут хакерские инструменты. Возможен процент ложных обнаружений, но он не велик.</li> <li><b>Ищем файлы с нестандартными атрибутами или датой создания </b><br> Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все.php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта.<br> Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.</li> <li><b>Ищем дорвеи по большому числу файлов </b><b>.html </b><b>или.php<br></b>Если в каталоге несколько тысяч файлов.php или.html, скорее всего это дорвей.</li> </ol><h2><b>Логи в помощь </b></h2> <p>Логи веб-сервера, <a href="https://neonkaraoke.ru/es/services/chto-budet-otvetit-na-spam-chto-takoe-spam-i-kak-borotsya-so-spamerami-v/">почтового сервиса</a> и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.</p> <ul><li>Корреляция даты и времени отправки письма (которые можно узнать из лога <a href="https://neonkaraoke.ru/es/services/opyt-vvedeniya-svoego-pochtovogo-servera-v-kompanii-vnedrenie-pochtovogo/">почтового сервера</a> или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам-рассыльщика.</li> </ul><ul><li>Анализ трансфер-лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.</li> </ul><ul><li>В правильно настроенном логе почтового сервера или в служебном заголовке спам-письма при <a href="https://neonkaraoke.ru/es/news/nastroit-plagin-in-seo-pack-pravilnaya-nastroika-all-in-one-seo-pack-plagina-dlya-wordpress-blok/">правильной настройке</a> PHP будет имя или полный путь до скрипта-отправителя, что помогает определять источник спама.</li> </ul><ul><li>По логам проактивной защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.</li> </ul><ul><li>По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.</li> </ul><h2><b>Контроль целостности </b></h2> <p>Намного проще анализировать взлом и искать вредоносные скрипты на сайте, если заранее позаботить о его безопасности. Процедура контроля целостности (integrity check) помогает своевременно обнаруживать изменения на хостинге и определять факт взлом. Один из самых простых и <a href="https://neonkaraoke.ru/es/rates/ne-daet-udalit-avast-ispolzovanie-utility-ot-razrabotchikov-avast/">эффективных способов</a> – положить сайт под систему контроля версий (git, svn, cvs). Если грамотно настроить.gitignore, то процесс контроля за изменениями выглядит как вызов команды git status, а поиск вредоносных скриптов и измененных файлов – git diff.</p> <p>Также у вас всегда будет <a href="https://neonkaraoke.ru/es/rates/mac-os-rezervnoe-kopirovanie-faila-rezervnoe-kopirovanie-mac-os-x-po/">резервная копия</a> файлов, до которой можно «откатить» сайт в считанные секунды. Администраторам сервера и продвинутым веб-мастерам можно использовать inotify, tripwire, auditd и другие механизмы для отслеживания обращений к файлам и директориям, и контроля за изменениями в файловой системе.</p> <p>К сожалению, не всегда есть возможность настроить систему контроля версий или <a href="https://neonkaraoke.ru/es/news/pochemu-ne-rabotaet-gmail-na-androide-kak-ustranit-nepoladki-svyazannye/">сторонние сервисы</a> на сервере. В случае shared-хостинга не получится установить систему контроля версий и <a href="https://neonkaraoke.ru/es/news/standartnye-prilozheniya-xiaomi-kak-udalit-prilozhenie-na-xiaomi/">системные сервисы</a>. Но это не беда, есть достаточно много <a href="https://neonkaraoke.ru/es/services/sozdanie-besshumnogo-i-kompaktnogo-htpc-v-domashnih-usloviyah-video-gotovye/">готовых решений</a> для CMS. На сайте можно установить плагин или отдельный скрипт, который будет отслеживать изменения в файлах. В некоторых CMS уже реализован эффективный мониторинг изменений и механизм integrity check (Например, в Битрикс, DLE). В крайнем случае, если на хостинге есть ssh, можно сформировать эталонный слепок <a href="https://neonkaraoke.ru/es/news/upravlenie-failami-tipy-failov-failovaya-sistema-atributy-faila/">файловой системы</a> командой</p> Акция «2 по цене 1» <p> <i> </i> Акция действует до конца месяца.</p> <p>При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте - 1500 руб в месяц за каждый сайт.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> </div> </div> </div> <div id="sidebar" class="span4 sidebar_right"> <div class="inside"> <div class="sidebar_module sidebar_module_"> <h3 class="sidebar_module_heading"><span>Último</span></h3> <div class="sidebar_module_content"> <ul class="nav menu"> <li class="item"><a href="https://neonkaraoke.ru/es/internet/programma-ogranichivayushchaya-vremya-raboty-kompyutera-dlya-rebenka-roditelskii/">Control parental en una computadora: instrucciones detalladas para configurar</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/rates/kak-uznat-parol-ot-arhiva-zip-rar-kak-vzlomat-parol-ot-arhiva-zip-ili/">Cómo descifrar la contraseña de un archivo zip o rar</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/mts-bank/nachalo-raboty-s-platformoi-eclipse-dokumentaciya-ustanovka-sredy/">Instalación del entorno de desarrollo de Eclipse</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/rates/ustanavlivaem-linux-server-vybor-os-dlya-domashnego-servera/">Elegir un sistema operativo para un servidor doméstico</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/services/ustroistvo-i-princip-raboty-veb-kamery-vybiraem-veb-kameru/">El dispositivo y el principio de funcionamiento de la cámara web.</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/services/laboratornaya-rabota-rabota-s-obektami-microsoft-excel-formy-osnovnye/">Trabajo de laboratorio con objetos de Microsoft Excel</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/internet/veb-kamera-eto-chto-takoe-i-dlya-chego-ona-nuzhna-vybiraem/">Webcam: ¿qué es y para qué sirve?</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/news/linux-eto-server-kak-sozdat-linux-server-svoimi-rukami-i-chto-dlya-etogo/">Cómo crear un servidor Linux con tus propias manos y lo que necesitas para esto</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/mts-bank/veb-kamera-eto-chto-takoe-i-dlya-chego-ona-nuzhna/">Webcam: qué es y por qué es necesaria</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/news/start-v-nauke-krymskaya-konferenciya-v-kakom-godu-byla-yaltinskaya/">Conferencia de Crimea ¿En qué año fue la Conferencia de Yalta?</a></li> </ul> </div> </div> <div class="sidebar_module sidebar_module_"> <h3 class="sidebar_module_heading"><span>necesita ser conocido</span></h3> <div class="sidebar_module_content"> <ul class="nav menu"> <li class="item"><a href="https://neonkaraoke.ru/es/news/yaltinskaya-konferenciya---raznoe-krymskaya-konferenciya-gde-zhil/">Conferencia de Crimea Donde vivió Roosevelt durante la Conferencia de Yalta</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/services/cel-i-zadachi-yaltinskoi-konferencii-krymskaya-konferenciya-krymskaya/">Conferencia de Crimea Soluciones de conferencia de Crimea Yalta</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/mts-bank/kod-aktivacii-nod-32-na-90-dnei-avtomaticheskii-poisk-i-obnovlenie-klyuchei-dlya-eset/">Búsqueda y actualización automática de claves para Eset NOD32</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/news/kak-ustanovit-klyuch-aktivacii-dlya-nod32-chto-horoshego-v-antiviruse-eset-nod32/">Lo bueno del antivirus ESET NOD32 y dónde conseguir las claves Clave para el nod 32 de octubre</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/services/nomer-licenzii-nod-32-kak-ustanovit-klyuch-aktivacii-dlya-nod32/">Cómo instalar una clave de activación para NOD32</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/mts-bank/chisto-kitaiskie-smartfony-luchshie-kitaiskie-smartfony/">Los mejores teléfonos inteligentes chinos</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/mts-bank/platnye-oprosy-poluchaem-dengi-prosto-otvechaya-zarabotok-na-oprosah-v/">Ganancias en encuestas en Internet sin inversiones: Ejemplos y reseñas reales Encuestas pagadas a través de Internet</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/services/kakoi-telefon-kitaiskoi-firmy-luchshe-kupit-kitaiskie-smartfony-pomogut/">Teléfonos inteligentes chinos: ¿te ayudarán a ahorrar dinero?</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/internet/sovetskaya-kopirovalnaya-mashina-istoriya-pro-zhuchki-v-kopirovalnyh-apparatah-dvigateli-i-elektronika/">La historia de los errores en las fotocopiadoras.</a></li> <li class="item"><a href="https://neonkaraoke.ru/es/news/kak-sozdat-mobilnoe-prilozhenie-samostoyatelno-na-russkom-kak/">Cómo crear tu primera aplicación móvil</a></li> </ul> </div> </div> <div class="sidebar_module sidebar_module_"> </div> </div> </div> </div> </div> </section> <footer id="footer" class="container"> <div id="copyright"> <div> <p class="copytext">2023 neonkaraoke.ru - Internet. Noticias. Tarifas Servicios. MTS</p> <ul class="nav menu"> <li class="item-113"><a href="https://neonkaraoke.ru/es/sitemap.xml">Mapa del sitio</a></li> </ul> </div> </div> </footer> <div id="gotop" class=""> <a href="#" class="scrollup">TPL_TPL_FIELD_SCROLL</a> </div> </body> </html>