Pahatahtlikud JavaScripti skriptid. Kuidas otsida pahatahtlikku koodi ilma viirusetõrjeprogrammide ja skanneriteta. Levinumad probleemid

Pahatahtlik kood satub saidile hooletuse või pahatahtliku kavatsusega. Pahatahtliku koodi eesmärgid on erinevad, kuid sisuliselt põhjustab see kahju või häirib normaalne töö saidile. Eemaldada pahatahtlik kood WordPressis peate selle esmalt üles leidma.

Mis on pahatahtlik kood WordPressi saidil?

Kõrval välimus, enamasti on pahatahtlik kood ladina tähestiku tähtede ja sümbolite kogum. Tegelikult on see krüpteeritud kood, mille abil see või teine ​​toiming tehakse. Toimingud võivad olla väga erinevad, näiteks avaldatakse teie uued postitused kohe kolmanda osapoole ressursis. See on sisuliselt teie sisu varastamine. Koodidel on ka muid "ülesandeid", näiteks väljaminevate linkide paigutamine saidi lehtedele. Ülesanded võivad olla kõige keerukamad, kuid üks on selge: pahatahtlikud koodid tuleb jahtida ja eemaldada.

Kuidas pahatahtlikud koodid veebisaidile jõuavad?

Samuti on saidile koodide pääsemiseks palju lünki.

Enamasti on need teemad ja pistikprogrammid, mis laaditakse alla vasakpoolsetest ressurssidest. Kuigi selline tungimine on tüüpiline nn krüptitud linkide puhul. Selgesõnaline kood saidile ei jõua.

Viiruse tungimine saidile sissemurdmisel on kõige ohtlikum. Reeglina võimaldab saidi häkkimine paigutada mitte ainult "ühekordse koodi", vaid ka installida koodi koos pahavara elementidega (pahatahtlik programm). Näiteks leiate koodi ja kustutate selle, kuid mõne aja pärast see taastatakse. Võimalusi on jällegi palju.

Lubage kohe märkida, et selliste viiruste vastu võitlemine on raske, kuid käsitsi eemaldamine nõuab teadmisi. Probleemile on kolm lahendust: esimene lahendus on kasutada viirusetõrjepluginaid, näiteks pluginat nimega BulletProof Security.

See lahendus annab häid tulemusi, kuid võtab aega, kuigi veidi. Pahatahtlikest koodidest, sealhulgas keerulistest viirustest vabanemiseks on olemas radikaalsem lahendus, milleks on saidi taastamine saidi varem tehtud varukoopiatest.

Kuna hea veebihaldur teeb seda perioodiliselt, saate ilma probleemideta naasta nakatumata versioonile. Kolmas lahendus on mõeldud rikastele ja laiskadele, võtke lihtsalt ühendust spetsialiseeritud “bürooga” või mõne spetsialistiga.

Kuidas WordPressis pahatahtlikku koodi otsida

Oluline on mõista, et WordPressi pahatahtlik kood võib olla saidi mis tahes failis ja mitte tingimata tööteemas. Ta võib välja pakkuda Internetist võetud pistikprogrammi, teema või "omatehtud" koodi. Pahatahtliku koodi leidmiseks on mitu võimalust.

1. meetod: käsitsi. Sirvite kõiki saidifaile ja võrdlete neid nakatumata varukoopia failidega. Kui leiate kellegi teise koodi, kustutage see.

2. meetod: WordPressi turbepluginate kasutamine. Näiteks, . Sellel pistikprogrammil on suurepärane funktsioon, mis kontrollib saidifaile teiste inimeste koodide olemasolu tuvastamiseks ja pistikprogramm saab selle ülesandega suurepäraselt hakkama.

3. meetod. Kui teil on mõistlik hostimise tugi ja teile tundub, et saidil on veel keegi, paluge tal teie saiti oma viirusetõrjega skannida. Nende aruandes loetletakse kõik nakatunud failid. Järgmisena avage need failid tekstiredaktor ja eemaldage pahatahtlik kood.

4. meetod. Kui saate saidikataloogile SSH-juurdepääsuga töötada, siis laske käia, sellel on oma köök.

Tähtis!

Olenemata sellest, kuidas pahatahtlikku koodi otsite, sulgege enne koodi otsimist ja seejärel kustutamist juurdepääs saidifailidele (lülitage sisse hooldusrežiim). Pidage meeles, et koodid ise taastatakse, kui need kustutatakse.

Otsige pahatahtlikke koode funktsiooni eval abil Midagi sellist on php-s eval funktsioon

. See võimaldab teil käivitada mis tahes koodi selle real. Lisaks saab koodi krüpteerida. Kodeeringu tõttu näeb pahatahtlik kood välja nagu tähtede ja sümbolite komplekt. Kaks populaarset kodeeringut on:

Base64;

Rot13.

• Sellest lähtuvalt näeb nendes kodeeringus eval funktsioon välja järgmine:
• eval(base64_decode(...))

eval (str_rot13 (...)) //sisemistes jutumärkides, pikad, ebaselged tähtede ja sümbolite komplektid..

• Funktsiooni eval abil pahatahtliku koodi otsimise algoritm on järgmine (töötame halduspaneelilt):
• minge saidiredaktorisse (Välimus→Redaktor).
• kopeerige fail functions.php.
• avage see tekstiredaktoris (näiteks Notepad++) ja otsige sõna: eval. Kui leiate selle, ärge kiirustage midagi kustutama. Peate mõistma, mida see funktsioon "küsib" täita. Selle mõistmiseks tuleb kood dekodeerida. Dekodeerimiseks on olemas võrgutööriistad

, mida nimetatakse dekooderiteks.

Dekoodrid/kodeerijad

Dekooderid töötavad lihtsalt. Kopeerite koodi, mida soovite dekrüpteerida, kleepite selle dekoodri väljale ja dekodeerite.

Nagu fotol näha, ei kuvanud funktsioon eval pärast dekodeerimist kohutavat koodi, mis ohustab saidi turvalisust, vaid malli autori krüpteeritud autoriõiguse linki. Selle saab ka eemaldada, kuid kui te ei kasuta , tuleb see pärast malli värskendamist tagasi.

Kokkuvõtteks tahaksin märkida, et mitte viirust saidile sattuda:

• WordPressi pahatahtliku koodiga on sageli kaasas teemad ja pistikprogrammid. Seetõttu ärge installige malle ja pistikprogramme "vasakult", kontrollimata ressurssidest ja kui installite, kontrollige neid hoolikalt PHP linkide ja täidesaatvate funktsioonide olemasolu suhtes. Pärast pistikprogrammide ja teemade installimist ebaseaduslikest ressurssidest kontrollige saiti viirusetõrjetarkvaraga.
• Kindlasti tehke perioodiliselt varukoopiaid ja tehke muid.

Pahatahtlik JavaScript

Minu arvamus, mille kohaselt on brauseri tööriistu kasutades lihtsam ja tõhusam kaitsta süstitud pahatahtlike brauseri skriptide (salvestatud XSS-i rünnakute) eest, oli varem öeldud: . Brauseri kaitse JavaScripti vastu, mis seisneb filtreerimiskoodi lisamises veebilehe html-lehtedele, on eeldatavasti usaldusväärne, kuid sellise kaitse olemasolu ei välista vajadust kasutada ka serverifiltrit. Samade XSS-rünnakute jaoks saate serveris korraldada täiendava kaitseliini. Peame meeles pidama ka võimalust, et ründaja sisestab saidilt saadetud HTML-sõnumisse mitte brauseripõhiseid, vaid serveripoolseid skripte (php), mida brauser ei suuda ära tunda.

Ründav skript, olgu see siis brauseri- või serveripõhine, on programm, mille puhul tuleb alati mõelda, et sellel programmil on alati mingid sümboolsed erinevused puhtast html-ist. Proovime selliseid erinevusi leida ja nende abil serverisse HTML-filtrit ehitada. Allpool on näited pahatahtlikust JavaScriptist.

XSS:

Natuke teksti

Natuke teksti

Krüpteeritud XSS:

Natuke teksti

Natuke teksti

Brauserid taastavad teksti märgiprimitiividest, mis asuvad mitte ainult html-konteinerites (avamis- ja sulgemismärgendite vahel), vaid ka siltide endi sees (vahel< и >). URL-i kodeerimine on http-aadressides lubatud. See muudab serveripoolse pahatahtliku koodi tuvastamise keeruliseks, kuna sama märgijada saab esitada erineval viisil.

XSS ussid:

"+innerHTML.slice(action= (method="post")+.php",155)))">

alert("xss");with(new XMLHttpRequest)open("POST","post.php"),send("content="+_.outerHTML)

Ülaltoodud XSS-ussid on vaid mõned paljudest, mis esitati Robert Hanseni (teise nimega RSnake) 2008. aasta jaanuari lühima pahatahtliku JavaScripti ussi konkursile (võistluse tulemused).

XSS-i rünnakute märgid

XSS-skript on programm, mis pääseb juurde DOM-objektidele ( Dokumendi objekt Mudel) ja nende meetodid. Vastasel juhul ei ole see tõenäoliselt kuidagi kahjulik. Näiteks JavaScripti string
onckick="var a = "xss""
ei mõjuta dokumendiobjekti mudelit, nii et isegi kui see on manustatud html-märgendisse, on selline string kahjutu. Ainult HTML-i dokumendiobjekte ja nende meetodeid manipuleerides võib häkker saidile olulist kahju tekitada. Näiteks joon
onmousemove="document.getElementsByTagName("body").innerHTML="XSS""
asendab juba lehe sisu.

DOM-meetoditele juurdepääsu märk on sulud, samuti võrdusmärgist vasakul asuvad punktid. html-is saab rgb()-vormingus värvi määramiseks kasutada ka sulgusid, kuid html-is on fondi- ja taustavärvid seatud veel vähemalt kolmel viisil. Seetõttu võib sulud ohverdada, ilma et see kahjustaks html-teksti väljendusrikkust. Reeglina tuleb nõustuda sellega, et sulud on sildi sees (st< и >) - see on väga ohtlik, kui saame serveris olevalt kasutajalt sõnumi, see sõnum sisaldab siltide sees sulgusid, siis on kõige sobivam selline sõnum blokeerida.

Punkt võib sisalduda html-märgendites: lingi aadressi määramisel (silt ); html-elementide suuruse määramisel (style="height:1.5in; width:2.5in;" ). Aga vormi märgijadad
tähepunkt võrdub
ei saa olla html-märgendites. Kui määratud jada on html-märgendi sees, sisaldab kasutaja sõnum tõenäoliselt skripti ja see tuleks blokeerida.

Teine ilmne ohumärk on sildi sees olev sümbol "+". Skriptita html-is sellist asja pole. Kui leiame siltide seest plusse, blokeerime sõnumi halastamatult.

HTML-märgendite sees olevate märgiprimitiividega krüptimiseks lisab heade kavatsustega saidi kasutaja kommentaari kasutades visuaalne redaktor, ei tule kunagi jooksma. Sümboolsete primitiivide kasutamine siltides ei anna mingit kasu täiendavate väljendusvahendite näol, see nõuab ainult lisaaega. Enamasti võiks arvata, et heatahtlik kasutaja isegi ei tea, et HTML-is on teatud märgiprimitiivid. Siit reegel: märgendi sees olev ampersand on tõend saidi rünnakust. Seega, kui me seda näeme, blokeerime sõnumi.

Sarnane reegel tuleks järgida sümbolit "%", mida saab kasutada URL-i kodeeringus. Elementide suhteliste suuruste määramiseks kasutatakse aga ka "puhas" html-is protsente. Ohtlikud kombinatsioonid on need, kus märgile "%" järgneb kohe täht või number.

Serveri skriptide neutraliseerimine

Erinevalt brauseri JavaScripti interpretaatoritest ei võimalda serveri PHP-tõlk programmiteksti kirjutamisel vabadusi. Seetõttu piisab võimaliku serveriskripti neutraliseerimiseks, kui asendada kasutaja HTML-sõnumis kõik PHP-programmi kirjutamisel olulised märgid nende HTML-i primitiividega. Asendamist vajavad eelkõige dollari- ja allkriipsumärgid, punkt, sulud, nurk- ja lokkis sulud, pluss- ja miinusmärgid ning kaldkriips.

PHP filter HTML-sõnumite jaoks

$message on visuaalsest redaktorist serverisse saadetud html-sõnum.

// jäta meelde kirja pikkus $lenmessage = strlen($message); // lõika välja kommentaarisilt $message = preg_replace("//", "", $message); // lõigake välja kõik sildid, milles atribuut "src" viitab välisele ressursile $message = preg_replace("/]+?src[\w\W]+\/\/[^>]+?>/i" , " ", $sõnum); // lõigake välja kõik sildid, mis sisaldavad mis tahes märki, välja arvatud: - a-z 0-9 / . : ; " = % # tühik $sõnum = preg_replace("/]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?> /i", "", $teade); // lõika välja kõik sildid, mis sisaldavad jada ". a-z =" $teade = preg_replace("/]+?\.+?\=[^>]+?>/i", "", $teade); // lõigake välja kõik sildid, mis sisaldavad jada "% a-z" või "% 0-9" $message = preg_replace("/]+?\%+?[^>]+?>/i", "", $ sõnum); // lõika välja kõik sildid, mis sisaldavad järjestust "script" või "js:" $message = preg_replace("/]*?script[^>]*?>/i", "", $teade); $teade = preg_replace("/]*?js:[^>]*?>/i", "", $teade); // lõika välja kõik sildid, mis algavad mõne muu märgiga peale "a-z" või "/" $message = preg_replace("/]*?>/i", "", $teade); // kontroll: kui sõnum on lühendatud, siis lõpeta programm $lenmessage2 = strlen($message); if ($lenmessage != $lenmessage2) ( print "Teadet ei saa lisada"; välju , $sõnum); $teade = str_replace("_", "_", $teade); $teade = str_replace(".", ".", $teade); $teade = str_replace(chr(92), "\", $teade); // \ $teade = str_replace("(", "(", $teade); $teade = str_asenda()", ")", $teade); $teade = str_replace("[", "[", $teade); $teade = str_replace("]", "]", $teade); $teade = str_replace("(", "(", $teade); $teade = str_asetage()", ")", $teade); $teade = str_replace("?", "?", $teade); // nüüd on kiri kontrollitud, selles olevad skriptid on neutraliseeritud

Tuleb märkida, et filter ei eemalda seotud silte. Oletame, et saime
Kliki siia!
Filter lõikab välja ainult märgi, kuid seotud (sulgev) silt jääb alles. Kui saadate brauserisse sõnumeid, mis sisaldavad silte ilma vastavate paarideta, võib teil tekkida probleeme saidi "viltuse" kujul. Pole teada, millisele avamärgendile brauser ülejäänud sidumata sulgemissildiga sobitab. Seetõttu ja ka turvakaalutlustel ei tohiks sõnumeid, milles filter on midagi välja lõiganud, üldse brauserisse saata. Parem on printida midagi sellist nagu "Sõnumit ei saanud lisada" ja programmist väljuda.

Sõnum kirjutatakse eeldatavasti faili (mitte andmebaasi).

Arutelu

Olen kriitika eest tänulik. Kirjutage tugifoorumi jaotisesse

1. Pakkige see saidi kausta lahti.
2. järgige linki your_site/fscure/
3. kõike

Mida ta saab teha?

1. Automaatne otsing viirused allkirjade järgi.
2. Otsige failidest stringi
3. Failide kustutamine
4. Parandage pahatahtlikku koodi regulaaravaldiste abil

Skript ei tee kogu tööd teie eest ja nõuab minimaalseid teadmisi. Enne tööd on soovitatav teha saidi varukoopia.

Kuidas see töötab?

Esmakordsel käivitamisel loob see failide indeksi. Fail fscure.lst on kaustas. Kuvab potentsiaalselt pahatahtlikke allkirju sisaldavate failide loendi. "Potentsiaalselt pahatahtlik" tähendab, et peate otsustama, kas see on viirus või mitte. Allkirjade loend on konfigureeritud failis config.php, konstant SCAN_SIGN. Vaikesätete korral ei kontrolli skript js-faile ega sisalda nende jaoks allkirju.

Kõige levinud probleemid

1. ei loo fscure.lst indeksit. Võib juhtuda, kui õigusi pole piisavalt. Pange 777 fscure'i kausta

2. 5xx viga. Kõige sagedamini "504 Gateway Time-out". Skriptil pole aega lõpule viia ja see jookseb ajalõpu tõttu kokku. Sel juhul on selle töö kiirendamiseks mitu võimalust. Kiirus sõltub eelkõige indeksi suurusest. See on failis fscure.lst. Tavaliselt saab kuni 5 MB faili töödelda 90% juhtudest. Kui tal pole aega, saate skripti "ahnust" vähendada, keelates konfiguratsioonis *.jpg;*.png;*.css-i skannimise.
Config.php failis.

// eraldaja; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Hosting väljastab hoiatuse nagu
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Skriptis pole viirust ja pole kunagi olnud. Ja (HEX)base64.inject.unclassed.6 on konstruktsioon nagu "echo base64_decode(" ), mida kohtab sageli ja mis on iseenesest üsna kahjutu. Uusim versioon, asendasin selle koodi.

Mida teha, kui te ei leidnud viirust ise?

Abi saamiseks võite minuga ühendust võtta. Minu hinnad on tagasihoidlikud. Töödele annan garantii 6 kuud. Töö maksumus on 800 rubla. 1 saidi jaoks. Kui teie kontol on mitu saiti, määratakse hind individuaalselt.

Kui teil õnnestub kõik ise teha, oleksin tänulik rahalise tasu või lingi eest minu saidile.

Minu rekvisiidid:
yandex
41001151597934

veebiraha
Z959263622242
R356304765617
E172301357329

Elutõde on see, et saidile võidakse varem või hiljem häkkida. Pärast haavatavuse edukat ärakasutamist püüab häkker saidil kanda kinnitada, paigutades süsteemikataloogidesse häkkerite veebikestad ja allalaadijad ning skriptikoodi ja CMS-i andmebaasi tagauksed.

Skannerid aitavad tuvastada laaditud veebikestasid, tagauksi, andmepüügilehti, rämpsposti saatjaid ja muud tüüpi pahatahtlikke skripte – kõike seda, mida nad teavad ja mis on eellisatud pahatahtliku koodi allkirjade andmebaasi. Mõnel skanneril, näiteks AI-BOLITil, on heuristiliste reeglite komplekt, mis suudab tuvastada kahtlase koodiga faile, mida sageli kasutatakse pahatahtlikes skriptides, või kahtlaste atribuutidega faile, mida häkkerid saavad alla laadida. Kuid kahjuks, isegi kui hostimisel kasutatakse mitut skannerit, on võimalikud olukorrad, kus mõned häkkeriskriptid jäävad avastamata, mis tegelikult tähendab, et ründajale jäetakse "tagauks" ja ta saab saiti häkkida ja selle üle kontrolli saada. täielik kontroll igal ajal.

Kaasaegsed pahavara ja häkkerite skriptid erinevad oluliselt 4–5 aasta tagustest omadest. Praegu kombineerivad pahatahtliku koodi arendajad viirusetõrjetarkvara petmiseks hägustamist, krüptimist, dekompositsiooni, pahatahtliku koodi välist laadimist ja muid nippe. Seetõttu on uue pahavara kadumise tõenäosus palju suurem kui varem.

Mida saab sel juhul teha, et tõhusamalt tuvastada saidil olevad viirused ja hostimisel häkkeriskriptid? On vaja kasutada integreeritud lähenemisviisi: esialgne automatiseeritud skaneerimine ja edasine käsitsi analüüs. Selles artiklis käsitletakse võimalusi pahatahtliku koodi tuvastamiseks ilma skanneriteta.

Kõigepealt vaatame, mida täpselt peaksite häkkimise ajal otsima.

Häkkerite skriptid.
Kõige sagedamini laaditakse häkkimisel alla veebikestad, tagauksed, "üleslaadijad", rämpsposti skriptid, andmepüügilehed + vormihaldurid, ukseavad ja häkkimismarkerite failid (pildid häkkerirühma logolt, tekstifailid häkkerite "sõnumiga" jne)

Süstid (koodisüstid) olemasolevasse .
Teine populaarseim pahatahtliku ja häkkerikoodi hostimise tüüp on süstimine. Mobiili ja otsingu ümbersuunamisi saab sisestada olemasolevatesse saidi .htaccess-failidesse, tagauksi saab sisestada php/perl-skriptidesse, viiruslikke JavaScripti fragmente või ümbersuunamisi saab manustada .js- ja .html-mallidesse kolmanda osapoole ressursse. Süstid on võimalikud ka meediumifailides, näiteks.jpg või. Sageli koosneb pahatahtlik kood mitmest komponendist: pahatahtlik kood ise salvestatakse exif päisesse jpg faili, kuid käivitatakse väikese juhtskripti abil, mille kood ei tundu skannerile kahtlane.

Andmebaasi süstid.
Andmebaas on häkkeri kolmas sihtmärk. Siin on võimalikud staatilised lisad , , , mis suunavad külastajad ümber kolmandate osapoolte ressurssidele, "luuravad" neid või nakatavad külastaja arvutit/mobiilseadet drive-by rünnaku tulemusena.
Lisaks võimaldavad paljudes kaasaegsetes CMS-ides (IPB, vBulletin, modx jne) mallimootorid käivitada PHP-koodi ning mallid ise salvestatakse andmebaasi, nii et veebikestade ja tagauste PHP-koodi saab ehitada otse. andmebaasi.

Süstid vahemäluteenustes.
Vahemällu salvestamise teenuste (nt memcached) ebaõige või ebaturvalise konfigureerimise tulemusena on võimalik vahemällu salvestatud andmetesse süstimine "lennult". Mõnel juhul võib häkker sisestada saidi lehtedele pahatahtlikku koodi ilma saiti otseselt häkkimata.

Süstid/algatatud elemendid sisse süsteemi komponendid server.
Kui häkker on saanud serverile privilegeeritud (juur)juurdepääsu, saab ta asendada veebiserveri või vahemällu salvestatud serveri elemendid nakatunud elementidega. Selline veebiserver annab ühelt poolt kontrolli serveri üle juhtkäskude abil ja teisest küljest viib aeg-ajalt saidi lehtedele dünaamilisi ümbersuunamisi ja pahatahtlikku koodi. Nagu vahemällu salvestamise teenusesse süstimise korral, ei suuda saidi administraator suure tõenäosusega tuvastada saidi häkkimise fakti, kuna kõik failid ja andmebaas on originaalsed. Seda võimalust on kõige raskem ravida.

Niisiis, oletame, et olete juba skanneritega hostimise faile ja andmebaasi tõmmist kontrollinud, kuid nad ei leidnud midagi ja viirus on endiselt lehel või mobiili ümbersuunamine töötab lehtede avamisel edasi. Kuidas edasi otsida?

Käsitsi otsing

Unixis on failide ja fragmentide leidmiseks raske leida väärtuslikumat käsupaari kui find / grep.

leida . -nimi '*.ph*' -mtime -7

leiab kõik failid, mida on viimase nädala jooksul muudetud. Mõnikord "väänavad" häkkerid skriptide muutmise kuupäeva, et mitte uusi skripte tuvastada. Seejärel saate otsida php/phtml faile, mille atribuudid on muutunud

leida . -nimi '*.ph*' -сtime -7

Kui teil on vaja leida muudatusi teatud ajaintervalli jooksul, saate kasutada sama leidmist

leida . -nimi ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

Failide otsimiseks on grep asendamatu. See võib otsida failidest rekursiivselt määratud fragmenti

grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

Serveri häkkimisel on kasulik analüüsida faile, millel on guid/suid lipp

leida / -perm -4000 -o -perm -2000

Et teha kindlaks, millistes skriptides töötavad Sel hetkel ja laadige hostimisprotsessor, võite helistada

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str”))END(print str)’` | grep vhosts | grep php

Me kasutame oma aju ja käsi, et analüüsida faile hostimisel

Me läheme üleslaadimis-, vahemälu-, tmp-, varukoopia-, logi-, piltide kataloogidesse, kuhu skriptidega midagi kirjutatakse või kasutajate poolt üles laaditakse, ja skannime sisu uute kahtlaste laienditega failide leidmiseks. Näiteks joomla puhul saab vaadata .php faile kataloogis images:find ./images -name ‘*.ph*’. Kui midagi leitakse, on tõenäoliselt tegemist pahavaraga.
WordPressi puhul on mõttekas kontrollida skriptide olemasolu kataloogist wp-content/uploads, backup ja cache teemakataloogidest.

Otsin kummaliste nimedega faile
Näiteks php, fyi.php, n2fd2.php. Faile saab otsida

• - mittestandardsete tähemärkide kombinatsioonidega,
• - numbrite 3,4,5,6,7,8,9 olemasolu failinimes

Otsime ebatavaliste laienditega faile
Oletame, et teil on WordPressis veebisait või nende jaoks failid laienditega .py, .pl, .cgi, .so, .c, .phtml, .php3 ei ole päris tavalised. Kui tuvastatakse nende laienditega skripte ja faile, on need tõenäoliselt häkkeritööriistad. Valetuvastuste protsent on võimalik, kuid see pole kõrge.

Otsime faile, millel on ebastandardsed atribuudid või loomise kuupäev
Kahtlust võivad põhjustada failid, mille atribuudid erinevad serveris olemasolevatest. Näiteks kõik .php skriptid laaditi üles ftp/sftp kaudu ja neil on kasutaja kasutaja ning mõned lõid kasutaja www-data. Mõttekas on üle vaadata viimased. Või kui skriptifaili loomise kuupäev on varasem kui saidi loomise kuupäev.
Kahtlaste atribuutidega failide otsimise kiirendamiseks on mugav kasutada Unixi find käsku.

Otsime ukseavasid suure hulga .html või .php failide abil
Kui kataloogis on mitu tuhat .php- või .html-faili, on see tõenäoliselt ukseava.

Logid abiks

veebiserveri logid, postiteenus ja FTP-d saab kasutada pahatahtlike ja häkkeriskriptide tuvastamiseks.

• Kirja saatmise kuupäeva ja kellaaja korrelatsioon (mille leiate logist meiliserver või rämpsposti teenuse päis) koos päringutega access_logist aitavad tuvastada rämpsposti saatmise meetodit või leida rämpsposti saatja skripti.

• FTP xferlogi edastuslogi analüüs võimaldab teil mõista, millised failid häkkimise ajal alla laaditi, mida muutis ja kes.

• Õigesti konfigureeritud meiliserveri logis või rämpsposti teenuse päises, kui õige seadistus PHP on saatva skripti nimi või täielik tee, mis aitab määrata rämpsposti allika.

• Kasutades kaasaegse CMS-i ja pistikprogrammide ennetava kaitse logisid, saate kindlaks teha, millised rünnakud saidil sooritati ja kas CMS suutis neile vastu seista.

• Access_log ja error_log abil saate analüüsida häkkeri tegevust, kui teate tema kutsutud skriptide nimesid, IP-aadressi või Kasutaja agent. Viimase abinõuna saate vaadata POST-i päringuid saidi häkkimise ja nakatumise päeval. Sageli võimaldab analüüs leida teisi häkkeriskripte, mis olid alla laaditud või olid juba häkkimise ajal serveris.

Terviklikkuse kontroll

Häkkimise analüüsimine ja veebisaidilt pahatahtlike skriptide otsimine on palju lihtsam, kui hoolitsete selle turvalisuse eest eelnevalt. Terviklikkuse kontrollimise protseduur aitab õigeaegselt avastada muutusi hostimises ja tuvastada häkkimise fakti. Üks lihtsamaid ja tõhusaid viise– pane sait versioonikontrollisüsteemi alla (git, svn, cvs). Kui konfigureerite faili .gitignore õigesti, näeb muudatuste juhtimise protsess välja nagu git status käsu kutsumine ning pahatahtlike skriptide ja muudetud failide otsimine näeb välja nagu git diff.

Samuti on teil alati varukoopia failid, millele saate saidi mõne sekundiga tagasi kerida. Serveri administraatorid ja edasijõudnud veebihaldurid saavad kasutada inotify, tripwire, auditi ja muid mehhanisme, et jälgida juurdepääsu failidele ja kataloogidele ning jälgida muudatusi failisüsteemis.

Kahjuks ei ole alati võimalik seadistada versioonikontrolli süsteemi või kolmanda osapoole teenused serveris. Jagatud hostimise puhul ei ole võimalik installida versioonikontrollisüsteemi ja süsteemiteenused. Kuid see pole oluline, neid on palju valmislahendused CMS-i jaoks. Saate saidile installida pistikprogrammi või eraldi skripti, mis jälgib failide muudatusi. Mõned CMS-id rakendavad juba tõhusat muudatuste jälgimist ja terviklikkuse kontrollimise mehhanismi (näiteks Bitrix, DLE). Viimase abinõuna, kui hostimisel on ssh, saate luua võrdlusandmed failisüsteem meeskond

Kampaania "2 1 hinnaga"

Kampaania kehtib kuu lõpuni.

Kui aktiveerite ühe veebisaidi teenuse "Sait järelevalve all", ühendatakse teine ​​samal kontol tasuta. Järgmised saidid kontol - 1500 rubla kuus iga saidi kohta.