У Вас в настройках PHP register_globals=ON? какеры идут к Вам!!!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
artscripts
Эксперт
 
artscripts's Avatar
Default [Статья] Борьба с вредоносным кодом на сайте 3

Пути решения проблем с вредоносным кодом на сайте



Заражение сайта вирусом для владельца сайта всегда неприятным сюрпризом и серьезной проблемой. Поисковик, найдя угрозу, выводит предупреждение для посетителей, трафик падает, работа сайта фактически останавливается.

Причины заражения


Основные причины появления вредоносного кода на сайте обычно связаны с нарушениями довольно простых правил безопасности по вине владельца сайта или администратора. Рассмотрим как в типовом случае происходит заражение сайта. Обычно вирусная программа попадает каким-то путем, а их много, на жесткий диск локальной машины, с которой осуществляется FTP-доступ на сайт. Эта программа крадет сохраненные пароли доступа, с их помощью проникает на сайт с правами администратора и меняет содержимое страниц, встраивая в них вредоносный код. Пользователи, посетившие зараженный сайт, рискуют заразить свою машину этим вирусом, далее вредоносная программа распространяется таким же образом.

Компьютер, с которого осуществляется администрирование сайта, должен быть тщательно защищен – антивирусное ПО существенно снижает вероятность возникновения таких неприятных ситуаций.

Обнаружение вредоносного кода

Сервис «Яндекс.Вебмастер» имеет функцию проверки сайта на наличие вредоносного кода, кроме этого можно включить автоматическое оповещение в случае заражения на вкладке «Безопасность». Аналогичный функционал присутствует в «Инструментах для веб-мастеров» Google в разделе «Дигностика».

Чтобы обнаружить вредоносный код самостоятельно, надо знать, как он может выглядеть, и отличать его от прочего кода сайта. Часто в случае заражения опасный код можно найти в тегах script, опознать его можно по замаскированным различными символами ссылками на незнакомые ресурсы. Также «лишний» код бывает в тегах iframe. Особое внимание надо обратить на файлы с расширением .js, именно они в большинстве случаев являются зараженными.

Где искать вредоносный код? Он может быть где угодно, но поиск надо начинать со страниц с типовыми URL, например /index.php или /index.html. Но таким образом придется потратить немало времени. Есть довольно неплохой способ поиска по последним изменениям на сайте, для чего нужно произвести сортировку файлов сайта по этому параметру. Таким способом легко отследить файлы, в которые вносились изменения без вашего участия. Очень часто вирусы маскируются под коды счетчиков посещаемости и другие подобные. Их надо проверять с особой тщательностью.

Для облегчения поиска можно применять регулярные выражения, подключаясь по протоколу SSH к серверу. Таким образом можно легко найти участки кода, которые с наибольшей вероятностью могут содержать ссылки на вредоносные программы. Еще существует несколько способов поиска, например, написание специальных скриптов, но это скорее уже инструментарий профессионалов, так как новичку довольно в этом разобраться и необходимо обладать навыками программирования.

При использовании CMS WordPress или какой-либо другой количество файлов огромно – проверять вручную нет смысла, это отнимет кучу времени и сил. В этом случае помогут специальные плагины для различных CMS. Например, для распространенного WordPress можно использовать плагин TAC (Theme Authenticity Checker).

Удаление вредоносного кода с сайта

Прежде, чем начинать лечение сайта, надо удалить вирусную программу с локального компьютера, то есть разобраться с причиной заражения. Уже потом можно начинать лечение самого сайта. Такие последовательные действия помогут избежать возможных проблем. В противном случае вредоносный код может появиться опять.

Для поиска и удаления вируса с самого компьютера можно воспользоваться антивирусной программой или утилитой, возможно потребуется несколько проверок разными средствами. Стоит лишь отметить, что необходимо регулярно обновлять антивирусное программное обеспечение и использовать утилиты последних версий.

Затем необходимо изменить все пароли для FTP-доступа на сайт и панель администратора и не сохранять их, а вводить вручную при каждом входе. Это существенно снизит риск возникновения проблем с вредоносными программами.

После того, как локальная машина вылечена, и код злоумышленников найден, можно приступать к удалению вредоносных строк. При этом необходимо четко знать, что можно удалять, а что нельзя, чтобы не нарушить работу сайта. Перед проведением этих операций желательно будет сделать бэкап сайта для возвращения к рабочей версии в случае неудачного лечения.

Стоит отметить, что злоумышленники не стоят на месте и постоянно совершенствуют вирусы и способы заражения: в частности, они более тщательно маскируют вредоносный код. Поэтому ручные способы поиска могут не сработать – пользователь с небольшим опытом имеет шанс просто не заметить его наличие. В этом случае использование последних версий специальных плагинов и утилит будет более надежным.

Решение проблем с поисковиками

Как относятся поисковики к зараженным сайтам с точки зрения ранжирования? Логика их действий следующая: если на сайте находится вредоносный код, то это опасно для посетителей, следовательно в результатах поиска выводится предупреждение о том, что переход на этот сайт нежелателен. Посещаемость сайта падает почти до нуля, что предсказуемо. Но многих владельцев сайтов волнует вопрос, восстановится ли она до прежнего уровня посещаемости? Если решение проблемы происходит быстро, то это почти не повлияет на продвижение: предупреждение для пользователей будет снято, а сайт не будет подвергнут пессимизации. Но если вредоносный код на сайте будет оставаться в течение длительного времени, то проблемы неизбежны. Поисковая система расценивает это следующим образом:
сайт «заброшен» владельцем;
вредоносный код специально оставлен на сайте владельцем-злоумышленником.
В этих случаях сайт будет пессимизирован, а его дальнейшее продвижение неизбежно будет связано с определенными трудностями.

Из этого следует, что решать проблемы с заражением сайта нужно как можно скорее. Это даст понять поисковикам, что владелец стал лишь жертвой злоумышленников и принимает все меры для устранения проблемы, а не способствует распространению вирусов.

Выводы

Прежде всего владельцу сайта или администратору надо принимать все меры, чтобы не допустить появления вредоносного кода на сайте – не сохранять пароли, тщательно защищать от вирусов локальную машину и не открывать подозрительных файлов.

Если же все-таки произошло заражение сайта, то не стоит отчаиваться и опускать руки. Надо использовать один или несколько способов поиска и устранения вредоносного кода. При этом нельзя откладывать лечение, надо приступать к нему как можно скорее – это позволит не только быстрее восстановит трафик, но и избежать проблем с продвижением в будущем.

Если один из ваших проектов в SeoPult оказался заражен, обязательно свяжитесь с персональным менеджером или техподдержкой: мы подскажем, что необходимо сделать в вашем конкретном случае.
источник Seopult.
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
mik-a-el
Знаток
 
mik-a-el's Avatar
Default 0

Положения статьи многократно пережеваны на множестве сайтов и форумов.
А вот о самом главном так и не рассказали - о конкретных методах поиска вредоносного кода на сайте и, что не менее важно, как найти ту уязвимость, которая была использована для внедрения этого кода. То, что описано в статье, может подойти лишь для простейших случаев заражения.

Last edited by mik-a-el : 02-16-2012 at 05:07 PM.
 
Old  
kerk
k0t
 
kerk's Avatar
Default 0

способы у всех разные
начиная от просматривания всех каталогов зараженного ресурса "вручную", до скана в файлах кода, которого быть там не должно через консоль, с логированием в отдельный файл, если вхождения найдены
когда найден зараженный файл(ы) искать в логах доступы к этому файлу
 
Old  
mik-a-el
Знаток
 
mik-a-el's Avatar
Default 0

Так код может и в базе находится: в шаблонах или в datastore. Внедрение кода, которое легко отследить по изменениям в файлах, используют в основном школьники. Те, кто хакингом зарабатывает, умеют закопать вредоносный код так, что перечисленными способами его не найти.
К тому же, даже если код нашли, это не поможет, если не закрыть дыру, через которую оно было залито. Потому как после удаления, через несколько секунд оно появится снова. А поиск дыр - та еще задача. Гугл тут как правило не помогает.
 
Old  
kerk
k0t
 
kerk's Avatar
Default 0

что бы получить доступ к шаблонам и/или отправке запросов в БД, нужно иметь доступ к файлам сервера в первую очередь
заливка шелла через какую то дыру в файлах хаков, например
затем уже какер запихивает свою хрень в шаблоны или в датастор
либо такой вариант, соединение с сервером БД нЕ через localhost и какеру известны хост/порт/логин/пасс к серваку (недавний пример оставленной дыры от новых разрабов в 3.8.6)
тогда да, можно переворошить всю базу данных удаленного сервера
Quote:
Originally Posted by mik-a-el View Post
которое легко отследить по изменениям в файлах
мне встречались такие скрипты, когда при внедрении вредоносного кода, изменяемому файлу, в который и запихивался код, выставлялось время последнего доступа, датированное двумя годами ранее (после декрипта я видел кусок кода в скрипте, который собсно и ставит время)
криптованный код от биржи ссылок линкфид
только вот какер плохо знал структуру воблы и после изменения файла, сразу же отвалился аякс на всем форуме
 
Old  
mik-a-el
Знаток
 
mik-a-el's Avatar
Default 0

kerk, ну так а я о чем
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 12:17 AM.


Powered by vBulletin® Version Alan Edition
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.