Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 51
Спасибо, действительно полезно!
не проблема что вы пхпшник, проблема что ваш код не понятен ни разу… за идею спасибо. хотя я бы на вашем месте еще и по винту бы лазил — да смотрел последние изменения файлов индексных…
то что вы не в зуб нагой в пхп не дает вам право стебаться над работой человека! а тру пхпшников щас по пальцам пересчитать можно
да действительно такое бывает редко но все же бывает
идея достойная стоит подумать
идея достойная стоит подумать
и зачем минусовать? Оо*????
Множество iframe-вирусов уже прекрасно диагностируются ClamAV. В свою очередь, прикрутить ClamAV можно и к упомянутому proftpd.
Есть такая проблема на мастерхосте.
Пароль менял, у меня мак, больше никто им не владел, всё равно фреймы вставлялись. Хостер естественно как бы не причём, все виной я. Недавно опять вставили, гугль блочит такое, показал такую ссылку, явно проблема у хостера. Как ему это доказать и заставить вылечить? Или только переезд вылечит? И меня заодно.
Пароль менял, у меня мак, больше никто им не владел, всё равно фреймы вставлялись. Хостер естественно как бы не причём, все виной я. Недавно опять вставили, гугль блочит такое, показал такую ссылку, явно проблема у хостера. Как ему это доказать и заставить вылечить? Или только переезд вылечит? И меня заодно.
Было похоже — тоже мак, тоже все менял. Проверьте тщательнейшим образом все файлы с названиями типа "*index*.*", "*main*.*" итд итп. После того как я все вручную вычистил, больше не появлялась(тьфу-тьфу-тьфу).
А можно у них лог соединений попросить?
Лично встречался с такими случаями несколько раз (слава богу не на своем компьютере) и всегда выяснялось, что либо пароль увели, либо троян на лету встраивает свой код при аплоаде. Т.е. на винте вебмастера файлы чисты, е а на сервере уже лежат с заразой.
Лично встречался с такими случаями несколько раз (слава богу не на своем компьютере) и всегда выяснялось, что либо пароль увели, либо троян на лету встраивает свой код при аплоаде. Т.е. на винте вебмастера файлы чисты, е а на сервере уже лежат с заразой.
у меня мак
каг-бэ тонко пытались намекнуть что «вирусов нет». хотя кто их, эти маки, разберет. под виндами все понятно: вставился код — гоняем заразу. а вот под маками уверенность в том что «вирусов быть не может» приводит к постоянному откладыванию проверки машны антивирусом. да и дефицит нормальных антивирусов + экзотичность заразы приводят к тому что вирус может и не детектиться длительное время, ибо в лабораторию еще не попадал и препарирован не был.
а зачем писать логи в базу?
что мешает формировать стату из обычных логов? раз в сутки — это не большая нагрузка.
так же, стоит прикрутить кламав — он находит конечно не все, но всякие php-shell и подобные вещи ищет.
что мешает формировать стату из обычных логов? раз в сутки — это не большая нагрузка.
так же, стоит прикрутить кламав — он находит конечно не все, но всякие php-shell и подобные вещи ищет.
Надо по другому, ловить изменения поражаемых вирусом файлов, делать diff и анализировать на соотвествие типичным регекспам. ТО есть если изменение файла заключается в добавлекнии строчки «iframe src=» или «script document.write()» — паниковать.
Последний раз виденная мной зараза убирала из файла пробелы в начале и в конце строк,
MAX_DUPLICATED_SIZE_DIFF становится бесполезным
MAX_DUPLICATED_SIZE_DIFF становится бесполезным
Вместо ftp можно заюзать scp по сертификату — поможет
до тех пор пока троянцы не научатся уводить не только пароли но и сертификаты. выянить где хранит их путти, ии FAR+WinSCP не составлет труда. и даже OpenVPN (как единственный легкий способ добраться до открытых портов /FTP/SSH/etc на «внутренних» интерфейсах), не гарантирует спокойного сна. я иногда в ужасе просыпаюсь с мыслью что если увести ВСЕ ключи, то сервера останутся беззащитны как голый младенец на хоккейной площадке. а вы? :)
> Уж извините, но я php'шник :)
да что за паранойя?
php не такой плохой как рисуют его любители smalltalk подхода
да что за паранойя?
php не такой плохой как рисуют его любители smalltalk подхода
Мне кажется искать grep'ом на предмет iframe'ов и посылать админу уведомления гораздо лучше и (!) проще, нежели то, что вы указали, тем более, что мой вариант кроме простоты еще и выполняет ту же функцию, ведь вы решаете задачу не предотвращения заливки и изменения сорцев.
Зачем эти извраты в пхп, если можно искать все нужные файлы c помощью find, считать их md5sum и каждый день сравнивать текущую сумму с предыдущей…
И никаких настроек proftpd, никаких баз, никаких скриптов на php.
И никаких настроек proftpd, никаких баз, никаких скриптов на php.
вот только разница во времени исполнения, да нагрузка на ЖД при find меня как-то отталкивает от этого варианта.
Кстати, иногда отдельно xferlog -а нет (а уже хочется прогнать поиск), а все складывается в /var/log/messages — тогда нужный файл легко создать перенаправив в него вывод этой команды:
cat /var/log/messages | grep pure-ftpd
Ну или не pure-ftpd, а то, что у вас там работает за FTP :)
cat /var/log/messages | grep pure-ftpd
Ну или не pure-ftpd, а то, что у вас там работает за FTP :)
function v4a84954d5cc57(v4a84954d5d461){ function v4a84954d5dc66 () {return 16;} return(parseInt(v4a84954d5d461,v4a84954d5dc66()));}function v4a84954d5ec3f(v4a84954d5f436){ var v4a84954d5fc03='';for(v4a84954d603d3=0; v4a84954d603d3
щорт… убилось половина :(
Короче, ифреймы — это полбеды. Вот самомодифицирующийся JS-код — это прикольно :)
Если будет интересно могу накидать статейку как я делал детектор подобного кода для мониторинга проектов нашей студии. Сейчас весьма успешно мониторится около сотни урлов на предмет вторжений :) Не идеально, конечно, но есть вариант сигнатурного анализатора если эвристика не помогает.
Короче, ифреймы — это полбеды. Вот самомодифицирующийся JS-код — это прикольно :)
Если будет интересно могу накидать статейку как я делал детектор подобного кода для мониторинга проектов нашей студии. Сейчас весьма успешно мониторится около сотни урлов на предмет вторжений :) Не идеально, конечно, но есть вариант сигнатурного анализатора если эвристика не помогает.
Дополнительное предложение: если сайт на линуксе, то использовать inotify (http://ru.wikipedia.org/wiki/Inotify), тогда не важно как именно будет залит файл по ftp, scp или даже через взлом скрипта на сайте.
Етот скрипт — ето подпорка, а не системное решение. Системное решение — ето изпользование .ftpaccess файла которий генерится при заходе в хостинг панель.
Вы про ограничение по ИП? Нафиг-нафиг.
Почему?
зашел в хостинг панель.
Сгенирировал .ftpaccess для своего IP
и вперед…
Плюс можно ввести время жизни такого разрешения.
Неудобно? совсем малость, а безопасность повышается.
Это к тому, что зачем выцеплять нелегальное использование ftp постфактум, если более правильно будет не допускать подобного использования.
зашел в хостинг панель.
Сгенирировал .ftpaccess для своего IP
и вперед…
Плюс можно ввести время жизни такого разрешения.
Неудобно? совсем малость, а безопасность повышается.
Это к тому, что зачем выцеплять нелегальное использование ftp постфактум, если более правильно будет не допускать подобного использования.
Вы делаете подпорку для того, чтоб понять кто и как взломал. Я говорю о решении при котором можно избежать самого фактка взлома.
тоже недавно столкнулся с проблемой вычищения ифреймов, после чего попросил знакомого написать небольшой скрипт, в котором бы указывались ключевые строчки кода ифрейма, а этот скрипт проходился бы рекурсивно по директориям, ища заданные файлы и если находил в них заданные строки сносил только iframe, а не всю строку, как многие предлагают(я про find. -type f -name '*.php' | xargs perl -p -i -e 's/.*malware_domain.*$//g')
Да, к сожалению, это не решение проблемы, а информирование о уже произошедшей проблеме.
Сам пока использую ограничение по ип.
Сам пока использую ограничение по ип.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Отслеживание iframe