Вот сейчас прочитал новость о смерти Деннис Ритчи, для меня его смерть куда более значимая, как то грустно стало.
— Думаешь, мы действительно будем сидеть на облаке и говорить о море?
— Да, я твёрдо в это верю.
(с)Достучаться до небес (Knockin' On Heaven's Door)
А надеюсь что ты сейчас сидишь на облаке, смотришь на нас, говоришь о море и вспоминаешь эти необыкновенные закаты, а нам тебя будет не хватать…
Сергей, ну вы же сами понимаете что даже заголовок не совсем соответствует телу статьи, да и там много перескоков, хотя то что иже уже лучше.
Если акцент на домохозяйку, то почему бы не расписать в каких логах искать, по поводу шелла, вы же понимаете что этот комментарий часто убирают, а почему от orb был приведён, ведь у вас он в примере был?.
Я не спорю о конструктивизме, но может и не стоит и мой комментарий так в штыки принимать, да возможно я переборщил с словосочетанием бред, но верхний более конструктивный, по моему субъективному мнению статья правда зависла. она и не для домохозяек и не для спецов, для домохозяек нехватает большей конкретики и прямых указаний, не более. Для профессионалов я думаю вы сами понимаете, я повторюсь то что ниже уже более лучше, я бы вам 100500 плюсов поставил за такую статью, будь она более профессиональна либо более проста.
По поводу скриптов, смысл мне его писать когда вы меня тут в минус вогнали вместо дискуссии, хотя одна из подсказок (если интересна) на ачате в периуд когда зарождался РОА Димыч писал очень удобный скрипт для анализа.
Хотя я вам могу предложить совместно написать статью ( можете её выложить у себя, на баллы мне всё равно, мне важно читать и иногда комментировать) на данную тематику, скажем версия 2, где мы либо в виде диалога, либо по удобной схеме более полно раскроем данный вид расследования компьютерных преступлений, начиная от причин ( рассмотрим в 3 ракурсах: заказ, поисковик, а просто так) и заканчивая мерами предосторожности, профилактики.
Не раскрыта методика поиска способа проникновения на веб сервер \сайт который был взломан, какие стоило изучать логи, поиск сигнатур и запросов через которые предположительно был произведён взлом, полезные скрипты\ по для анализа логов.
2.Разбираем тело статьи, абзацы:
2.1.Зачем взламывают сайты
Сайты не заражают вирусами в прямом смысле этого сова а либо вешают связку (что бывает редко), либо инфреймят для того чтоб перекинуть трафик на другую связку которая уже и грузит вредоносный код.
Боты не устанавливают на взломанный сайт\сервер (вернее правильно будет не боты, а командный\админ центр) в виду того что в таком случае мы считай подарили свою бот сеть хозяину сайта, либо спалили лоадер для антивирусных программ, для ботов регестрируют произвольные домены у антиабузных хостеров, регионах.
90% что взломанный сайт будет использоваться как трастовая площадка для доров.
2.2. Алгоритм поиска причины взлома
Пока всё нормально в содержании, но это только в содержании.
2.3.Как искать следы взлома
в первую очередь необходимо искать такие файлы — файлы, очевидно не принадлежащие сайту. Как правило, загруженные скрипты называются довольно необычно и сильно выделяются среди собственных скриптов CMS:
Данный поиск приведут к положительному результату только в случае если взлом был проведён полностью нубом, так как это как прописная истина шелл маскируется под окружающую среду, а именно называется либо схожим именем, либо именем, ведущим в заблуждение админа который он посчитает за системый, так же меняется время создания файла на то же какое у большинства в папке где находится шелл. При этом стоит понимать что не всегда шелл имеет расширение php, расширение может быть произвольным, как и шелл может храниться в папке cgi.
Результат работы эксплойта, запущенного для взлома сервера, может выглядеть так:
Резкое перепрыгивание через огромную пропасть информации, результатом какого эксплоита, почему был запущен эксплоит и для чего это делалось? (может стоит описать что такое сплоит, для чего он был запущен и на какие обычно службы он рассчитан).
— часто через уязвимости в редакторах или библиотеках фотографий скрипты загружаются именно в то место
Часто если собрались порутать сервер то заливают и работают уже не через web оболочку, а через поднятый back connect либо биндят порт, веб оболочка используется редко в виду малой информативности, так же заливаются в /tmp
Обязательно загляните в файл .htaccess — в нем могут быть добавлены перенаправления на другие сайты, распространяющие вирус. При этом файл .htaccess может быть размещен как в корне сайта, так и выше, поэтому не поленитесь посмотреть все директории вашего аккаунта.
Совет правильный НО, но стоило раскрыть примерные команды, а так же добавить что может быть не только перенаправление на сайт, но и команда для обработки произвольного расширения файла как php скрипта, что даёт нам в каталоге с изменённым .htaccess шел с расширением изображения.
Ключевые моменты, на которые стоит обращать внимание в скриптах PHP:
Что такое: Co0lHaZZkeR'ский стиль написания текста? — Может хватит играть в шпионов, и мега хакерофф, хочу заметить что в шелле совсем не будет этого стиля, хотя хотелось бы понять что это за стиль такой.
Наличие слов Exploit и Shell. – специально сейчас посмотрел исходник шелла от оRb и там слово exploit встречается всего 2 раза и то как ссылка на exploit-db.com для поиска сплоита для ядра, опять таки мы её можем убрать руками. Shell встречается чаще, но это опять в неупакованном виде, в упакованном этого слова нет.
В конце концов, можно просто зайти браузером и посмотреть, что делает этот скрипт. – есть множество файлов как самой cms так и среди шеллов которые внешне не выдают не какой реакции без задания аргумента, да и как это представляется возможным переход по всем файлам cms?
Файлы можно искать и вручную, но быстрее, если взлом произошел недавно, воспользоваться командой find: # find ./public_html -mtime -3d # find ./public_html -mtime -10h – повторюсь время создания шелла меняется простой командой, так что в некоторых случаях это совсем время в пустую, хотя исключать данный способ не следует.
2.4.Определение времени взлома
Когда файлы найдены, определить время взлома очень просто — достаточно посмотреть время изменения самого раннего файла.
Если подозрительных файлов не найдено, но сайт заражен вирусом, посмотрите дату изменения файлов index.php, index.html или тех, в которых обнаружите вирус. Скорее всего в этом случае сайт взломали, украв пароль от FTP. — уже написано выше, при этом логики между изменением и ftp нет не какой, ведь даже в случае взлома через фтп происходят какие либо действия на сайте\сервере, ведь он их угнал не для того чтоб любоваться на них.
2.5.Поиск журналов взлома сайта
Я думаю тут и без моих комментариев понятна абсолютная нелогичность в тексте, хотя нет вот немного: Если на сайте только произведен дефейс или добавлен вирус ко всем файлам index.html, скорее всего, сайт взломали через кражу пароля FTP (или, гораздо реже, SSH). – нет разницы как был произведён способ взлома, проникновение через бажный скрипт либо через фтп для проведения дефейса, эту строчку можно выставить в цитаты ламоризмов.
Если же на сайте присутствуют PHP Shell или вредоносные скрипты (например, для рассылки спама), скорее всего, сайт взломали через уязвимость в CMS или каком-либо её плагине. В этом случае потребуется проанализировать логи веб-сервера. – ну так же, не имеет значение как был взломан сайт для того чтоб закрепится на сайте при помощи шелла либо рассылки спама.
2.6. Если удалось определить IP-адрес
2.7.Если определить IP-адрес не удалось
Оба без слов, ах да по поводу пост запросов, хочу вас заверить что для хакера предпочтительнее работать пост запросами в виду наименьшего паления в логах сервера, а для взлома предпочтительнее гет запросы в виду их более лёгкой реализации.
2.8. Если ничего не удалось найти
В принципе всё правильно, но как то сковано и нераскрыто, плюс это путь быдло исправления.
2.9.Хозяйке на заметку
У меня нет слов, так эта тема должна быть раскрыта более полно, начиная от выбираемых скриптов и заканчивая настройками скриптов, прав директорий и тд.
Итоги: А итоги я думаю каждый подведёт сам. Но если те действия что описаны в статье действительно действия тех поддержки то (рука_лицо).
Ответ M03G: habrahabr.ru/company/sprinthost/blog/125839/#comment_4178058.
Тогда может стоит называть статью своими именами, и писать не столь кричащий заголовок, а назвать, советы домохозяйкам для того чтоб крепче спать, ну не является то что написано выше полезными советами, это всё равно что к вам проникли в дом через замочную скважину подобрав отмычку, а вы вместо того чтоб сменить замок, уходя замыкаете дверь всё тем же замком, просто изменив накладную панель, либо заклеев замочную скважину скотчём!
*можете минусовать показывая далее свою некомпетентность вместо того чтоб вести диалог, ведь вполне возможно что я не прав, но свой вывод о хостинге я сделал, скрин странички тоже, так на память и друзьям\знакомым, что же друзьям я вас не когда не порекомендую*
Приведу цитату:
— Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.
Основные возможности:
*Анализ соседей целевого сайта по Reverse-IP
*Определение используемых движков (в базе 68 сигнатур)
*Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
*Поиск phpinfo, phpmyadmin, sypex dumper
*Сканирование структуры сайта + вложенное сканирование каталогов
*Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
*Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
*Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
*Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
*Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
*Поддержка Keep-Alive соединений (увеличение скорости)
*Поддержка многопоточности (увеличение скорости)
*Понятный интерфейс, множество различных настроек, наличие встроенного FAQ
— [ Web ] Brute Forcer — forum.antichat.ru/thread109600.html
Брутер для проверки на слабые пассы веб форм.
fuzzdb (совместно к примеру с Burp Suite ) — code.google.com/p/fuzzdb/
*FuzzDB – это проект, объединяющий в себе большое количество фаззинг-баз, упорядоченных по своему назначению.
**впрочем сюда можно добавить ещё некоторое кол-во файзеров.
Извините, но вам это только кажется, возможно, повторюсь что возможно она была бы (полезна) на каком либо домашнем блоге для индексации и просто заполнения его информацией, но как серьёзная статья она бесполезна и будет вводить людей столкнувшихся с данной проблемой в заблуждение направляя по ложному следу уверенности что они сделали всё правильно и дело тут даже не в мега знаниях, а в действительно ( rdot.org/forum/showthread.php?t=677 ):
Для распиздяев:
*если есть основания полагать, что была скомпрометирована операционная система — подключить диски к чистой системе (LiveCD) и прогнать чистилками (rkhunter/chkrootkit)
*прогнать веб-директории грепом на предмет подозрительных сигнатур ( eval(base64.., system(..., passthru(… )
*обновить всё до последних версий
*сменить все пароли
У вас интересное словосочетание: Проще восстановиться сайт из резервной копии и жить дальше спокойненько (в идеале-сменить пароли, обновить версии т.д.).
Вообще то это не идеал а первая необходимость, да и сейчас сайты больше взламывают для создания доров, что уже под собой имеет место более или менее адекватной маскировки шелла для того чтоб не потерять доступ, времена полного нубства прошли.
И ещё как мне кажется статья была написана давно, так как кусок шелла взят ещё с старой версии WSO шела от oRb.
Сама тема статьи интересная и хотелось бы увидеть более подробную статью с рассмотрением действительно правильных шагов для поиска причин взлома, поиска веб шеллов, протроянивание ssh, но не как не такой уровень.
Ну отлично, минуснули, впрочем это не важно, интересно за что, не более.
*надеюсь не за просьбу инвайта, так как думаю что данный ак скоро удалят, а участвовать в дискуссиях хочется, а всё же по поводу основного текста комментария*. Если я прав то хотелось бы доводы, и обсуждения моментов, а не просто обиженные плевки минусы в спину.
Если честно то статья не о чём, да и советы ну прям полностью домохозяйкам.
Время создания\изменения файла меняется легко при помощи команды touch либо в большинстве шеллов изначально это делается через интерфейс самого шелла, это если искать и сравнивать по дате создания, так же хочу заметить что не всегда шелл имеет расширение пхп, возможно и расширение в jpg/gif/png с изменённым .htaccess.
* Поэтому в первую очередь необходимо искать такие файлы — файлы, очевидно не принадлежащие сайту. Как правило, загруженные скрипты называются довольно необычно и сильно выделяются среди собственных скриптов CMS:
wzxp.php
gwd.php
a10881d.php.2046
Полнейший бред, как правило их пытаются называть максимально похоже для маскировки на похожие файлы в директории в которой находится шелл.
Полнейший бред по ключевым поискам, что такое:Co0lHaZZkeR'ский стиль написания текста.?
Так же меня ввел в ступор данный обзац:Поиск журналов взлома сайта — вот логики не какой
Сама статья больше бредовая не раскрывающая проблему а наиболее сильно усугубляющая её в случае взлома и закрепления на целевой системе. Полностью раскритиковывать не буду (так как сама статья полнейший бред и имеет место если взлом произвёл полный нуб), а просто приведу несколько ссылок для самостоятельного изучения:
Маленькая просьба, если кто то может, пришлите инвайт на: l4ar[@]mail.ua, хочется участвовать полноценно в обсуждениях статей, а полноценного аккуанта нет
удивительно что не кто ещё не привёл: http://www.wiretrip.net/rfp/policy.html, обычно публикуется сведения уязвимости по истечению 14 календарных дней после первого ответа разработчика, если он не сообщил дату когда выйдет патч.
А нужно ли выкладывать, Считаю что ДА, что будет стимуляцией для улучшения как самого функционала программы, так и безопасности.
— Думаешь, мы действительно будем сидеть на облаке и говорить о море?
— Да, я твёрдо в это верю.
(с)Достучаться до небес (Knockin' On Heaven's Door)
А надеюсь что ты сейчас сидишь на облаке, смотришь на нас, говоришь о море и вспоминаешь эти необыкновенные закаты, а нам тебя будет не хватать…
RIP Dennis Ritchie, покойся с миром…
.
Олег, вот за это мне правда стыдно, Простите меня пожалуйста! (посыпаю голову пеплом)
Если акцент на домохозяйку, то почему бы не расписать в каких логах искать, по поводу шелла, вы же понимаете что этот комментарий часто убирают, а почему от orb был приведён, ведь у вас он в примере был?.
Я не спорю о конструктивизме, но может и не стоит и мой комментарий так в штыки принимать, да возможно я переборщил с словосочетанием бред, но верхний более конструктивный, по моему субъективному мнению статья правда зависла. она и не для домохозяек и не для спецов, для домохозяек нехватает большей конкретики и прямых указаний, не более. Для профессионалов я думаю вы сами понимаете, я повторюсь то что ниже уже более лучше, я бы вам 100500 плюсов поставил за такую статью, будь она более профессиональна либо более проста.
По поводу скриптов, смысл мне его писать когда вы меня тут в минус вогнали вместо дискуссии, хотя одна из подсказок (если интересна) на ачате в периуд когда зарождался РОА Димыч писал очень удобный скрипт для анализа.
Хотя я вам могу предложить совместно написать статью ( можете её выложить у себя, на баллы мне всё равно, мне важно читать и иногда комментировать) на данную тематику, скажем версия 2, где мы либо в виде диалога, либо по удобной схеме более полно раскроем данный вид расследования компьютерных преступлений, начиная от причин ( рассмотрим в 3 ракурсах: заказ, поисковик, а просто так) и заканчивая мерами предосторожности, профилактики.
1.Несоответствие заголовка поста с содержанием.
Не раскрыта методика поиска способа проникновения на веб сервер \сайт который был взломан, какие стоило изучать логи, поиск сигнатур и запросов через которые предположительно был произведён взлом, полезные скрипты\ по для анализа логов.
2.Разбираем тело статьи, абзацы:
2.1.Зачем взламывают сайты
Сайты не заражают вирусами в прямом смысле этого сова а либо вешают связку (что бывает редко), либо инфреймят для того чтоб перекинуть трафик на другую связку которая уже и грузит вредоносный код.
Боты не устанавливают на взломанный сайт\сервер (вернее правильно будет не боты, а командный\админ центр) в виду того что в таком случае мы считай подарили свою бот сеть хозяину сайта, либо спалили лоадер для антивирусных программ, для ботов регестрируют произвольные домены у антиабузных хостеров, регионах.
90% что взломанный сайт будет использоваться как трастовая площадка для доров.
2.2. Алгоритм поиска причины взлома
Пока всё нормально в содержании, но это только в содержании.
2.3.Как искать следы взлома
в первую очередь необходимо искать такие файлы — файлы, очевидно не принадлежащие сайту. Как правило, загруженные скрипты называются довольно необычно и сильно выделяются среди собственных скриптов CMS:
Данный поиск приведут к положительному результату только в случае если взлом был проведён полностью нубом, так как это как прописная истина шелл маскируется под окружающую среду, а именно называется либо схожим именем, либо именем, ведущим в заблуждение админа который он посчитает за системый, так же меняется время создания файла на то же какое у большинства в папке где находится шелл. При этом стоит понимать что не всегда шелл имеет расширение php, расширение может быть произвольным, как и шелл может храниться в папке cgi.
Результат работы эксплойта, запущенного для взлома сервера, может выглядеть так:
Резкое перепрыгивание через огромную пропасть информации, результатом какого эксплоита, почему был запущен эксплоит и для чего это делалось? (может стоит описать что такое сплоит, для чего он был запущен и на какие обычно службы он рассчитан).
— часто через уязвимости в редакторах или библиотеках фотографий скрипты загружаются именно в то место
Часто если собрались порутать сервер то заливают и работают уже не через web оболочку, а через поднятый back connect либо биндят порт, веб оболочка используется редко в виду малой информативности, так же заливаются в /tmp
Обязательно загляните в файл .htaccess — в нем могут быть добавлены перенаправления на другие сайты, распространяющие вирус. При этом файл .htaccess может быть размещен как в корне сайта, так и выше, поэтому не поленитесь посмотреть все директории вашего аккаунта.
Совет правильный НО, но стоило раскрыть примерные команды, а так же добавить что может быть не только перенаправление на сайт, но и команда для обработки произвольного расширения файла как php скрипта, что даёт нам в каталоге с изменённым .htaccess шел с расширением изображения.
Ключевые моменты, на которые стоит обращать внимание в скриптах PHP:
Что такое: Co0lHaZZkeR'ский стиль написания текста? — Может хватит играть в шпионов, и мега хакерофф, хочу заметить что в шелле совсем не будет этого стиля, хотя хотелось бы понять что это за стиль такой.
Наличие слов Exploit и Shell. – специально сейчас посмотрел исходник шелла от оRb и там слово exploit встречается всего 2 раза и то как ссылка на exploit-db.com для поиска сплоита для ядра, опять таки мы её можем убрать руками. Shell встречается чаще, но это опять в неупакованном виде, в упакованном этого слова нет.
В конце концов, можно просто зайти браузером и посмотреть, что делает этот скрипт. – есть множество файлов как самой cms так и среди шеллов которые внешне не выдают не какой реакции без задания аргумента, да и как это представляется возможным переход по всем файлам cms?
Файлы можно искать и вручную, но быстрее, если взлом произошел недавно, воспользоваться командой find: # find ./public_html -mtime -3d # find ./public_html -mtime -10h – повторюсь время создания шелла меняется простой командой, так что в некоторых случаях это совсем время в пустую, хотя исключать данный способ не следует.
2.4.Определение времени взлома
Когда файлы найдены, определить время взлома очень просто — достаточно посмотреть время изменения самого раннего файла.
Если подозрительных файлов не найдено, но сайт заражен вирусом, посмотрите дату изменения файлов index.php, index.html или тех, в которых обнаружите вирус. Скорее всего в этом случае сайт взломали, украв пароль от FTP. — уже написано выше, при этом логики между изменением и ftp нет не какой, ведь даже в случае взлома через фтп происходят какие либо действия на сайте\сервере, ведь он их угнал не для того чтоб любоваться на них.
2.5.Поиск журналов взлома сайта
Я думаю тут и без моих комментариев понятна абсолютная нелогичность в тексте, хотя нет вот немного: Если на сайте только произведен дефейс или добавлен вирус ко всем файлам index.html, скорее всего, сайт взломали через кражу пароля FTP (или, гораздо реже, SSH). – нет разницы как был произведён способ взлома, проникновение через бажный скрипт либо через фтп для проведения дефейса, эту строчку можно выставить в цитаты ламоризмов.
Если же на сайте присутствуют PHP Shell или вредоносные скрипты (например, для рассылки спама), скорее всего, сайт взломали через уязвимость в CMS или каком-либо её плагине. В этом случае потребуется проанализировать логи веб-сервера. – ну так же, не имеет значение как был взломан сайт для того чтоб закрепится на сайте при помощи шелла либо рассылки спама.
2.6. Если удалось определить IP-адрес
2.7.Если определить IP-адрес не удалось
Оба без слов, ах да по поводу пост запросов, хочу вас заверить что для хакера предпочтительнее работать пост запросами в виду наименьшего паления в логах сервера, а для взлома предпочтительнее гет запросы в виду их более лёгкой реализации.
2.8. Если ничего не удалось найти
В принципе всё правильно, но как то сковано и нераскрыто, плюс это путь быдло исправления.
2.9.Хозяйке на заметку
У меня нет слов, так эта тема должна быть раскрыта более полно, начиная от выбираемых скриптов и заканчивая настройками скриптов, прав директорий и тд.
Итоги: А итоги я думаю каждый подведёт сам. Но если те действия что описаны в статье действительно действия тех поддержки то (рука_лицо).
Ответ M03G: habrahabr.ru/company/sprinthost/blog/125839/#comment_4178058.
Тогда может стоит называть статью своими именами, и писать не столь кричащий заголовок, а назвать, советы домохозяйкам для того чтоб крепче спать, ну не является то что написано выше полезными советами, это всё равно что к вам проникли в дом через замочную скважину подобрав отмычку, а вы вместо того чтоб сменить замок, уходя замыкаете дверь всё тем же замком, просто изменив накладную панель, либо заклеев замочную скважину скотчём!
Ах да полезные ссылки можно посмотреть в моём комментарии: habrahabr.ru/company/sprinthost/blog/125839/#comment_4177627
*можете минусовать показывая далее свою некомпетентность вместо того чтоб вести диалог, ведь вполне возможно что я не прав, но свой вывод о хостинге я сделал, скрин странички тоже, так на память и друзьям\знакомым, что же друзьям я вас не когда не порекомендую*
Havij — Advanced SQL Injection Tool — itsecteam.com/en/news/article8.htm
софт для раскрутки уже найденной sql уязвимости, поддержка большого кол-ва баз, поиск админки, раскрутка Blind SQL Injector, поиск пасса по хешу.
Toolza 1.0 — rdot.org/forum/showthread.php?t=1142
мега-комбаин написанный Пашкелой на perl в виду чего является кросс платформенным.
PHPFastScanner — rdot.org/forum/showthread.php?t=1160
Приведу цитату:
— Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.
Основные возможности:
*Анализ соседей целевого сайта по Reverse-IP
*Определение используемых движков (в базе 68 сигнатур)
*Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
*Поиск phpinfo, phpmyadmin, sypex dumper
*Сканирование структуры сайта + вложенное сканирование каталогов
*Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
*Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
*Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
*Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
*Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
*Поддержка Keep-Alive соединений (увеличение скорости)
*Поддержка многопоточности (увеличение скорости)
*Понятный интерфейс, множество различных настроек, наличие встроенного FAQ
— [ Web ] Brute Forcer — forum.antichat.ru/thread109600.html
Брутер для проверки на слабые пассы веб форм.
fuzzdb (совместно к примеру с Burp Suite ) — code.google.com/p/fuzzdb/
*FuzzDB – это проект, объединяющий в себе большое количество фаззинг-баз, упорядоченных по своему назначению.
**впрочем сюда можно добавить ещё некоторое кол-во файзеров.
Для распиздяев:
*если есть основания полагать, что была скомпрометирована операционная система — подключить диски к чистой системе (LiveCD) и прогнать чистилками (rkhunter/chkrootkit)
*прогнать веб-директории грепом на предмет подозрительных сигнатур ( eval(base64.., system(..., passthru(… )
*обновить всё до последних версий
*сменить все пароли
У вас интересное словосочетание: Проще восстановиться сайт из резервной копии и жить дальше спокойненько (в идеале-сменить пароли, обновить версии т.д.).
Вообще то это не идеал а первая необходимость, да и сейчас сайты больше взламывают для создания доров, что уже под собой имеет место более или менее адекватной маскировки шелла для того чтоб не потерять доступ, времена полного нубства прошли.
И ещё как мне кажется статья была написана давно, так как кусок шелла взят ещё с старой версии WSO шела от oRb.
Сама тема статьи интересная и хотелось бы увидеть более подробную статью с рассмотрением действительно правильных шагов для поиска причин взлома, поиска веб шеллов, протроянивание ssh, но не как не такой уровень.
*надеюсь не за просьбу инвайта, так как думаю что данный ак скоро удалят, а участвовать в дискуссиях хочется, а всё же по поводу основного текста комментария*. Если я прав то хотелось бы доводы, и обсуждения моментов, а не просто обиженные плевки минусы в спину.
Время создания\изменения файла меняется легко при помощи команды touch либо в большинстве шеллов изначально это делается через интерфейс самого шелла, это если искать и сравнивать по дате создания, так же хочу заметить что не всегда шелл имеет расширение пхп, возможно и расширение в jpg/gif/png с изменённым .htaccess.
* Поэтому в первую очередь необходимо искать такие файлы — файлы, очевидно не принадлежащие сайту. Как правило, загруженные скрипты называются довольно необычно и сильно выделяются среди собственных скриптов CMS:
wzxp.php
gwd.php
a10881d.php.2046
Полнейший бред, как правило их
пытаютсяназывать максимально похоже для маскировки на похожие файлы в директории в которой находится шелл.Полнейший бред по ключевым поискам, что такое:Co0lHaZZkeR'ский стиль написания текста.?
Так же меня ввел в ступор данный обзац:Поиск журналов взлома сайта — вот логики не какой
Сама статья больше бредовая не раскрывающая проблему а наиболее сильно усугубляющая её в случае взлома и закрепления на целевой системе. Полностью раскритиковывать не буду
(так как сама статья полнейший бред и имеет место если взлом произвёл полный нуб), а просто приведу несколько ссылок для самостоятельного изучения:RDot:
Второе пришествие: бэкдор в БД (+ бонусный фишинг-код)
Играем в прятки c админом
Шпаргалка
Snipper:
Magic Include Shell
Raz0r:
Бэкдор в триггере
Маленькая просьба, если кто то может, пришлите инвайт на: l4ar[@]mail.ua, хочется участвовать полноценно в обсуждениях статей, а полноценного аккуанта нет
Подключение EDGE от Beeline.
А нужно ли выкладывать, Считаю что ДА, что будет стимуляцией для улучшения как самого функционала программы, так и безопасности.