Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 23
Нужно работать над причиной, а не последствиями.
Для начала вам нужно определить, как именно происходят эти атаки.
Вероятных причины две:
1) Взлом через соседний аккаунт.
Посмотрите, под каким пользователем работает PHP, нет ли 777 permissions на папках/файлах.
Тут решение или менять хостинг или выставлять правильные permissions: без 'w' флага.
2) Взлом через пользователя. Чувак сохранил FTP пароли в своем FTP клиенте, потом подхватил вирус.
Вирус ворует пароли - модифицирует все файлы.
Проверьте логи FTP.
Решение: разговор с пользователем о недопустимоcти сохранения паролей, антивирус со свежей базой, возможно блокирование IPs с которых идет атака(как временное решение).
Для начала вам нужно определить, как именно происходят эти атаки.
Вероятных причины две:
1) Взлом через соседний аккаунт.
Посмотрите, под каким пользователем работает PHP, нет ли 777 permissions на папках/файлах.
Тут решение или менять хостинг или выставлять правильные permissions: без 'w' флага.
2) Взлом через пользователя. Чувак сохранил FTP пароли в своем FTP клиенте, потом подхватил вирус.
Вирус ворует пароли - модифицирует все файлы.
Проверьте логи FTP.
Решение: разговор с пользователем о недопустимоcти сохранения паролей, антивирус со свежей базой, возможно блокирование IPs с которых идет атака(как временное решение).
второй пункт ближе к моей ситуации. мы и так делаем все что можно чтобы предотвратить утечки, но за представительствами и клиентами уж не уследить. а за блокировку по IP спасибо.
По опыту этот самый троян пер пароли из Total Commandera. Намучившись с таким положением вещей, запретили пользователям хранить пароли в прогах типа Total Commader и все проблемы исчезли тьфу тьфу. Ну и еще вас спасет антивирус ;)
Второе было раза два - один юзер с вирусом был вот оно и воровало пароли на ФТП...
Юзер пошел лесом, ибо антивирусник после первого раза установить не удосужился.
Проблема исправляется банальной шелловой командой, но, сцуко, неприятно...
Юзер пошел лесом, ибо антивирусник после первого раза установить не удосужился.
Проблема исправляется банальной шелловой командой, но, сцуко, неприятно...
Спасибо за подсказку ж)
Tеперь злоумышленникам ничто не помешает написать:
*/ ?> <script>
Tеперь злоумышленникам ничто не помешает написать:
*/ ?> <script>
Если бы я писал этот вирус, то подключение делал бы именно так. Например, в Zend Framework, не принято закрывать php-код.
хм. тут меня мысль посетила. наверно тупо, но все же. а что если в конце кода писать exit;
но все равно загрузчики есть разные. бывать что и в середину кода прописываются.
в любом случае "болезнь проще предупредить чем лечит"
В CodeIgniter 1.6.2 тоже не закрывается код.
но все равно загрузчики есть разные. бывать что и в середину кода прописываются.
в любом случае "болезнь проще предупредить чем лечит"
В CodeIgniter 1.6.2 тоже не закрывается код.
Пишите в конце скрипта die();
Это будет 100% вариант от роботов :)
Это будет 100% вариант от роботов :)
нельзя. сам так подумал меня поправили.
в тотале всем тоже запретил пароли держать. .ftpaccess тоже по папкам разложил.
Уже несколько раз через стянутые пароли наших пользователей меняли их файлы; и всегда вирусные скрипты (все файлы криптованы разными ключами) добавлялись после тэга .
Как-то раз попал на сайт каких-то разработчиков, увидел вирус, написал им - в ответ ничего...
- права на запись
- системы контроля версий
- системы контроля версий
самая жеть была когда увидел такой код вот в конце img-файла...... я аж ошалел.... думал они в конец php файлов суют, а оказался полный хардкор)))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
JavaScript вирусы