Сказ о том, как я с гидрой боролся

[amarao]

Он покопался в ведре с отходами "Б" гнойного отделения хирургии, нашёл там почти целое яблоко, покрытое какой-то слизью и налипшими крошками и песком. Ещё покопавшись в ведре он нашёл относительно чистый бинт, обтёр им яблоко и звучно хрумкнул его.

Другой аналогии я придумать не могу.

[mSnus]

Всё почти так, только это не яблоко, а нога пациента в очень запущенном состоянии. Отпиливать ногу и пересаживать похожую, но новую, пациент отказывается. Дальше вопрос — отказать ему в помощи или попытаться что-то сделать…

[iiwabor]

«любой скрипт спокойно читал любой файл из директорий выше уровнем (логи, бекапы...) и писал что угодно в другие папки» — за такое надо отрывать… нет, не руки, хотя и их тоже можно и нужно.

[mSnus]

дальнейшее общение с техподдержкой:
— ОК, я прописал open_basedir в .htaccess. Как мне теперь защитить сам .htaccess?
— используйте chattr +i
— но у меня не хватает прав…
— значит, вы не можете использовать chattr +i
<The end. Directed by R. Weide>

[mSnus]

Вам будет любопытно узнать, что этот хостинг стоит примерно вдвое дороже… 5.7 евро в месяц при оплате за год )))

[evgeniymx]

А вы сравнивали расход оперативной памяти при размещении сайта на хостинге с условными 2гб лимита, или на виртуалке с теми же 2гб лимита? А 10 сайтов на том же тарифе хостинга и на той же виртуалке, при условии, что сайты посещает больше 1 человека и 10 ботов?

[mSnus]

Рецепт хорош! И теперь, когда сайт чистый, так можно сделать. Осталось объяснить заказчику, сколько времени это займет, сколько будет стоить и зачем ему это… мне кажется, я сдамся на этом этапе))

[a1ex322]

Следующий вирус дождитесь

[TimsTims]

После этого любая проблема с заражением решается простым git reset --hard HEAD.

Если сервер заразили, то как-то нашли дыру в текущей сборке. Сбросив всё до нуля вы лишь удалите загруженные вирусы, но не залатаете дыру, через которую зашли. А значит зайдут снова.

[mSnus]

Если люди способны на настолько здравые мысли, непонятно, зачем у них сайт на Битриксе. И раньше-то аргументов за эту CMS было немного, а сейчас столько вариантов лучше! Да просто — нормальных

[Carburn]

Какие это варианты?

[Carburn]

А если у вируса инкубационный период будет?

[diakin]

бесплатную программу под Windows для анализа логов — буду рад, платить за http Logs Viewer мне не захотелось

Хм… когда-то писал для себя такую

[mSnus]

выглядит отлично! может, на github? :) а то я тоже собрался писать подобное, но задача себя исчерпала пока, а на пет-проект с нуля времени нет особо

[diakin]

Эм… У меня и гитхаба-то никакого нет ) Могу выложить на яндекс-диск.
зы. omg… Вы не можете комментировать чаще, чем 1 раз в 5 минут (с) Habr

[qWici]

Опишите ещё как вы заказчику рассказали о вирусе и то что он не понятно где и как его удалять. Интересно как этот момент прошел, учитывая что это фриланс.

P.S. "список директорий, обращение к которым через inlclude считается криминальным." — исправьте include

[mSnus]

Спасибо, поправил. А с заказчиком — это тянулось (несмотря на все предупреждения, что сайт может попасть в блеклисты и оттуда его не вытянешь) до момента, когда в увидели, что Гугл проиндексировал уже продажу японских детских курток на главной странице сайта…

[Slach]

Для анализа логов попробуйте
github.com/esrlabs/chipmunk

[mSnus]

Спасибо, попробовал, но что-то вообще не пошло — долго грузит даже маленький файл, ни подсветки синтаксиса, ни группировок/фильтров… то ли он меня не понял, то ли я его

[Dionisvl]

Тоже был опыт лечения битрикса от гидры.
Если коротко, то добавил в php.ini:

disable_functions = "apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system"

[mSnus]

Отличный список, спасибо! На том хостинге не было доступа к php.ini, но на вооружение стоит взять! Правда, в Битриксе некоторые из этих функций используются...

[evgeniymx]

Это не решение проблемы, а временный фикс.