Zlonamjerne skripte. Tražimo i uklanjamo zlonamjerni kod na WordPress-u. Neutralizacija serverskih skripti
WordPress je jedan od najpopularnijih sistema za upravljanje sadržajem, koji se koristi u razne svrhe, od bloganja do e-trgovine. Postoji širok izbor WordPress dodataka i tema. Dešava se da neka od ovih ekstenzija padnu u ruke webmastera nakon što je neki napadač radio na njima.
Za svoju korist, mogao bi u njima ostaviti reklamne veze ili kod pomoću kojih će upravljati vašom web lokacijom. Mnogi korisnici WordPress-a nemaju puno iskustva u web programiranju i ne znaju kako se nositi s ovom situacijom.
Za njih sam pregledao devet najefikasnijih alata za otkrivanje zlonamjernih promjena u kodu pokrenute web stranice ili instaliranih dodataka.
1. Provjera autentičnosti teme (TAC)Theme Authenticity Checker (TAC) – WordPress dodatak koji skenira sve uspostavljena tema za sumnjive elemente kao što su nevidljive veze ili Base64 šifrirani kod.
Nakon što je otkrio takve elemente, TAC ih prijavljuje WordPress administratoru, omogućavajući mu da samostalno analizira i, ako je potrebno, ispravi datoteke izvorne teme:
2. Exploit ScannerExploit Scanner skenira cijeli izvorni kod vaše web stranice i sadržaj WordPress baze podataka u potrazi za upitnim uključivanjem. Baš kao i TAC, ovaj dodatak ne sprječava napade niti se automatski bori protiv njihovih posljedica.
Administratoru stranice prikazuje samo otkrivene simptome infekcije. Ako želite da obrišete zlonamjernog koda, morat ćete to učiniti ručno:
3. Sucuri SecuritySucuri je dobro poznato WordPress sigurnosno rješenje. Sucuri Security dodatak nadzire datoteke otpremljene na WordPress stranicu, održava vlastitu listu poznatih prijetnji, a također vam omogućava da udaljeno skenirate stranicu pomoću besplatnog Sucuri SiteCheck skenera. Iza pretplatu Možete dodatno ojačati zaštitu vaše stranice instaliranjem moćnog Sucuri Website Firewall:
4. Anti-MalwareAnti-Malware je dodatak za WordPress koji može pronaći i ukloniti trojanske skripte, backdoor i drugi zlonamjerni kod.
Postavke skeniranja i brisanja se mogu prilagoditi. Ovaj dodatak se može koristiti nakon registracije besplatno na gotmls.
Dodatak redovno pristupa web stranici proizvođača, prenosi statistiku otkrivanja zlonamjernog softvera i prima ažuriranja. Stoga, ako ne želite da instalirate dodatke na svoju web lokaciju koji prate njen rad, izbjegavajte korištenje Anti-Malwarea:
5. Zaštita WP Antivirus lokacijeWP Antivirus Site Protection je dodatak koji skenira sve datoteke učitane na web lokaciju, uključujući WordPress teme.
Dodatak ima vlastitu bazu podataka koja se automatski ažurira putem interneta. Može automatski ukloniti prijetnje, o tome obavijestiti administratora stranice e-mail I mnogo više.
Dodatak je instaliran i funkcionira besplatno, ali ima nekoliko plaćenih dodataka na koje vrijedi obratiti pažnju:
6. Antivirus za WordPressAntiVirus za WordPress je dodatak koji se lako koristi i koji može redovno skenirati vašu stranicu i obavještavati vas o sigurnosnim problemima putem e-pošte. Dodatak ima prilagođenu bijelu listu i druge funkcije:
7. Quterra Web Malware ScannerQuterrin skener provjerava web lokaciju na ranjivosti, ubrizgavanje koda treće strane, viruse, backdoor itd. Skener ima tako zanimljive karakteristike kao što su heurističko skeniranje i detekcija vanjskih veza.
Osnovne funkcije skenera su besplatne, dok će vas neke dodatne usluge koštati 60 USD godišnje:
8. WordfenceAko tražite sveobuhvatno rješenje za sigurnosne probleme vaše web stranice, ne tražite dalje od Wordfence-a.
Ovaj dodatak pruža stalnu zaštitu WordPress-a od poznatih vrsta napada, dvofaktorsku autentifikaciju, podršku za “crnu listu” IP adresa računara i mreža koje koriste hakeri i spameri, te skeniranje stranice u potrazi za poznatim backdoorima.
Ovaj dodatak je besplatan u svojoj osnovnoj verziji, ali ima i premium funkcionalnost, za koju proizvođač traži skromnu pretplatu:
9.WemahuWemahu prati promjene koda vaše stranice i traži zlonamjerni kod.
Baza podataka u kojoj je otkriven zlonamjerni softver nadopunjuje se metodom crowdsourcinga: korisnici je sami popunjavaju slanjem rezultata skeniranja zaraženih WordPress instalacija na web stranicu autora dodatka. Dodatak također podržava slanje izvještaja putem e-pošte i druge korisne funkcije.
Mora se raditi zajedno. Ako eliminišete izvorni uzrok hakovanja (na primjer, ranjivost u CMS ekstenziji), ali ne uklonite sve zlonamjerne datoteke, napadač će moći ponovo dobiti pristup web stranici koristeći jednu od svojih skripti. Ako uklonite sve preuzete zlonamjerne skripte, ali ne eliminišete uzrok hakovanja, napadač će moći ponovo hakovati sajt i ponovo preuzeti skripte na njega.
Stručnjak s odgovarajućim znanjem i iskustvom trebao bi obaviti posao na uklanjanju zlonamjernih skripti i analizirati uzroke hakiranja:
- Da biste uklonili zlonamerne skripte, potrebno je poznavanje PHP programskog jezika, kao i poznavanje „unutrašnjice“ popularnog CMS-a (Joomla, WordPress, itd.) i ekstenzija za njih. Ovo znanje je potrebno da bi se skripte razlikovale direktno od CMS-a i njegovih ekstenzija od stranih datoteka, kao i da bi se moglo nedvosmisleno odrediti koje radnje izvršavaju kada naiđu na sumnjive skripte.
- Za analizu uzroka hakovanja potrebno je iskustvo administracije servera. Ovo je neophodno da se analizira stanje fajlova na nalogu, vreme kada su promenjeni, kao i da se ti podaci uporede sa serverskim logovima kako bi se utvrdilo koje su radnje napadača dovele do hakovanja sajtova.
Stoga, ako je vaša stranica hakovana, preporučuje se, kako ne bi došlo do ponovljenih hakova, da ne radite sami, već da se obratite stručnjaku koji će izvršiti potrebnu dijagnostiku i preporučiti ili izvršiti neophodne radnje za rješavanje problema i ko može garantirati kvalitet dobivenog rezultata.
Međutim, postoji niz mjera koje u nekim slučajevima pomažu da se uspostavi siguran rad stranice bez posebnog znanja. Ograničenje metode u nastavku je da je za nastavak rada stranice potrebna njegova rezervna kopija napravljena prije hakovanja. Ako datum kršenja nije poznat, možete isprobati ovu metodu koristeći najstariju dostupnu sigurnosnu kopiju. Drugo ograničenje, kao posljedica prvog, je da se nakon vraćanja stranice na web-mjesto dodaju podaci nakon kreiranja sigurnosne kopije za vraćanje (na primjer, novi članci, slike ili dokumenti). Ako trebate vratiti stranicu uz zadržavanje novih podataka, trebate kontaktirati stručnjaka.
Ove mjere nam ne dozvoljavaju da utvrdimo uzrok hakovanja sajta, ali svaka od njih ima za cilj eliminaciju jednog od potencijalnih uzroka penetracije. Pošto je tačan razlog hakovanja nepoznat, potrebno je izvršiti sve. Radnje su raspoređene u takvom redoslijedu da se prvo potpuno eliminira mogućnost da napadač nastavi svoje aktivnosti na stranici ili hosting računu u trenutno, a zatim spriječiti napadača da uđe na stranicu u budućnosti.
Koraci u nastavku pretpostavljaju da imate samo jednu web stranicu na svom hosting računu. Ako postoji nekoliko lokacija na nalogu, onda bi i one mogle biti hakovane, a sajt bi mogao biti hakovan preko njih. Potrebno je ili prenijeti lokaciju s kojom se izvode restauratorski radovi na poseban račun ili izvršiti restauraciju za sve stranice koje se nalaze na računu u isto vrijeme.
Redoslijed radnji je važan, pa ih je potrebno izvoditi tačno onim redoslijedom kojim se nalaze ispod.
Sve gore navedene radnje moraju se izvršiti u skladu sa navedenim redoslijedom, bez propusta ili ikakvih promjena. Ako se radnje izvedu neprecizno, zlonamjerne skripte ili ranjivosti mogu ostati na stranici, zbog čega je napadač nakon kratkog vremena može ponovo hakirati. Ako iz nekog razloga nije moguće izvršiti gore navedene korake u obliku u kojem su naznačeni, obratite se stručnjaku da izvrši rad na obnavljanju stranice nakon hakovanja.
Da biste zaštitili svoju web stranicu od ponovljenih hakova u budućnosti, morate se pridržavati sljedećih preporuka:Zlonamjerni kod dospijeva na web lokaciju zbog nemara ili zlonamjerne namjere. Namjena zlonamjernog koda varira, ali u suštini šteti ili ometa normalan rad web stranice. Da biste uklonili zlonamjerni kod na WordPressu, prvo ga morate pronaći.
Šta je zlonamjerni kod na WordPress stranici?By izgled, najčešće, zlonamjerni kod je skup slova i simbola latinične abecede. Zapravo, ovo je šifrirani kod kojim se izvršava ova ili ona radnja. Radnje mogu biti vrlo različite, na primjer, vaši novi postovi se odmah objavljuju na resursu treće strane. Ovo je u suštini krađa vašeg sadržaja. Kodovi imaju i druge "zadatke", na primjer, postavljanje odlaznih veza na stranice web stranice. Zadaci mogu biti najsofisticiraniji, ali jedno je jasno: zlonamjerne kodove treba pronaći i ukloniti.
Kako zlonamjerni kodovi dospiju na web stranicu?Postoje i mnoge rupe u zakonu za kodove za ulazak na stranicu.
Odmah da napomenem da je borba protiv takvih virusa teška, a ručno uklanjanje zahtijeva znanje. Postoje tri rješenja za problem: prvo rješenje je korištenje antivirusnih dodataka, na primjer, dodatak koji se zove BulletProof Security.
Ovo rješenje daje dobre rezultate, ali zahtijeva vrijeme, iako malo. Postoji radikalnije rješenje da se riješite zlonamjernih kodova, uključujući i složene viruse, a to je vraćanje stranice iz prethodno napravljenih rezervnih kopija stranice.
Pošto dobar webmaster to povremeno radi, možete se vratiti na nezaraženu verziju bez ikakvih problema. Treće rješenje je za bogate i lijene, samo kontaktirajte specijaliziranu „kancelariju“ ili pojedinog stručnjaka.
Kako potražiti zlonamjerni kod na WordPressuVažno je shvatiti da zlonamjerni kod na WordPress-u može biti u bilo kojoj datoteci na stranici, a ne nužno u radnoj temi. Može smisliti dodatak, temu ili "domaći" kod preuzet sa interneta. Postoji nekoliko načina da pokušate pronaći zlonamjerni kod.
Metoda 1: Ručno. Pomičete se kroz sve datoteke web lokacije i upoređujete ih sa datotekama neinficirane sigurnosne kopije. Ako nađete tuđi kod, izbrišite ga.
Metoda 2: Korištenje WordPress sigurnosnih dodataka. Na primjer, . Ovaj dodatak ima odličnu funkciju, skenira fajlove sajta na prisustvo koda drugih ljudi i dodatak se savršeno nosi sa ovim zadatkom.
Metod 3. Ako imate razumnu podršku za hosting, a čini vam se da postoji još neko na stranici, zamolite ih da skeniraju vašu stranicu svojim antivirusom. Njihov izvještaj će navesti sve zaražene datoteke. Zatim otvorite ove fajlove uređivač teksta i ukloniti zlonamjerni kod.
Metoda 4. Ako možete raditi sa SSH pristupom direktoriju stranice, samo naprijed, ima svoju kuhinju.
Bitan! Bez obzira na to kako tražite zlonamjerni kod, prije pretraživanja, a zatim brisanja koda, zatvorite pristup datotekama web mjesta (uključite način održavanja). Zapamtite kodove koji se sami vraćaju kada se izbrišu.
Potražite zlonamjerne kodove koristeći funkciju evalU PHP-u postoji takva funkcija koja se zove eval. Omogućava vam da izvršite bilo koji kod na njegovoj liniji. Štaviše, kod se može šifrirati. Upravo zbog kodiranja zlonamjerni kod izgleda kao skup slova i simbola. Dva popularna kodiranja su:
U skladu s tim, u ovim kodovima funkcija eval izgleda ovako:
- eval(base64_decode(...))
- eval (str_rot13 (...)) //u internim navodnicima, dugi, nejasni skupovi slova i simbola..
Algoritam za traženje zlonamjernog koda pomoću funkcije eval je sljedeći (radimo iz administrativnog panela):
- idite na uređivač stranice (Izgled→Uređivač).
- kopirajte datoteku functions.php.
- otvorite ga u uređivaču teksta (na primjer, Notepad++) i potražite riječ: eval.
- Ako ga pronađete, nemojte žuriti da bilo šta izbrišete. Morate razumjeti šta ova funkcija "traži" da se izvrši. Da bi se ovo razumjelo, kod treba dekodirati. Za dekodiranje postoje online alati koji se nazivaju dekoderi.
Dekoderi rade jednostavno. Kopirate kod koji želite da dešifrujete, zalijepite ga u polje dekodera i dekodirate.
U vrijeme pisanja, nisam pronašao niti jedan šifrirani kod pronađen u WordPress-u. Pronašao sam kod sa Joomla web stranice. U principu, nema razlike u razumijevanju dekodiranja. Pogledajmo fotografiju.
Kao što možete vidjeti na fotografiji, funkcija eval nakon dekodiranja nije prikazala užasan kod koji ugrožava sigurnost stranice, već šifrirani link autorskih prava od autora šablona. Također se može ukloniti, ali će se vratiti nakon ažuriranja predloška ako ne koristite .
U zaključku, želio bih napomenuti, kako ne biste dobili virus na web mjestu:
- Zlonamjerni kod na WordPressu često dolazi s temama i dodacima. Stoga nemojte instalirati šablone i dodatke sa „lijevih“, neprovjerenih resursa, a ako jeste, pažljivo ih provjerite da li postoje veze i izvršne funkcije PHP-a. Nakon instaliranja dodataka i tema iz "ilegalnih" resursa, provjerite web stranicu antivirusnim softverom.
- Obavezno pravite periodične sigurnosne kopije i izvodite druge.
1. Raspakujte ga u fasciklu sajta.
2. pratite link your_site/fscure/
3. sve
1. Automatsko traženje virusa po potpisima.
2. Potražite niz u datotekama
3. Brisanje datoteka
4. Zakrpi zlonamjerni kod koristeći regularne izraze
Skripta neće obaviti sav posao umjesto vas i zahtijeva minimalno znanje. Preporučljivo je napraviti sigurnosnu kopiju stranice prije rada.
Kako to radi?Kada se prvi put pokrene, kreira indeks datoteka. Datoteka fscure.lst je u fascikli. Prikazuje listu datoteka koje sadrže potencijalno zlonamjerne potpise. “Potencijalno zlonamjerno” znači da ćete morati odlučiti da li se radi o virusu ili ne. Lista potpisa je konfigurisana u datoteci config.php, konstanta SCAN_SIGN. Sa zadanim postavkama, skripta ne provjerava js datoteke i ne sadrži potpise za njih.
1. ne kreira fscure.lst indeks. Može se desiti ako nema dovoljno prava. Stavite 777 u folder fscure
2. 5xx greška. Najčešće "504 Gateway Time-out". Skripta nema vremena za obradu i ruši se zbog isteka vremena. U ovom slučaju postoji nekoliko načina da se ubrza njegov rad. Brzina prvenstveno zavisi od veličine indeksa. Nalazi se u datoteci fscure.lst. Tipično, fajl do 5MB se može obraditi u 90% slučajeva. Ako nema vremena, možete smanjiti "pohlepu" skripte tako što ćete zabraniti skeniranje *.jpg;*.png;*.css u konfiguraciji.
U datoteci config.php.
// delimiter; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");
3. Hosting izdaje upozorenje poput
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php
U skripti nema virusa i nikada ga nije bilo. I (HEX)base64.inject.unclassed.6 je konstrukcija poput "echo base64_decode(" , koja se često susreće i sama po sebi je prilično bezopasna. Međutim, u najnoviju verziju, zamijenio sam ovaj kod.
Šta učiniti ako niste uspjeli sami pronaći virus?Možete me kontaktirati za pomoć. Moje stope su skromne. Garantujem na svoj rad 6 meseci. Cijena radova je 800 rubalja. za 1 lokaciju. Ako na vašem računu postoji više stranica, cijena se određuje pojedinačno.
Ako ste uspjeli sve sami, bio bih vam zahvalan na novčanoj nagradi ili linku na moju stranicu.
Moji rekviziti:
yandex
41001151597934
webmoney
Z959263622242
R356304765617
E172301357329
Životna istina je da sajt može biti hakovan pre ili kasnije. Nakon uspješnog iskorištavanja ranjivosti, haker pokušava steći uporište na web mjestu postavljanjem hakerskih web školjki i preuzimača u sistemske direktorije i uvođenjem backdoor-a u kod skripte i CMS bazu podataka.
Skeneri pomažu u otkrivanju učitanih web školjki, backdoor-a, stranica za krađu identiteta, pošiljatelja neželjene e-pošte i drugih vrsta zlonamjernih skripti – sve što znaju i što je unaprijed dodano u bazu podataka potpisa zlonamjernog koda. Neki skeneri, kao što je AI-BOLIT, imaju skup heurističkih pravila koja mogu otkriti datoteke sa sumnjivim kodom koji se često koristi u zlonamjernim skriptama, ili datoteke sa sumnjivim atributima koje mogu preuzeti hakeri. Ali, nažalost, čak i ako se na hostingu koristi nekoliko skenera, može doći do situacija da neke hakerske skripte ostanu neotkrivene, što zapravo znači da napadaču ostaju „stražnja vrata“ i da može hakovati stranicu i preuzeti je. puna kontrola bilo kada.
Moderni zlonamjerni softver i hakerske skripte značajno se razlikuju od onih prije 4-5 godina. Trenutno, programeri zlonamjernog koda kombiniraju zamagljivanje, enkripciju, dekompoziciju, vanjsko učitavanje zlonamjernog koda i druge trikove kako bi zavarali antivirusni softver. Stoga je vjerovatnoća da ćete propustiti novi zlonamjerni softver mnogo veća nego prije.
Šta se u ovom slučaju može učiniti kako bi se efikasnije otkrili virusi na stranici i hakerske skripte na hostingu? Potrebno je koristiti integrirani pristup: početno automatizirano skeniranje i daljnja ručna analiza. Ovaj članak će raspravljati o opcijama za otkrivanje zlonamjernog koda bez skenera.
Prvo, hajde da pogledamo šta tačno treba da tražite tokom hakovanja.
Najčešće, prilikom hakovanja, fajlovi koji se preuzimaju su web ljuske, backdoor, "uploaderi", skripte za neželjenu poštu, phishing stranice + rukovaoci obrascima, vrata i datoteke markera za hakere (slike sa logotipa hakerske grupe, tekstualne datoteke sa "porukom" od hakera, itd.)
Drugi najpopularniji tip hostinga zlonamjernog i hakerskog koda su injekcije. Preusmjeravanja za mobilne uređaje i pretraživanje mogu se ubaciti u postojeće .htaccess datoteke na web-mjestu, backdoors se mogu ubaciti u php/perl skripte, a virusni javascript fragmenti ili preusmjeravanja na resurse trećih strana mogu se ugraditi u .js i .html šablone. Injekcije su moguće i u medijskim datotekama, na primjer.jpg ili. Zlonamjerni kod se često sastoji od nekoliko komponenti: sam zlonamjerni kod je pohranjen u exif zaglavlju jpg datoteke i izvršava se pomoću male kontrolne skripte, čiji kod skeneru ne izgleda sumnjivo.
Baza podataka je treća meta za hakera. Ovdje su mogući statički umetci, , , , koji posjetitelje preusmjeravaju na resurse trećih strana, "špijuniraju" ih ili inficiraju računar/mobilni uređaj posjetitelja kao rezultat drive-by napada.
Osim toga, u mnogim modernim CMS (IPB, vBulletin, modx, itd.) predlošci vam omogućavaju da izvršite php kod, a sami predlošci su pohranjeni u bazi podataka, tako da se PHP kod web shell-a i backdoor-a može ugraditi direktno u bazu podataka.
Kao rezultat neispravne ili nesigurne konfiguracije usluga keširanja, na primjer, memcached, moguće su injekcije u keširane podatke „u hodu“. U nekim slučajevima, haker može ubaciti zlonamjerni kod na stranice web-lokacije bez direktnog hakovanja web-mjesta.
Ako je haker dobio privilegirani (root) pristup serveru, on može zamijeniti elemente web servera ili keš servera zaraženim. Takav web server će, s jedne strane, omogućiti kontrolu nad serverom pomoću kontrolnih naredbi, as druge strane, s vremena na vrijeme uvesti dinamička preusmjeravanja i zlonamjerni kod na stranice stranice. Kao iu slučaju ubrizgavanja u uslugu keširanja, administrator stranice najvjerovatnije neće moći otkriti činjenicu da je stranica hakovana, jer će svi fajlovi i baza podataka biti originalni. Ova opcija je najteža za liječenje.
Dakle, pretpostavimo da ste već skenerima provjerili datoteke na hostingu i dump baze podataka, ali nisu ništa našli, a virus je još uvijek na stranici ili mobilno preusmjeravanje nastavlja raditi pri otvaranju stranica. Kako dalje tražiti?
Ručna pretragaNa unixu je teško naći vredniji par komandi za pronalaženje datoteka i fragmenata od find / grep.
naći . -name '*.ph*' -mtime -7
će pronaći sve datoteke koje su promijenjene u protekloj sedmici. Ponekad hakeri "izvrću" datum izmjene skripti kako ne bi otkrili nove skripte. Zatim možete tražiti php/phtml datoteke čiji su atributi promijenjeni
naći . -name '*.ph*' -vrijeme -7
Ako trebate pronaći promjene u određenom vremenskom intervalu, možete koristiti isto traženje
naći . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls
Za pretraživanje datoteka, grep je neophodan. Može rekurzivno pretraživati kroz datoteke za određeni fragment
grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *
Kada hakujete server, korisno je analizirati datoteke koje imaju postavljenu zastavicu guid/suid
naći / -perm -4000 -o -perm -2000
Da biste utvrdili koje skripte su trenutno pokrenute i učitavaju hosting CPU, možete pozvati
lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep vhosts | grep php
Koristimo svoj mozak i ruke za analizu datoteka na hostinguZa WordPress, ima smisla provjeriti wp-content/uploads direktorij, backup i keš direktorije tema za skripte.
Na primjer, php, fyi.php, n2fd2.php. Fajlovi se mogu pretraživati
- - nestandardnim kombinacijama znakova,
- - prisustvo brojeva 3,4,5,6,7,8,9 u nazivu datoteke
Recimo da imate web stranicu na WordPress-u ili za njih fajlovi sa ekstenzijama .py, .pl, .cgi, .tako, .c, .phtml, .php3 neće biti sasvim obični. Ako se otkriju bilo kakve skripte i datoteke sa ovim ekstenzijama, najvjerovatnije će to biti hakerski alati. Postotak lažnih detekcija je moguć, ali nije visok.
Sumnju mogu izazvati datoteke sa atributima koji se razlikuju od onih koji postoje na serveru. Na primjer, sve .php skripte su postavljene preko ftp/sftp i imaju korisnika korisnika, a neke je kreirao korisnik www-data. Ima smisla provjeriti najnovije. Ili ako je datum kreiranja datoteke skripte raniji od datuma kreiranja stranice.
Da biste ubrzali pretragu datoteka sa sumnjivim atributima, zgodno je koristiti Unix naredbu find.
Ako postoji nekoliko hiljada .php ili .html datoteka u direktoriju, ovo je najvjerovatnije ulaz.
Web server, servis e-pošte i FTP logovi se mogu koristiti za otkrivanje zlonamjernih i hakerskih skripti.
- Povezanost datuma i vremena slanja pisma (što se može pronaći iz dnevnika mail server ili servisno zaglavlje neželjenog pisma) sa zahtjevima pomoći access_log za identifikaciju načina slanja neželjene pošte ili pronalaženje skripte pošiljatelja neželjene pošte.
- Analiza FTP xferlog dnevnika prijenosa omogućava vam da shvatite koje su datoteke preuzete u vrijeme hakovanja, koje su promijenjene i od koga.
- U ispravno konfigurisanom dnevniku servera pošte ili u zaglavlju usluge neželjene e-pošte, ako je PHP ispravno konfigurisan, postojaće ime ili puna putanja do skripte za slanje, što pomaže da se utvrdi izvor neželjene pošte.
- Koristeći dnevnike proaktivne zaštite modernih CMS-a i dodataka, možete utvrditi koji su napadi izvršeni na web-mjestu i da li im je CMS uspio odoljeti.
- Koristeći access_log i error_log, možete analizirati akcije hakera ako znate nazive skripti koje je pozvao, IP adresu ili korisničkog agenta. U krajnjem slučaju, možete pogledati POST zahtjeve na dan kada je stranica hakovana i zaražena. Često vam analiza omogućava da pronađete druge hakerske skripte koje su preuzete ili su već bile na serveru u vrijeme hakovanja.
Mnogo je lakše analizirati hakiranje i tražiti zlonamjerne skripte na web stranici ako unaprijed vodite računa o njegovoj sigurnosti. Procedura provjere integriteta pomaže da se na vrijeme otkriju promjene na hostingu i utvrdi činjenica hakovanja. Jedan od najjednostavnijih i efikasne načine– stavite sajt pod sistem kontrole verzija (git, svn, cvs). Ako ispravno konfigurirate .gitignore, proces kontrole promjena izgleda kao pozivanje naredbe git status, a traženje zlonamjernih skripti i promijenjenih datoteka izgleda kao git diff.
Takođe ćete uvek imati rezervna kopija datoteke na koje možete "vratiti" stranicu za nekoliko sekundi. Administratori servera i napredni webmasteri mogu koristiti inotify, tripwire, auditd i druge mehanizme za praćenje pristupa datotekama i direktorijima i praćenje promjena u sistemu datoteka.
Nažalost, nije uvijek moguće konfigurirati sistem kontrole verzija ili usluge treće strane na serveru. U slučaju dijeljenog hostinga, neće biti moguće instalirati sistem kontrole verzija i sistemske usluge. Ali nema veze, postoji dosta gotovih rješenja za CMS. Možete instalirati dodatak ili zasebnu skriptu na stranicu koja će pratiti promjene u datotekama. Neki CMS već implementiraju efikasno praćenje promjena i mehanizam provjere integriteta (na primjer, Bitrix, DLE). U krajnjem slučaju, ako hosting ima ssh, možete kreirati referentni cast sistem podataka tim
Promocija “2 po cijeni 1”Akcija važi do kraja meseca.
Kada aktivirate uslugu "Stranica pod nadzorom" za jednu web stranicu, druga na istom računu se povezuje besplatno. Sljedeće stranice na računu - 1.500 rubalja mjesečno za svaku stranicu.