Ondsinnede skript. Vi søker etter og fjerner ondsinnet kode på WordPress. Nøytralisering av serverskript
WordPress er et av de mest populære innholdsstyringssystemene, brukt til en rekke formål, fra blogging til e-handel. Det er et bredt utvalg av WordPress-plugins og temaer. Det hender at noen av disse utvidelsene faller i hendene på webmastere etter at en angriper har jobbet med dem.
For sin egen fordel kan han legge igjen reklamelenker eller kode i dem som han vil administrere nettstedet ditt med. Mange WordPress-brukere har ikke mye erfaring med webprogrammering og vet ikke hvordan de skal håndtere denne situasjonen.
For dem gjennomgikk jeg ni av de mest effektive verktøyene for å oppdage ondsinnede endringer i koden til et nettsted som kjører eller installerte tillegg.
1. Theme Authenticity Checker (TAC)Theme Authenticity Checker (TAC) – WordPress-plugin som skanner hver etablert tema for mistenkelige elementer som usynlige lenker eller Base64-kryptert kode.
Etter å ha oppdaget slike elementer, rapporterer TAC dem til WordPress-administratoren, slik at han uavhengig kan analysere og om nødvendig korrigere kildetemafilene:
2. Utnytt skannerExploit Scanner skanner hele nettstedets kildekode og WordPress-databaseinnhold for tvilsomme inkluderinger. Akkurat som TAC, forhindrer ikke denne plugin angrep eller bekjemper konsekvensene deres automatisk.
Den viser bare oppdagede symptomer på infeksjon til nettstedadministratoren. Hvis du ønsker å slette ondsinnet kode, må du gjøre det manuelt:
3. Sucuri SecuritySucuri er en velkjent WordPress sikkerhetsløsning. Sucuri Security-pluginen overvåker filer lastet opp til et WordPress-nettsted, opprettholder sin egen liste over kjente trusler, og lar deg også eksternt skanne nettstedet ved å bruke den gratis Sucuri SiteCheck-skanneren. Bak abonnementsavgift Du kan styrke nettstedets beskyttelse ytterligere ved å installere den kraftige Sucuri Website Firewall:
4. Anti-MalwareAnti-Malware er en plugin for WordPress som kan finne og fjerne trojanske skript, bakdører og annen ondsinnet kode.
Innstillinger for skanning og sletting kan tilpasses. Dette pluginet kan brukes etter registrering gratis på gotmls.
Programtillegget går regelmessig inn på produsentens nettsted, overfører statistikk for oppdagelse av skadelig programvare og mottar oppdateringer. Derfor, hvis du ikke vil installere plugins på nettstedet ditt som overvåker driften, bør du unngå å bruke Anti-Malware:
5. WP Antivirus Site ProtectionWP Antivirus Site Protection er en plugin som skanner alle filer lastet opp til et nettsted, inkludert WordPress-temaer.
Plugin-en har sin egen signaturdatabase, som automatisk oppdateres via Internett. Det kan fjerne trusler automatisk, varsle nettstedadministratoren ved å e-post Og mye mer.
Plugin er installert og fungerer gratis, men har flere betalte tillegg som er verdt å ta hensyn til:
6. AntiVirus for WordPressAntiVirus for WordPress er en brukervennlig plugin som kan skanne nettstedet ditt regelmessig og varsle deg om sikkerhetsproblemer via e-post. Programtillegget har en egendefinert hviteliste og andre funksjoner:
7. Quterra Web Malware ScannerQuterras skanner sjekker et nettsted for sårbarheter, tredjeparts kodeinjeksjoner, virus, bakdører osv. Skanneren har så interessante funksjoner som heuristisk skanning og gjenkjenning av eksterne lenker.
Grunnleggende skannerfunksjoner er gratis, mens noen tilleggstjenester vil koste deg $60 per år:
8. WordfenceHvis du leter etter en omfattende løsning på nettstedets sikkerhetsproblemer, trenger du ikke lete lenger enn til Wordfence.
Denne plugin gir konstant beskyttelse for WordPress mot kjente typer angrep, tofaktorautentisering, støtte for en "svarteliste" over IP-adresser til datamaskiner og nettverk brukt av hackere og spammere, og skanning av nettstedet for kjente bakdører.
Denne plugin-en er gratis i sin grunnleggende versjon, men den har også premium-funksjonalitet, som produsenten ber om en beskjeden abonnementsavgift for:
9. WemahuWemahu overvåker endringer i nettstedets kode og søker etter skadelig kode.
Databasen som skadelig programvare oppdages på fylles på ved hjelp av crowdsourcing-metoden: brukerne fyller på den selv ved å sende resultatene av skanning av infiserte WordPress-installasjoner til nettstedet til plugin-forfatteren. Programtillegget støtter også sending av rapporter via e-post og andre nyttige funksjoner.
Må gjøres sammen. Hvis du eliminerer den opprinnelige årsaken til hacket (for eksempel en sårbarhet i CMS-utvidelsen), men ikke fjerner alle de skadelige filene, vil angriperen kunne få tilgang til nettstedet igjen ved å bruke et av skriptene hans. Hvis du fjerner alle nedlastede ondsinnede skript, men ikke eliminerer årsaken til hacket, vil angriperen kunne hacke nettstedet igjen og laste ned skript til det igjen.
En spesialist med passende kunnskap og erfaring bør utføre arbeid for å fjerne ondsinnede skript og analysere årsakene til hacking:
- For å fjerne ondsinnede skript trenger du kunnskap om PHP-programmeringsspråket, samt kunnskap om "innsiden" av populære CMS (Joomla, WordPress, etc.) og utvidelser for dem. Denne kunnskapen er nødvendig for å skille skript direkte fra CMS og dets utvidelser fra fremmede filer, og også for å kunne entydig bestemme hvilke handlinger de utfører når de møter tvilsomme skript.
- For å analysere årsakene til hacking kreves erfaring med serveradministrasjon. Dette er nødvendig for å analysere tilstanden til filene på kontoen, tidspunktet de ble endret, og også for å sammenligne disse dataene med serverlogger for å finne ut hvilke handlinger fra angriperen som førte til hacking av nettsteder.
Derfor, hvis nettstedet ditt har blitt hacket, anbefales det, for å unngå gjentatte hacks, ikke å gjøre arbeidet selv, men å kontakte en spesialist som vil utføre nødvendig diagnostikk og anbefale eller utføre nødvendige handlinger for å løse problemet, og hvem kan garantere kvaliteten på det oppnådde resultatet.
Det finnes imidlertid en rekke tiltak som i noen tilfeller bidrar til å gjenopprette sikker drift av stedet uten spesiell kunnskap. Begrensningen for metoden nedenfor er at for å gjenoppta driften av nettstedet, krever det en sikkerhetskopi av den opprettet før hacket. Hvis datoen for bruddet er ukjent, kan du prøve denne metoden ved å bruke den eldste sikkerhetskopien som er tilgjengelig. Den andre begrensningen, som en konsekvens av den første, er at etter gjenoppretting av nettstedet ble data lagt til nettstedet etter gjenopprettingssikkerhetskopien (for eksempel nye artikler, bilder eller dokumenter). Hvis du trenger å gjenopprette nettstedet mens du beholder nye data, må du kontakte en spesialist.
Disse tiltakene tillater oss ikke å fastslå årsaken til nettstedshacket, men hver av dem er rettet mot å eliminere en av de potensielle årsakene til penetrering. Siden den nøyaktige årsaken til hacket er ukjent, er det nødvendig å utføre dem alle. Handlingene er ordnet i en slik rekkefølge at de først fullstendig eliminerer muligheten for at angriperen fortsetter sine aktiviteter på nettstedet eller hostingkontoen i for tiden, og forhindre deretter at en angriper kommer inn på nettstedet i fremtiden.
Trinnene nedenfor forutsetter at du bare har ett nettsted på hostingkontoen din. Hvis det er flere nettsteder på kontoen, kan de også bli hacket, og nettstedet kan bli hacket gjennom dem. Det er nødvendig å enten overføre stedet som restaureringsarbeidet utføres med til en egen konto, eller utføre restaurering for alle nettstedene som er vert på kontoen samtidig.
Rekkefølgen av handlinger er viktig, så det er nødvendig å utføre dem i nøyaktig rekkefølgen de er plassert nedenfor.
Alle de ovennevnte handlingene må utføres i henhold til den angitte rekkefølgen, uten utelatelser eller endringer. Hvis handlingene utføres unøyaktig, kan ondsinnede skript eller sårbarheter forbli på nettstedet, som et resultat av at det kan hackes igjen av en angriper etter kort tid. Hvis det av en eller annen grunn ikke er mulig å utføre trinnene ovenfor i formen de er angitt i, kontakt en spesialist for å utføre arbeid for å gjenopprette nettstedet etter et hack.
For å beskytte nettstedet ditt mot gjentatte hacks i fremtiden, må du følge følgende anbefalinger:Ondsinnet kode kommer inn på nettstedet gjennom uaktsomhet eller ondsinnet hensikt. Formålet med ondsinnet kode varierer, men i hovedsak skader eller forstyrrer den normal drift av et nettsted. For å fjerne ondsinnet kode på WordPress, må du først finne den.
Hva er ondsinnet kode på et WordPress-nettsted?Av utseende, oftest er ondsinnet kode et sett med bokstaver og symboler i det latinske alfabetet. Faktisk er dette en kryptert kode som denne eller den handlingen utføres med. Handlingene kan være svært forskjellige, for eksempel blir de nye innleggene dine umiddelbart publisert på en tredjepartsressurs. Dette er i hovedsak å stjele innholdet ditt. Koder har også andre "oppgaver", for eksempel å plassere utgående lenker på nettstedssider. Oppgavene kan være de mest sofistikerte, men én ting er klart: ondsinnede koder må jaktes og fjernes.
Hvordan kommer skadelige koder inn på et nettsted?Det er også mange smutthull for koder for å komme inn på siden.
La meg merke med en gang at det er vanskelig å bekjempe slike virus, og manuell fjerning krever kunnskap. Det er tre løsninger på problemet: den første løsningen er å bruke antivirus-plugins, for eksempel en plugin kalt BulletProof Security.
Denne løsningen gir gode resultater, men tar tid, om enn litt. Det er en mer radikal løsning for å kvitte seg med ondsinnede koder, inkludert komplekse virus, som er å gjenopprette nettstedet fra tidligere laget sikkerhetskopier av nettstedet.
Siden en god webmaster gjør dette med jevne mellomrom, kan du rulle tilbake til en ikke-infisert versjon uten problemer. Den tredje løsningen er for de rike og late, bare ta kontakt med et spesialisert "kontor" eller en individuell spesialist.
Slik ser du etter ondsinnet kode på WordPressDet er viktig å forstå at ondsinnet kode på WordPress kan være i hvilken som helst fil på nettstedet, og ikke nødvendigvis i arbeidstemaet. Han kan komme opp med en plugin, et tema eller "hjemmelaget" kode hentet fra Internett. Det er flere måter å prøve å finne skadelig kode på.
Metode 1: Manuelt. Du blar gjennom alle nettstedsfilene og sammenligner dem med filene til en uinfisert sikkerhetskopi. Hvis du finner en annens kode, slett den.
Metode 2: Bruke WordPress Security Plugins. For eksempel, . Denne plugin-en har en flott funksjon som skanner nettstedsfiler for tilstedeværelse av andres kode, og plugin-en takler denne oppgaven perfekt.
Metode 3. Hvis du har rimelig støtte for hosting, og det ser ut til at det er noen andre på nettstedet, kan du be dem skanne nettstedet ditt med antivirusprogrammet sitt. Rapporten deres viser alle infiserte filer. Deretter åpner du disse filene tekstredigerer og fjern ondsinnet kode.
Metode 4. Hvis du kan jobbe med SSH-tilgang til nettstedkatalogen, så fortsett, den har sitt eget kjøkken.
Viktig! Uansett hvordan du søker etter ondsinnet kode, før du søker og deretter sletter koden, må du lukke tilgangen til nettstedfilene (slå på vedlikeholdsmodus). Husk om koder som i seg selv blir gjenopprettet når de slettes.
Søk etter ondsinnede koder ved å bruke eval-funksjonenDet er en slik funksjon i PHP som heter eval. Den lar deg kjøre hvilken som helst kode på linjen. Dessuten kan koden krypteres. Det er på grunn av kodingen at den skadelige koden ser ut som et sett med bokstaver og symboler. To populære kodinger er:
Følgelig ser evalfunksjonen slik ut i disse kodingene:
- eval(base64_decode(...))
- eval (str_rot13 (...)) //i interne anførselstegn, lange, uklare sett med bokstaver og symboler..
Algoritmen for å søke etter ondsinnet kode ved å bruke eval-funksjonen er som følger (vi jobber fra det administrative panelet):
- gå til nettstedsredigering (Utseende → Redaktør).
- kopier filen functions.php.
- åpne den i et tekstredigeringsprogram (for eksempel Notepad++) og søk etter ordet: eval.
- Hvis du finner det, ikke skynd deg å slette noe. Du må forstå hva denne funksjonen "ber" om å bli utført. For å forstå dette må koden dekodes. For dekoding finnes det nettbaserte verktøy kalt dekodere.
Dekodere fungerer enkelt. Du kopierer koden du vil dekryptere, limer den inn i dekoderfeltet og dekoder.
I skrivende stund fant jeg ikke en eneste kryptert kode funnet i WordPress. Jeg fant koden fra Joomla-nettstedet. I prinsippet er det ingen forskjell i å forstå dekoding. La oss se på bildet.
Som du kan se på bildet, viste eval-funksjonen, etter dekoding, ikke en forferdelig kode som truer sikkerheten til nettstedet, men en kryptert copyright-lenke fra forfatteren av malen. Den kan også fjernes, men den kommer tilbake etter oppdatering av malen hvis du ikke bruker .
Avslutningsvis vil jeg merke, for ikke å få et virus på nettstedet:
- Ondsinnet kode på WordPress kommer ofte med temaer og plugins. Derfor, ikke installer maler og plugins fra "venstre", ubekreftede ressurser, og hvis du gjør det, sjekk dem nøye for tilstedeværelsen av lenker og utøvende funksjoner til PHP. Etter å ha installert plugins og temaer fra "ulovlige" ressurser, sjekk nettstedet med antivirusprogramvare.
- Sørg for å ta periodiske sikkerhetskopier og utføre andre.
1. Pakk den ut i nettstedmappen.
2. følg linken your_site/fscure/
3. alt
1. Automatisk søk etter virus etter signaturer.
2. Søk etter en streng i filer
3. Slette filer
4. Patch ondsinnet kode ved hjelp av regulære uttrykk
Skriptet vil ikke gjøre alt arbeidet for deg og krever minimal kunnskap. Det anbefales å ta en sikkerhetskopi av siden før arbeid.
Hvordan virker det?Når den først lanseres, oppretter den en indeks over filer. Filen fscure.lst er i mappen. Viser en liste over filer som inneholder potensielt skadelige signaturer. "Potensielt ondsinnet" betyr at du må avgjøre om det er et virus eller ikke. Listen over signaturer er konfigurert i config.php-filen, konstant SCAN_SIGN. Med standardinnstillinger sjekker ikke skriptet js-filer og inneholder ikke signaturer for dem.
1. oppretter ikke fscure.lst-indeksen. Kan skje hvis det ikke er nok rettigheter. Sett 777 på fscure-mappen
2. 5xx feil. Oftest "504 Gateway Time-out". Skriptet har ikke tid til å behandle og krasjer på grunn av tidsavbrudd. I dette tilfellet er det flere måter å fremskynde arbeidet på. Hastighet avhenger først og fremst av størrelsen på indeksen. Det er i filen fscure.lst. Vanligvis kan en fil på opptil 5 MB behandles i 90 % av tilfellene. Hvis det ikke har tid, kan du redusere "grådigheten" til skriptet ved å forby skanning av *.jpg;*.png;*.css i konfigurasjonen.
I config.php-filen.
// skilletegn; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");
3. Hosting utsteder en advarsel som
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php
Det er ikke noe virus i manuset, og det har det aldri vært. Og (HEX)base64.inject.unclassed.6 er en konstruksjon som "echo base64_decode(" , som ofte oppstår og i seg selv er ganske ufarlig. Men i siste versjon, jeg erstattet denne koden.
Hva gjør du hvis du ikke kan finne viruset selv?Du kan kontakte meg for å få hjelp. Mine priser er beskjedne. Jeg garanterer arbeidet mitt i 6 måneder. Kostnaden for arbeidet er 800 rubler. for 1 nettsted. Hvis det er flere nettsteder på kontoen din, bestemmes prisen individuelt.
Hvis du klarte å gjøre alt selv, ville jeg vært takknemlig for en økonomisk belønning eller en lenke til siden min.
Mine krav:
yandex
41001151597934
webmoney
Z959263622242
R356304765617
E172301357329
Sannheten i livet er at siden kan hackes før eller siden. Etter å ha utnyttet sårbarheten, prøver hackeren å få fotfeste på nettstedet ved å plassere hacker-nettskall og nedlastere i systemkataloger og introdusere bakdører i skriptkoden og CMS-databasen.
Skannere hjelper til med å oppdage innlastede nettskall, bakdører, phishing-sider, spam-e-poster og andre typer ondsinnede skript - alt de vet og er forhåndslagt til signaturdatabasen for skadelig kode. Noen skannere, som AI-BOLIT, har et sett med heuristiske regler som kan oppdage filer med mistenkelig kode som ofte brukes i ondsinnede skript, eller filer med mistenkelige attributter som kan lastes ned av hackere. Men, dessverre, selv om flere skannere brukes på hostingen, kan det være situasjoner der noen hackerskript forblir uoppdaget, noe som faktisk betyr at angriperen sitter igjen med en "bakdør" og han kan hacke nettstedet og ta over det full kontroll når som helst.
Moderne skadevare- og hackerskript er vesentlig forskjellige fra de for 4-5 år siden. For tiden kombinerer utviklere av ondsinnet kode tilsløring, kryptering, dekomponering, ekstern lasting av ondsinnet kode og andre triks for å lure antivirusprogramvare. Derfor er sannsynligheten for å gå glipp av ny skadelig programvare mye høyere enn før.
Hva kan gjøres i dette tilfellet for mer effektivt å oppdage virus på nettstedet og hackerskript på hostingen? Det er nødvendig å bruke en integrert tilnærming: innledende automatisert skanning og ytterligere manuell analyse. Denne artikkelen vil diskutere alternativer for å oppdage skadelig kode uten skannere.
Først, la oss se på nøyaktig hva du bør se etter under et hack.
Som oftest, ved hacking, er filer som lastes ned nettskjell, bakdører, «opplastingsprogrammer», skript for spam-utsendelser, phishing-sider + skjemabehandlere, døråpninger og hackingmarkørfiler (bilder fra hackergruppens logo, tekstfiler med en "melding" fra hackere osv.)
Den nest mest populære typen hosting av ondsinnet kode og hackerkode er injeksjoner. Mobil- og søkeomdirigeringer kan injiseres i eksisterende .htaccess-filer på nettstedet, bakdører kan injiseres i php/perl-skript, og virale javascript-fragmenter eller omdirigeringer til tredjepartsressurser kan bygges inn i .js- og .html-maler. Injeksjoner er også mulig i mediefiler, for eksempel.jpg eller. Ofte består ondsinnet kode av flere komponenter: selve den ondsinnede koden er lagret i exif-overskriften til jpg-filen, og utføres ved hjelp av et lite kontrollskript, hvis kode ikke ser mistenkelig ut for skanneren.
Databasen er det tredje målet for en hacker. Her er statiske innlegg mulige, , , , som omdirigerer besøkende til tredjepartsressurser, "spionerer" på dem eller infiserer besøkendes datamaskin/mobilenhet som et resultat av et drive-by-angrep.
I tillegg, i mange moderne CMS (IPB, vBulletin, modx, etc.) lar malmotorer deg kjøre php kode, og selve malene lagres i databasen, slik at PHP-koden til web-skall og bakdører kan bygges direkte inn i databasen.
Som et resultat av feil eller usikker konfigurasjon av hurtigbuffertjenester, for eksempel memcached, er injeksjoner i bufrede data "on the fly" mulig. I noen tilfeller kan en hacker injisere ondsinnet kode på sidene til et nettsted uten å direkte hacke nettstedet.
Hvis en hacker har fått privilegert (root) tilgang til serveren, kan han erstatte elementer av webserveren eller cacheserveren med infiserte. En slik webserver vil på den ene siden gi kontroll over serveren ved hjelp av kontrollkommandoer, og på den annen side fra tid til annen introdusere dynamiske omdirigeringer og ondsinnet kode på sidens sider. Som ved en injeksjon i en hurtigbuffertjeneste, vil nettstedsadministratoren mest sannsynlig ikke kunne oppdage at siden har blitt hacket, siden alle filene og databasen vil være originale. Dette alternativet er det vanskeligste å behandle.
Så la oss anta at du allerede har sjekket filene på hostingen og databasedumpen med skannere, men de fant ikke noe, og viruset er fortsatt på siden, eller mobilviderekoblingen fortsetter å fungere når du åpner sider. Hvordan søke videre?
Manuelt søkPå unix er det vanskelig å finne et mer verdifullt kommandopar for å finne filer og fragmenter enn find / grep.
finne. -navn '*.ph*' -mtime -7
vil finne alle filer som har blitt endret den siste uken. Noen ganger "vrir" hackere endringsdatoen til skript for ikke å oppdage nye skript. Deretter kan du søke etter php/phtml-filer hvis attributter er endret
finne. -navn '*.ph*' -сtid -7
Hvis du trenger å finne endringer i et bestemt tidsintervall, kan du bruke samme funn
finne. -navn '*.ph*' -newermt 2015-01-25 ! -newermt 2015-01-30 -ls
For å søke i filer er grep uunnværlig. Den kan søke rekursivt gjennom filer etter et spesifisert fragment
grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *
Når du hacker en server, er det nyttig å analysere filer som har guid/suid-flagget satt
finn / -perm -4000 -o -perm -2000
For å finne ut hvilke skript som kjører og laster hosting-CPU, kan du ringe
lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep vhosts | grep php
Vi bruker hjernen og hendene våre til å analysere filer på hostingFor WordPress er det fornuftig å sjekke wp-content/uploads-katalogen, backup- og cache-temakatalogene for skript.
For eksempel php, fyi.php, n2fd2.php. Filer kan søkes
- - ved ikke-standard kombinasjoner av tegn,
- - tilstedeværelsen av tallene 3,4,5,6,7,8,9 i filnavnet
La oss si at du har et nettsted på WordPress eller for dem vil filer med filtypene .py, .pl, .cgi, .so, .c, .phtml, .php3 ikke være helt vanlige. Hvis noen skript og filer med disse utvidelsene oppdages, vil de mest sannsynlig være hackerverktøy. Prosentandelen av falske deteksjoner er mulig, men den er ikke høy.
Mistanke kan være forårsaket av filer med attributter som er forskjellige fra de som finnes på serveren. For eksempel ble alle .php-skript lastet opp via ftp/sftp og har brukeren, og noen ble laget av brukeren www-data. Det er fornuftig å sjekke de siste. Eller hvis skriptfilens opprettelsesdato er tidligere enn nettstedets opprettelsesdato.
For å øke hastigheten på søket etter filer med mistenkelige attributter, er det praktisk å bruke Unix find-kommandoen.
Hvis det er flere tusen .php- eller .html-filer i katalogen, er dette mest sannsynlig en døråpning.
Webserver, e-posttjeneste og FTP-logger kan brukes til å oppdage ondsinnede skript og hackerskript.
- Korrelasjon av dato og klokkeslett for sending av brevet (som kan finnes fra loggen e-postserver eller tjenesteoverskriften på et spambrev) med forespørsler fra access_log hjelper til med å identifisere metoden for å sende spam eller finne spam-avsenderskriptet.
- Analyse av FTP xferlog-overføringsloggen lar deg forstå hvilke filer som ble lastet ned på tidspunktet for hacket, hvilke som ble endret og av hvem.
- I en riktig konfigurert e-postserverlogg eller i tjenesteoverskriften til en spam-e-post, hvis PHP er riktig konfigurert, vil det være et navn eller en fullstendig bane til avsenderskriptet, som hjelper til med å bestemme kilden til spam.
- Ved å bruke loggene for proaktiv beskyttelse av moderne CMS og plugins, kan du finne ut hvilke angrep som ble utført på nettstedet og om CMS var i stand til å motstå dem.
- Ved å bruke access_log og error_log kan du analysere handlingene til en hacker hvis du kjenner navnene på skriptene han ringte, IP-adressen eller brukeragenten. Som en siste utvei kan du se POST-forespørsler den dagen siden ble hacket og infisert. Ofte lar analysen deg finne andre hackerskript som ble lastet ned eller allerede var på serveren på tidspunktet for hacket.
Det er mye lettere å analysere et hack og se etter ondsinnede skript på et nettsted hvis du tar vare på sikkerheten på forhånd. Prosedyren for integritetssjekk hjelper til med å oppdage endringer i hostingen i tide og bestemme fakta om hacking. En av de enkleste og effektive måter– legg nettstedet under versjonskontrollsystem (git, svn, cvs). Hvis du konfigurerer .gitignore riktig, ser endringskontrollprosessen ut som å kalle opp git status-kommandoen, og å søke etter ondsinnede skript og endrede filer ser ut som git diff.
Det vil du også alltid ha sikkerhetskopi filer som du kan "rulle tilbake" nettstedet til i løpet av sekunder. Serveradministratorer og avanserte webmastere kan bruke inotify, tripwire, auditd og andre mekanismer for å spore tilgang til filer og kataloger, og overvåke endringer i filsystemet.
Dessverre er det ikke alltid mulig å konfigurere et versjonskontrollsystem eller tredjepartstjenester på serveren. Ved delt hosting vil det ikke være mulig å installere et versjonskontrollsystem og systemtjenester. Men det spiller ingen rolle, det er ganske mange ferdige løsninger for CMS. Du kan installere en plugin eller et eget skript på nettstedet som vil spore endringer i filer. Noen CMS implementerer allerede effektiv endringsovervåking og en integritetssjekkmekanisme (for eksempel Bitrix, DLE). Som en siste utvei, hvis hostingen har ssh, kan du opprette en referansebesetning filsystem team
Kampanje "2 for prisen av 1"Kampanjen er gyldig ut måneden.
Når du aktiverer tjenesten "Nettsted under overvåking" for en nettside, kobles den andre på samme konto til gratis. Påfølgende nettsteder på kontoen - 1500 rubler per måned for hvert nettsted.