Къде и какво да търсите, след като мястото на прекъсване

Ако сайтът Ви е променен, има малко за премахване на вируса с него и качен PHP Shell. Също така е необходимо да се намери причината за взлом настъпили, или един или два дни на мястото отново ще бъде под весела музика трептене красива чужд флаг турски. Най-често причината - с открадната парола от FTP. CMS или версия на приставката за това е стара, но как да се намери, че тя е била използвана за проникване?

Като известен опит в тази област (средно, нашата техническа поддръжка търси причините за хакване на сайта веднъж седмично), ние систематизирана натрупаната информация.

Така че, защо се притеснява да проникна уебсайтове? И какво, ако сайтът е бил хакнат, как да се намери причината и да се предпазят от по-нататъшно атака?

Защо хак сайтове

алгоритъм за търсене причините крекинг

Самият алгоритъм е много проста:
Намери следи от взлом.
За да се определи точното време на скъсване.
Според трупи да се намери, тъй като счупи сайта.
Сложността на прилагането на параграфи 1 и 3. На тях живеем.

Как да търсим следи от хакване

Когато хакване почти винаги оставят следи: файлове, че нападателят, използвани за работа, например, PHP Shell. Класическият начин за хакване CMS:
Чрез някои уязвимост, за да изтеглите PHP Shell (или да получите чрез уязвимост CMS администраторски достъп и изтегляне на PHP Shell файловия мениджър).
Чрез PHP Shell направим всичко останало.
Ето защо, първо трябва да се търсят тези файлове - файлове, които очевидно не принадлежат към сайта. Като правило, изтеглени скриптове се наричат ​​доста необичайни и силно се открояват сред своите собствени CMS скриптове:

wzxp.php
gwd.php
a10881d.php.2046
Резултат от експлоатация, работещ за хакване на сървъра може да изглежда по следния начин:
./w.sh
./ ENV
./env.c
./program.c
./program.o
./w00t.so.1.0
/ Триметоприм / ш
/ Триметоприм / SH2

В допълнение към файловете на сайта си, трябва също така да се провери общото / ПТУ сървър - тя може да бъде временни файлове, използвани за да се пропука или да тече ботове.

С други думи, необходимо е да се търси нещо необичайно / странно и разгледа всички подозрителни файлове. PHP Shell може да изглежда така:

$ Auth_pass = «»; // 75b43eac8d215582f6bcab4532eb854e
$ Color = «# 00FF66»; // Цвят
$ Default_action = «FilesMan»;
$ Default_charset = «Windows-1251";
preg_replace ( «/.*/ д», »\ x65 \ x76 \ X61 \ Х6с \ X28 \ x67 \ Х7а \ x69 \ x6E \ x66 \ Х6с \ X61 \ X74 \ x65 \ X28 \ X62 \ X61 \ x73 \ x65
\ X36 \ x34 \ x5F \ x64 \ x65 \ x63 \ x6F \ x64 \ x65 \ x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5
GUC3N623bZ7aLs93W0Mk + W / 31Wll5b6xZhkdq / 7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn + ycf90 /
// ... много код в base64

Ключови точки, които трябва да се обърне внимание на скриптове на PHP:
Co0lHaZZkeR'sky стил на писане на текста.
Наличие на Exploit Shell и думи.
Голямото количество код в base64.
Наличието на Оценка () или preg_replace () с / д ключа в първия аргумент.
В крайна сметка, можете просто да отидете на вашия браузър и да видим това, което прави този скрипт.

Файловете могат да се търсят ръчно, но по-бързо, когато се случи неотдавна хакерство, използвайте командата намерите:

# Намерете ./public_html -mtime -3D
# Намерете ./public_html -mtime 10Н

(Вижте синтаксис, посочена за FreeBSD). Тези команди ще покажат файловете се променили през последните три дни и през последните 10 часа, съответно.

Ако нищо друго не можете просто да търсите всички файлове, които съдържат кодирани в съдържанието base64, като например:

# Намерете ./ -name '* .php' | xargs Впиши -E "[0-9a-ZA-Z /]

Тази команда ще намерите всички PHP скриптове, които имат линии, подобни на Base64 минимална дължина от 80 знака.

Определяне на скъсване време

Когато се намират файловете, времето рана е много лесно - просто видите промяната на времето на най-ранното файла.

Ако не се намери подозрителен файл, но сайтът ви е заразен с вирус, проверете дата промяна index.php файла с. index.html или тези, в които е открит вирус. Най-вероятно в този случай, сайтът е хакнат от кражба на паролата на FTP.

Търсене в сайта хакерски списания

Сега най-важното - че тези списания са на разположение!

В този случай е достатъчно да се провери компютрите, които са ползвали сайт, вируса, сменят паролите на FTP и никога не се записват паролите в FTP клиент.

Ако сайтът съдържа PHP Shell или злонамерени скриптове (например за изпращане на спам), най-вероятно сайт е хакнат чрез уязвимост в CMS или някоя от своя плъгин. В този случай, трябва да се анализира файлове от уеб сървърите.

Описаният по-горе метод работи, ако знаете конкретното име на файла, чрез които се работи със сайта след почивката. Все пак, това име не винаги е ясна. В този случай, времето ще трябва да търсите малко по-дълга почивка, но тя намери все още е възможно.

По-голямата част, по-голямата част от влизане с взлом са характерни за искания HTTP POST. защото чрез тях се зарежда файлове, за да се справи сайтове. По пощата на атаката може да се опита да се справи формата за въвеждане на парола, или просто да отидете в секцията администрация с открадната парола.

Ако знаете, че по време на счупване на сайта (както вече знаем), трябва да се търсят в уеб сървър влезте всички POST заявки. разположен в близост до скъсване време. Няма конкретна съвет - изглеждат като те са в съвсем различни начини, но те се появяват, за да бъде по някакъв начин необичайно. Например, може да е искания, съдържащи "../../../../" или дълги заявки, които съдържат имена на файлове или SQL запитвания.

Ако не успеете да намерите

Това също може да бъде. В този случай, можем да препоръчаме само чиста преинсталация на ССФ и последващите разширения и импортиране на данни. Винаги се уверете, че ССФ и разширените версии - на последния.

И, разбира се, да промени всички пароли, които имат нещо общо със сайта.

Камериер върха 😉

В търсене на уязвимости в сайта, ако не можете да блокират достъпа до него посетителите, искания блок поне POST. Това ще попречи на възможността за прилагане на най-стандартните подвизи.
Да не се използва остарели версии на CMS и плъгини за тях. Останете на линия!
След определяне на причината за хакване не ограничават отстраняването на намерен сценария - написана от точка за проникването нарушител може да бъде добре скрити. Най-добър сайт за възстановяване след хакване схема - е близо до своите посетители да имат достъп, да намерите причината за почивка за възстановяване на един сайт от резервно копие (че ние може да изключи всякакви промени в сайта, което би могло да произведе злодей), актуализиране на CMS. гарантира, че повредения компонент също се актуализира, и след това отново отворен достъп до сайта.