.
Место для Вашей рекламы
21 Декабрь 2016

Скрипт проверки изменений файлов на сервере

Говорят «лучшее — враг хорошего», и в этом есть смысл.

Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть своя правда), у другого довольно сильно подвесил систему т.к. файловая структура составляла сотни! тысяч файлов, а режима «быстрой» проверки (только по атрибутам файла — размер, даты, режим доступа, владельцы) отсутствовал.

Собственно, пришлось сделать простенький скриптик, практически моментально сравнивающий изменения из файлов, содержащих информацию о файловой структуре сайта.
Снимать дампы можно консольно (мне так удобнее), желающие могут дописать скрипт.
Скрипт «голый» — без интерфейса, отправки на мыло изменений и других наворотов — как есть.
Пользоваться так:
ls -alR > file1.txt
ls -alR > file2.txt
fdiff.php file1.txt file2.txt > diff.txt
скрипт кидает результат в поток, в моём случае перенаправленный в diff.txt

Кого заинтересовало — качаем.

рубрики: security, Администрирование, взлом и безопасность, Полезности, Программирование | Комментарии (0)

17 Ноябрь 2016

Как найти / спрятать шелл и другой вредоносный код

В очередной раз коснусь темы безопасности сайтов.
Не буду томить — сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая — чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот — чтобы уметь прятать, нужен опыт по их нахождению!
В идеале — устроить соревнование с единомышленником 🙂
Без инструмента отслеживающего изменения файлов! — т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача «игры» — как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное — не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) — полная победа 🙂 — например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы — обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост — добаил $http_host.

Ну и анализ, анализ и ещё раз анализ логов — взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом — способов зашифровать инъекцию великое множество — и далеко не все ищутся антивирусами и спец.софтом) — именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.

Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить — инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее 🙂

https://www.nulled.cc/threads/252175/

https://forum.antichat.ru/threads/298338/

https://habrahabr.ru/post/280516/

рубрики: взлом и безопасность | Комментарии (0)

10 Ноябрь 2016

Лечение зараженных сайтов. Аудит безопасности.


Лечение зараженных сайтов. Аудит безопасности.

Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля «вылечу Ваш сайт», проведу аудит безопасности и самое главное — установлю систему контроля на взлом Вашего сайта!
Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями, тематика фармацевтика — т.к. её часто смотрю:
Сайт www.mgrad-putilkovo.ru — инъекция Где можно купить дженерик сиалис
Сайт www.catalog-max.ru — инъекция Где можно купить таблетки виагра
Сайт pearl-zelenograd.ru — инъекция Не дорого преобрести левитра — взломщик видимо не особо грамотный попался 🙂
Сайт za-vidnoe.ru — инъекция Женская виагра купить в аптеке Москва

Как видно хакеры уже ломают с умом и с конкретной целью — монетизировать взломанный ресурс, путём продажи через партнерку фарма препаратов (если конечно дорвей долго проживёт и поймает поисковый трафик — проиндексируется и «повисит» в выдаче Яндекса некоторое время на хороших позициях).
Так же видим, что по сути прямого вреда сайту данная иньекция не наносит — информация на сайте остаётся нетронутой, но всё же я думаю вред всё таки есть — страницы генерируются доргеном, текст на таких страничках создаётся роботизированный — не имеющий смысла, подобные страницы как правило не нравятся поисковикам — и на сайт накладываются штрафные санкции понижающие его в поисковой выдаче — что может быть хуже ? (конечно кроме порчи информации)
Так что, если Ваш сайт резко начал снижаться в позициях в ТОПах — проверьте его на зараженность, если сами не умеете — обратитесь к профессионалам или например я мог бы глянуть (гораздо дешевле чем у профи).

P.S.
К сожалению на мои посты и письма никто внимание не обращает — видимо люди заводят сайты просто так, и им плевать что с ними дальше будет.

рубрики: security, Администрирование, взлом и безопасность | Комментарии (0)

Яндекс.Метрика