Рубрика: security

  • Обнаружение и ликвидация DDOS на Windows 2008 Server – lsass.exe исходящий трафик с 389 порта

    Волею судеб предоставляю я виртуальных хостинг для базе Windows 2008 Server R2 – как решение с удалённым сервером одним моим знакомым – собственно, его и приходится админить. Сегодня приходит мессага с дата центра – канал с серваком забивает 100 мегабитный канал по самые уши – разбирайтесь! На самом деле хвалиться не чем, т.к. такой херни…

  • Вирусы и трояны на Битрикс сайте

    Всем привет! Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса! Инструмент монитор качества “Ядро проекта не модифицировалось” такие файлы не ловит т.к. это не модифицированные, а просто левые файлы. Но вот почему модификацию /bitrix/modules/main/include.php не находит – уже вопрос Вообще…

  • Скрипт проверки изменений файлов на сервере

    Говорят “лучшее – враг хорошего”, и в этом есть смысл. Под впечатлениями от скрипта в предыдущей статье, решил поставить “следилку” на сайты нескольким своим клиентам, и чуток разочаровался – скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал “работает – не трогай” (и в этом тоже есть…

  • Скрипт проверки изменений на сайте – Анти Шелл

    Просто скопирую сюда письмо, которое отправил создателям данного очень полезного скрипта! Приветствую коллеги! Недавно наткнулся на ваше творение Скрипт проверки изменений на сайте – Анти Шелл – сам уже подобный скрипт писал под свои нужны много лет назад – а тут всё красиво – ООП, гит + интерфейс + основной функционал по созданию снимка и…

  • Лечение зараженных сайтов. Аудит безопасности.

    Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля “вылечу Ваш сайт”, проведу аудит безопасности и самое главное – установлю систему контроля на взлом Вашего сайта! Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями: Сайт www.mgrad-putilkovo.ru – инъекция Где можно купить дженерик…

  • Блокировка ботов по user-agent – blacklist список

    Итак, имея инструмент блокировки по black-list и вручную ковыряя логи, обнаружил что практически DDOS устраивают куча всяких “левых” ботов. Например “SemrushBot www.semrush.com/bot.html” – какой то иностранный SEO инструмент – думаю мой сайт ему вообще не пригодится, собирает всё на автомате создавая лишнюю нагрузку. “megaindex.com” туда же – я на мегаиндексе ни ссылки ни статьи не…

  • Защита от DDOS – анализ логов nginx и блокировка IP по blacklist фаерволом

    В посте Защита от DDOS — первые шаги я закончил фразой “Теперь вот жду второго пришествия” – собственно, второе пришествие недавно заглянуло в виде очень дохленького DDOSa который все же забил канал так, что провайдерам пришлось отрубили порт. Кэширование nging вообще тут не участвовало т.к. ддосили POST запросами. Ограничение зоны на количество запросов с одного…

  • Как узнать версию Joomla

    Собственно перед взламыванием сайта зачастую собирают информацию о платформе и её версии. Если это джумла – добавляем к имени домена /language/en-GB/en-GB.xml и вуаля! P.S. Запись для себя, чтоб не забыть 🙂

  • Пример анализа взлома сайта Joomla и устранение причины проникновения com_contenthistory

    Собственно, может кому интересно будет – небольшой пример из текущего (буду краток). Гемор: джумла, за безопасностью которой особо никто не следит, потому что джумла! По знакомству данный гемор лежит на моём серваке, где у меня ночью отрабатывает самописный скриптик по отлову изменений в скриптах, и информирует меня в случае оных. Вот и проинформировал меня вчера…

  • Скрытое выполнение в PHP скриптах

    Статья настолько мне понравилась, что с указанием источника сделал полный репост! Знания необходимы для возможности определить “заразу” визуально для дальнейшего его уничтожения. Далее от автора: Цель данной статьи – познакомить веб-мастеров с различными подходами, которыми пользуются хакеры, чтобы затруднить обнаружение и анализ исходного кода бэкдора или хакерского шелла. В процессе лечения сайтов мы обнаруживаем множество…

  • NGINX – запрещаем доступ к служебным файлам .git .bak .old .htaccess и других по расширению

    Нередко, в движках используют в скриптах подключаемые файлы с расширением отличным от php, что имхо очень неправильно и опасно. Например в одном из движков (не буду тыкать пальцем каком именно) в темлейте подключают файлы с расширением .tpl которые не являясь активкой по умолчанию (интерпретатор настроен по умолчанию как правило на htm html php php5 и…

  • Как перенести настройки iptables через файл

    Сегодня с ужасом обнаружил, что на одном из моих серверов iptables пустая (был уверен, что настроено). Соответственно, рецепт по переносу настроек с одного сервера на другой прост: 1. service iptables save на тот откуда тащим 2. перетаскиваем /etc/sysconfig/iptables 3. service iptables reload на том куда перетащили P.S. Отличная статейка по iptables

  • Взлом сайта по FTP – разрешаем доступ по IP

    Вчера ломанули группу сайтов тупо по FTP – законнектились и сделали инжекты во все скрипты php и в html тоже … Благо сработал скрипт сравнения версий файлов – вовремя отреагировал, всё восстановил. Причём подозреваю в этом себя т.к. ломанули сайты разные и ко всем у меня был прописан доступ в FAR-е 🙁 (хотя не факт)…

  • Меняем порт для webmin

    Собственно, в логах увидел приличный перебор паролей по 10000 порту (webmin). Решил поменять порт доступа для пущей секъюрности. Лезем в настройки /etc/webmin/miniserv.conf правим две строчки port=10000 и listen=10000 Перезагружаемся /etc/init.d/webmin restart Разрешаем новый порт su iptables -I INPUT -p tcp –dport НОВЫЙ_ПОРТ -m state –state NEW -j ACCEPT service iptables save service iptables restart

  • Linux – поиск файлов по дате изменения

    Нашел давеча скрипт спамер на одном из хостингов с помощью обновлённой статейки Как найти php скрипт — mail спамер? Сразу же вопрос – может ещё чего прокинули одновременно с пробросом данного скрипта, решил найти все файлы созданные/модифицированные этим же днём, что и найденный скрипт. К удивлению на мой запрос “поиск файлов по дате изменения linux”…

  • Битрикс – безопасность при многосайтовости. Запираем сайты в своих папках.

    В продолжение моей же статьи Битрикс — несколько сайтов на хостинге. Разграничение доступа Итак, незнаю почему я в прошлой статье и вообще на протяжении всего этого времени я тупил на предмет “…Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?…” даже не скажу. Ведь стандартную open_basedir никто не отменял и почему я в своё…

  • NGINX – защита от DDOS с одного IP. Параметры limit_zone и limit_req.

    У одного из клиентов сайт частенько сайт начал “лежать”, изучение логов показало множественные запросы (более 10) с одного и того-же IP адреса, которые и давали нагрузку на сайт. Фронтендом у клиента стоял nginx – поэтому заблокировать подобную активность не составило никакого труда. В этом мне помогли директивы limit_zone и limit_req. Собственно, первое – в секцию…

  • PHP OpenSSL – работаем с почтой pop.gmail.com

    Чего-то хозяева бэкдора активизировались прямо – вчера домены парсили, сегодня тестят работу с гугулом по SSL. Собственно, код (имхо полезный): $descriptorspec = array( 0 => array(“pipe”, “r”), 1 => array(“pipe”, “w”), 2 => array(“file”, “/dev/null”, “a”) ); $cwd = ‘/tmp’; $process = proc_open(‘openssl s_client -crlf -connect pop.gmail.com:995’, $descriptorspec, $pipes, $cwd, $env); sleep(1); if (is_resource($process)) {…

  • Списки всех существующих доменов

    Общеизвестная информация по “нашим” доменам: .RU https://partner.r01.ru/ru_domains.gz .SU https://partner.r01.ru/su_domains.gz .РФ https://partner.r01.ru/rf_domains.gz Международники http://premiumdrops.com/zones.html НО доступ 25$ в месяц – дороговато… Так же у меня на “поплавке” висит переделанный бэкдор, который по идее должен исполнять посланный ему PHP код, я же его просто изучаю и делюсь с тобой, уважаемый читатель – думаю у меня на это…

  • Возможно, сайт взломан – в htaccess 404 по страничкам дора

    Сегодня с “Инструменты для веб-мастеров” Гугла пришло письмо “Возможно, сайт взломан” с указанием конкретной чужеродной страницы, по мнению Гугла! И действительно, при открытии этой странички обнаруживаю рецепт маринованых огурчиков! Яндекс в отличие от Гугла прекрасно скушал дорвей расположенный на моём сайте и даже поставил его в выдачу (причём сразу на хорошие позиции! обидно – левость…