-
Обнаружение и ликвидация DDOS на Windows 2008 Server — lsass.exe исходящий трафик с 389 порта
Волею судеб предоставляю я виртуальных хостинг для базе Windows 2008 Server R2 — как решение с удалённым сервером одним моим знакомым — собственно, его и приходится админить. Сегодня приходит мессага с дата центра — канал с серваком забивает 100 мегабитный канал по самые уши — разбирайтесь! На самом деле хвалиться не чем, т.к. такой херни…
-
Вирусы и трояны на Битрикс сайте
Всем привет! Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса! Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы. Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос Вообще…
-
Скрипт проверки изменений файлов на сервере
Говорят «лучшее — враг хорошего», и в этом есть смысл. Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть…
-
Скрипт проверки изменений на сайте — Анти Шелл
Просто скопирую сюда письмо, которое отправил создателям данного очень полезного скрипта! Приветствую коллеги! Недавно наткнулся на ваше творение Скрипт проверки изменений на сайте — Анти Шелл — сам уже подобный скрипт писал под свои нужны много лет назад — а тут всё красиво — ООП, гит + интерфейс + основной функционал по созданию снимка и…
-
Лечение зараженных сайтов. Аудит безопасности.
Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля «вылечу Ваш сайт», проведу аудит безопасности и самое главное — установлю систему контроля на взлом Вашего сайта! Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями: Сайт www.mgrad-putilkovo.ru — инъекция Где можно купить дженерик…
-
Блокировка ботов по user-agent — blacklist список
Итак, имея инструмент блокировки по black-list и вручную ковыряя логи, обнаружил что практически DDOS устраивают куча всяких «левых» ботов. Например «SemrushBot www.semrush.com/bot.html» — какой то иностранный SEO инструмент — думаю мой сайт ему вообще не пригодится, собирает всё на автомате создавая лишнюю нагрузку. «megaindex.com» туда же — я на мегаиндексе ни ссылки ни статьи не…
-
Защита от DDOS — анализ логов nginx и блокировка IP по blacklist фаерволом
В посте Защита от DDOS — первые шаги я закончил фразой «Теперь вот жду второго пришествия» — собственно, второе пришествие недавно заглянуло в виде очень дохленького DDOSa который все же забил канал так, что провайдерам пришлось отрубили порт. Кэширование nging вообще тут не участвовало т.к. ддосили POST запросами. Ограничение зоны на количество запросов с одного…
-
Как узнать версию Joomla
Собственно перед взламыванием сайта зачастую собирают информацию о платформе и её версии. Если это джумла — добавляем к имени домена /language/en-GB/en-GB.xml и вуаля! P.S. Запись для себя, чтоб не забыть 🙂
-
Пример анализа взлома сайта Joomla и устранение причины проникновения com_contenthistory
Собственно, может кому интересно будет — небольшой пример из текущего (буду краток). Гемор: джумла, за безопасностью которой особо никто не следит, потому что джумла! По знакомству данный гемор лежит на моём серваке, где у меня ночью отрабатывает самописный скриптик по отлову изменений в скриптах, и информирует меня в случае оных. Вот и проинформировал меня вчера…
-
Скрытое выполнение в PHP скриптах
Статья настолько мне понравилась, что с указанием источника сделал полный репост! Знания необходимы для возможности определить «заразу» визуально для дальнейшего его уничтожения. Далее от автора: Цель данной статьи — познакомить веб-мастеров с различными подходами, которыми пользуются хакеры, чтобы затруднить обнаружение и анализ исходного кода бэкдора или хакерского шелла. В процессе лечения сайтов мы обнаруживаем множество…
-
NGINX — запрещаем доступ к служебным файлам .git .bak .old .htaccess и других по расширению
Нередко, в движках используют в скриптах подключаемые файлы с расширением отличным от php, что имхо очень неправильно и опасно. Например в одном из движков (не буду тыкать пальцем каком именно) в темлейте подключают файлы с расширением .tpl которые не являясь активкой по умолчанию (интерпретатор настроен по умолчанию как правило на htm html php php5 и…
-
Как перенести настройки iptables через файл
Сегодня с ужасом обнаружил, что на одном из моих серверов iptables пустая (был уверен, что настроено). Соответственно, рецепт по переносу настроек с одного сервера на другой прост: 1. service iptables save на тот откуда тащим 2. перетаскиваем /etc/sysconfig/iptables 3. service iptables reload на том куда перетащили P.S. Отличная статейка по iptables
-
Взлом сайта по FTP — разрешаем доступ по IP
Вчера ломанули группу сайтов тупо по FTP — законнектились и сделали инжекты во все скрипты php и в html тоже … Благо сработал скрипт сравнения версий файлов — вовремя отреагировал, всё восстановил. Причём подозреваю в этом себя т.к. ломанули сайты разные и ко всем у меня был прописан доступ в FAR-е 🙁 (хотя не факт)…
-
Меняем порт для webmin
Собственно, в логах увидел приличный перебор паролей по 10000 порту (webmin). Решил поменять порт доступа для пущей секъюрности. Лезем в настройки /etc/webmin/miniserv.conf правим две строчки port=10000 и listen=10000 Перезагружаемся /etc/init.d/webmin restart Разрешаем новый порт su iptables -I INPUT -p tcp —dport НОВЫЙ_ПОРТ -m state —state NEW -j ACCEPT service iptables save service iptables restart
-
Linux — поиск файлов по дате изменения
Нашел давеча скрипт спамер на одном из хостингов с помощью обновлённой статейки Как найти php скрипт — mail спамер? Сразу же вопрос — может ещё чего прокинули одновременно с пробросом данного скрипта, решил найти все файлы созданные/модифицированные этим же днём, что и найденный скрипт. К удивлению на мой запрос «поиск файлов по дате изменения linux»…
-
Битрикс — безопасность при многосайтовости. Запираем сайты в своих папках.
В продолжение моей же статьи Битрикс — несколько сайтов на хостинге. Разграничение доступа Итак, незнаю почему я в прошлой статье и вообще на протяжении всего этого времени я тупил на предмет «…Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?…» даже не скажу. Ведь стандартную open_basedir никто не отменял и почему я в своё…
-
NGINX — защита от DDOS с одного IP. Параметры limit_zone и limit_req.
У одного из клиентов сайт частенько сайт начал «лежать», изучение логов показало множественные запросы (более 10) с одного и того-же IP адреса, которые и давали нагрузку на сайт. Фронтендом у клиента стоял nginx — поэтому заблокировать подобную активность не составило никакого труда. В этом мне помогли директивы limit_zone и limit_req. Собственно, первое — в секцию…
-
PHP OpenSSL — работаем с почтой pop.gmail.com
Чего-то хозяева бэкдора активизировались прямо — вчера домены парсили, сегодня тестят работу с гугулом по SSL. Собственно, код (имхо полезный): $descriptorspec = array( 0 => array(«pipe», «r»), 1 => array(«pipe», «w»), 2 => array(«file», «/dev/null», «a») ); $cwd = ‘/tmp’; $process = proc_open(‘openssl s_client -crlf -connect pop.gmail.com:995’, $descriptorspec, $pipes, $cwd, $env); sleep(1); if (is_resource($process)) {…
-
Списки всех существующих доменов
Общеизвестная информация по «нашим» доменам: .RU https://partner.r01.ru/ru_domains.gz .SU https://partner.r01.ru/su_domains.gz .РФ https://partner.r01.ru/rf_domains.gz Международники http://premiumdrops.com/zones.html НО доступ 25$ в месяц — дороговато… Так же у меня на «поплавке» висит переделанный бэкдор, который по идее должен исполнять посланный ему PHP код, я же его просто изучаю и делюсь с тобой, уважаемый читатель — думаю у меня на это…
-
Возможно, сайт взломан — в htaccess 404 по страничкам дора
Сегодня с «Инструменты для веб-мастеров» Гугла пришло письмо «Возможно, сайт взломан» с указанием конкретной чужеродной страницы, по мнению Гугла! И действительно, при открытии этой странички обнаруживаю рецепт маринованых огурчиков! Яндекс в отличие от Гугла прекрасно скушал дорвей расположенный на моём сайте и даже поставил его в выдачу (причём сразу на хорошие позиции! обидно — левость…