Unde și ce să caute după site-ul pauză

Dacă un site a fost piratat, există puține pentru a elimina virusul cu el și a încărcat PHP Shell. De asemenea, este necesar să se găsească motivul pentru spargere a avut loc, sau o zi sau două pe site-ul va fi din nou sub muzică veselă flutter frumos pavilion străin turcesc. Cel mai adesea motivul - a unei parole furate de pe FTP. CMS sau o versiune veche a plugin-ului pentru ea, dar cum să constate că acesta a fost utilizat pentru penetrare?

Având o anumită experiență în acest domeniu (în medie, sprijinul nostru tehnic caută motivele pentru hacking site-ul o dată pe săptămână), am sistematizate informațiile acumulate.

Deci, de ce deranjez pentru a hack site-uri web? Și ce dacă site-ul a fost spart, cum să găsească cauza și pentru a se proteja de atac în continuare?

Site-uri ce hack

Cauzele algoritm de căutare de cracare

Algoritmul în sine este foarte simplu:
Găsiți urme de manipulare.
Pentru a determina momentul exact de rupere.
Conform jurnalului pentru a găsi cum a spart site-ul.
Complexitatea punerii în aplicare a alineatelor 1 și 3. le-am locui.

Cum pentru a căuta urme de hacking

Atunci când hacking aproape întotdeauna lăsa urme: fișierele pe care atacatorul folosit pentru a lucra, de exemplu, PHP Shell. Modul clasic de hacking CMS:
Prin intermediul unor vulnerabilități pentru a descărca PHP Shell (sau pentru a obține prin vulnerabilitate CMS acces de administrator și de a descărca PHP Shell prin managerul de fișiere).
Prin PHP Shell face totul altceva.
Prin urmare, trebuie mai întâi pentru a căuta aceste fișiere - fișiere care în mod evident nu aparțin site-ului. Ca o regulă, script-uri descărcate sunt numite destul de neobișnuite și să stea ferm în rândul propriilor lor scripturi CMS:

wzxp.php
gwd.php
a10881d.php.2046
Rezultatul exploata, care rulează pentru hacking serverul poate uita după cum urmează:
./w.sh
./ env
./env.c
./program.c
./program.o
./w00t.so.1.0
/ Tmp / sh
/ Tmp / SH2

În plus față de fișierele de pe site-ul dvs. ar trebui să verificați, de asemenea, serverul generale / tmp - poate fi fișierele temporare folosite pentru a sparge sau pentru a rula boti.

Cu alte cuvinte, este necesar să se caute ceva neobișnuit / ciudat și privi în toate fișierele suspecte. PHP Shell ar putea arăta astfel:

$ Auth_pass = «»; // 75b43eac8d215582f6bcab4532eb854e
$ Color = «# 00FF66»; // Culoare
$ Default_action = «FilesMan»;
$ Default_charset = «Ferestre-1251" ;
preg_replace ( «/.*/ e», »\ X65 \ x76 \ X61 \ X6c \ X28 \ x67 \ X7a \ x69 \ x6E \ X66 \ X6c \ X61 \ X74 \ X65 \ X28 \ X62 \ X61 \ x73 \ X65
\ X36 \ X34 \ x5F \ x64 \ X65 \ X63 \ x6F \ x64 \ X65 \ x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5
GUC3N623bZ7aLs93W0Mk + W / 31Wll5b6xZhkdq / 7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn + ycf90 /
// ... o mulțime de cod în base64

Punctele principale pe care ar trebui să acorde o atenție la scripturi PHP:
Stilul Co0lHaZZkeR'sky de scriere a textului.
Disponibilitatea Exploit Shell și cuvinte.
Cantitatea mare de cod în base64.
Prezența eval () sau preg_replace () cu comutatorul / e în primul argument.
În final, puteți merge pur și simplu browser-ul dvs. și de a vedea ceea ce face ca acest scenariu.

Fișierele pot fi căutate manual, dar mai rapid atunci când a avut loc recent hacking, utilizați comanda find:

# Găsiți ./public_html -mtime -3D
# Găsiți ./public_html -mtime -10H

(Găsiți sintaxa specificată pentru FreeBSD). Aceste comenzi vor afișa fișierele modificate în ultimele trei zile și ultimele 10 de ore, respectiv.

Dacă tot nu, puteți căuta pur și simplu pentru toate fișierele care conțin codificate în conținut base64, cum ar fi:

# Găsiți ./ -name '* .php' | xargs grep -R '[0-9A-zA-Z /]'

Această comandă va găsi toate script PHP care au linii similare cu base64 o lungime minimă de 80 de caractere.

Determinarea timpului de rupere

Atunci când sunt găsite fișiere, timpul de hack este foarte ușor - a se vedea doar schimbarea de timp a fișierului mai vechi.

Dacă un fișier suspect este găsit, dar site-ul este infectat cu un virus, verificați fișierul index.php schimbare data. index.html sau cele în care este detectat un virus. Cel mai probabil, în acest caz, site-ul este piratat prin furtul parola de FTP.

Cauta site-ului reviste hackingul

Acum, cel mai important lucru - că aceste reviste au fost disponibile!

În acest caz, este suficient să se verifice computerele care au accesat site-ul, virusul, schimba parolele FTP și să nu salvați parolele client FTP.

Dacă site-ul conține PHP Shell sau scripturi rău intenționate (de exemplu, pentru a trimite spam), cel mai probabil, site-ul este piratat printr-o vulnerabilitate în CMS sau la oricare dintre plugin-ul său. În acest caz, aveți nevoie pentru a analiza jurnalele de server web.

Metoda descrisă mai sus funcționează în cazul în care cunoașteți numele de fișier specific, prin care lucra cu site-ul după pauză. Cu toate acestea, acest nume nu este întotdeauna cunoscută. În acest caz, timpul va trebui să caute pauză un pic mai mult, dar găsirea este încă posibil.

Majoritatea, marea majoritate a intruziuni sunt specifice cererilor HTTP POST. pentru că prin intermediul lor este încărcat fișiere pentru a sparge site-uri. Prin POST atacator ar putea, de asemenea, încerca să crape formularul de introducere a parolei, sau pur și simplu mergeți la secțiunea de administrare cu o parolă furată.

Dacă știți timpul de rupere site-ului (așa cum știm deja), ar trebui să caute într-un server de web log toate cererile POST. situat în apropiere de ora de rupere. Nu există nici un sfat specific - arata ca acestea sunt în moduri complet diferite, dar ele par a fi în nici un mod neobișnuit. De exemplu, poate fi cereri care conțin „../../../../“ sau interogări lungi care conțin nume de fișiere sau interogări SQL.

Dacă nu reușesc să găsească

Acest lucru poate fi. În acest caz, putem recomanda doar o reinstalare curată a CMS și extensiile ulterioare și importă datele. Întotdeauna asigurați-vă că CMS și versiunile sale extinse - aceasta din urmă.

Și, desigur, schimba toate parolele care au nimic de a face cu site-ul.

sfat menaj 😉

În căutarea de vulnerabilități pe site-ul, dacă nu se poate bloca accesul la acesta vizitatorilor, cereri de bloc puțin POST. Acest lucru va preveni posibilitatea de a aplica exploateaza mai standard.
Nu utilizați versiuni vechi ale CMS și plugin-uri pentru ei. Stay tuned!
După determinarea cauzei hacking nu limitează eliminarea script-ul găsit - scris de un punct de penetrare intrus poate fi bine ascuns. Cel mai bun site-ul de recuperare după hacking schemă - este aproape de vizitatorii săi de a accesa, a găsi cauza pauză pentru a restabili un site dintr-o copie de rezervă (care excludem orice modificare a site-ului, care ar putea produce răufăcător), să actualizeze CMS. asigurându-se că componenta afectată este, de asemenea, actualizată, și apoi re-deschis accesul la site-ul.