|
| Дата |
|
USD/RUB | 89.2589 | BTC/USD | 68367.2543 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
24.04.2019, 20:53
|
Start Post: Помогите поудалять шеллы и закрыть уязвимость
|
Senior Member
Регистрация: 10.05.2018
Сообщений: 215
Бабло: $54940
|
Привет друзья
Позаливали шеллов на доры, вообщем весь сервак загадили сучки под рассылку. Расылку хостер прикрыл, выкатил список шеллов, остальные сам нахожу по дате, удаляю руками
Может кто посоветует метод, раньше был сайтсканнер что то типа того, но найти не могу.
Кроме того уязвимость закрыть хочу. После удаления шеллов, обновлю движки вп, а что ещё ?
Вообщем плиз помогите
|
|
|
25.04.2019, 00:41
|
#12
|
Senior Member
Регистрация: 08.05.2008
Сообщений: 825
Бабло: $258860
|
дак а почему никто не порекоммендовал ai-bolit?
а так еще mod_security + naxsi (под нгинкс)
fail2ban уже рекоммендовали, единственное что добавить туда бан тех, кого mod_security/naxsi отловили
ну и для вп еще хорошая штука - shield плагин
|
|
|
25.04.2019, 02:45
|
#13
|
Senior Member
Регистрация: 31.03.2011
Сообщений: 3,335
Бабло: $669045
|
пахнет наебаловом
|
|
|
25.04.2019, 10:48
|
#14
|
gofuckingoogle
Регистрация: 28.08.2008
Адрес: 666
Сообщений: 9,412
Бабло: $1278665
|
А много у тебя там вордпрессов и трафа?
Возможно один из самых эффективных вариантов - форматнуть винт и забить на всё это)
А вообще - делай копию всего содержимого на другом вдсе, но на компе в localhost прописывай IP этой копии. Чтобы у всех, у хацкеров в том числе, открывался оригинал, а у тебя - твоё зеркало. Далее чистишь-чистишь, вроде почистил, обновляешь все вордпрессы, меняешь пассы, заливаешь бэкап на основной дедик, смотришь пару дней, если какашки снова начали появляться, идёшь на свою уже относительно почищенную копию, колупаешь дальше. И так - до полного выздоровления.
Вот тут прикольный способ описан, сравнивать пустой вордпресс с твоим вордпрессом http://habrahabr.ru/post/188878/
Еще относительно бюджетный вариант - нанимаешь студента на фрилансе, который вручную создаст вордпрессы заново, и зальёт туда контент от старых вордпрессов. При этом проверять на какашки нужно только папку uploads, если там у тебя что-то есть.
Автоматический поиск на всякие eval и base64_decode - лично у меня помогает только в халявных случаях) Поиск по куску кода одного из испорченных файлов - тоже. По дате - туда же.
Огромный список который написали страницой назад, имхо, прикольный, но это стрельба из пушки по воробьям, при всём при этом шелл наверняка где-то хорошо спрятан, и ни изменение пароля, ни отключение ftp уже не поможет, раньше надо было шевелиться.
|
|
|
25.04.2019, 23:14
|
#15
|
Senior Member
Регистрация: 10.05.2018
Сообщений: 215
Бабло: $54940
ТС -->
|
ТС
Цитата:
Сообщение от Dr.Gonzo
А много у тебя там вордпрессов и трафа?
Возможно один из самых эффективных вариантов - форматнуть винт и забить на всё это)
А вообще - делай копию всего содержимого на другом вдсе, но на компе в localhost прописывай IP этой копии. Чтобы у всех, у хацкеров в том числе, открывался оригинал, а у тебя - твоё зеркало. Далее чистишь-чистишь, вроде почистил, обновляешь все вордпрессы, меняешь пассы, заливаешь бэкап на основной дедик, смотришь пару дней, если какашки снова начали появляться, идёшь на свою уже относительно почищенную копию, колупаешь дальше. И так - до полного выздоровления.
Вот тут прикольный способ описан, сравнивать пустой вордпресс с твоим вордпрессом http://habrahabr.ru/post/188878/
Еще относительно бюджетный вариант - нанимаешь студента на фрилансе, который вручную создаст вордпрессы заново, и зальёт туда контент от старых вордпрессов. При этом проверять на какашки нужно только папку uploads, если там у тебя что-то есть.
Автоматический поиск на всякие eval и base64_decode - лично у меня помогает только в халявных случаях) Поиск по куску кода одного из испорченных файлов - тоже. По дате - туда же.
Огромный список который написали страницой назад, имхо, прикольный, но это стрельба из пушки по воробьям, при всём при этом шелл наверняка где-то хорошо спрятан, и ни изменение пароля, ни отключение ftp уже не поможет, раньше надо было шевелиться.
|
да больше половины свежаки, только в индекс зашли, есть просто вордпресс залит, то удаляю без вопросов
но меньше половины с трафом, и вот их беречь . так то бы не засирал себе мозги
плюс хостер требует что то решать, грозит остановить
|
|
|
26.04.2019, 23:29
|
#16
|
Senior Member
Регистрация: 26.01.2009
Адрес: Ленинград
Сообщений: 641
Бабло: $106689
|
Цитата:
Сообщение от Dumpty
дак а почему никто не порекоммендовал ai-bolit?
|
правильный бэкдор не найдешь не айболитом, не регулярками, не другими паблик скриптами
А тсу я бы порекомендовал, после всех чисток, сделать md5 www папки, ну и можно поставил сайт, сделал md5. с коллизиями точно никто заморачиваться не будет, да и раз много заражений и нагрузка явно автомат, там все просто и банально.
Кстати бывет хостера ломают, и гадят везде, причем хостер не сознается ни в какую, у меня так было разок =)
|
|
|
27.04.2019, 00:42
|
#17
|
Senior Member
Регистрация: 23.04.2017
Адрес: Pattaya
Сообщений: 131
Бабло: $20600
|
Цитата:
Сообщение от ssoleg
Цитата:
Сообщение от Dumpty
дак а почему никто не порекоммендовал ai-bolit?
|
правильный бэкдор не найдешь не айболитом, не регулярками, не другими паблик скриптами
А тсу я бы порекомендовал, после всех чисток, сделать md5 www папки, ну и можно поставил сайт, сделал md5. с коллизиями точно никто заморачиваться не будет, да и раз много заражений и нагрузка явно автомат, там все просто и банально.
Кстати бывет хостера ломают, и гадят везде, причем хостер не сознается ни в какую, у меня так было разок =)
|
есть решение проще: virusdie
само сканит, парсит и сверяет чексумы.
|
|
|
27.04.2019, 02:05
|
#18
|
интересующийся
Регистрация: 16.06.2009
Сообщений: 783
Бабло: $153396
|
Цитата:
Сообщение от ssoleg
А тсу я бы порекомендовал, после всех чисток, сделать md5 www папки, ну и можно поставил сайт, сделал md5. с коллизиями точно никто заморачиваться не будет
|
Смотря как реализовано) насколько помню в жумле был\есть плагин для защиты от rsfirewall вроде, он как раз мд5 хеши файлов делал. Проблема том, что
он их заносил в mysql, и, при взломе, ничего не мешало их ручками в базе добавлять\редактировать.
|
|
|
27.04.2019, 02:49
|
#19
|
Senior Member
Регистрация: 26.01.2009
Адрес: Ленинград
Сообщений: 641
Бабло: $106689
|
Цитата:
Сообщение от Wonder
Смотря как реализовано) насколько помню в жумле был\есть плагин для защиты от rsfirewall вроде, он как раз мд5 хеши файлов делал. Проблема том, что
он их заносил в mysql, и, при взломе, ничего не мешало их ручками в базе добавлять\редактировать.
|
да ну лол, ты чего, кто хранит такое на серваке, небось и бэкапы не делаешь? запилил ресурс, прогнал скриптом md5 всех файлов, скачал себе, когда надо повторил, сравнил. Но как бы для оповещения и rsfirewall сойдет, если делается постоянно, ну а тс просто под раздачу массовую попал, никто так не заморачивается. если не целенаправленно его дрюкали, что врядли учитывая последствия
|
|
|
27.04.2019, 11:22
|
#20
|
Senior Member
Регистрация: 10.05.2018
Сообщений: 215
Бабло: $54940
ТС -->
|
ТС
Цитата:
Сообщение от number4
Цитата:
Сообщение от ssoleg
Цитата:
Сообщение от Dumpty
дак а почему никто не порекоммендовал ai-bolit?
|
правильный бэкдор не найдешь не айболитом, не регулярками, не другими паблик скриптами
А тсу я бы порекомендовал, после всех чисток, сделать md5 www папки, ну и можно поставил сайт, сделал md5. с коллизиями точно никто заморачиваться не будет, да и раз много заражений и нагрузка явно автомат, там все просто и банально.
Кстати бывет хостера ломают, и гадят везде, причем хостер не сознается ни в какую, у меня так было разок =)
|
есть решение проще: virusdie
само сканит, парсит и сверяет чексумы.
|
да норм но на сотни доров дороговато блин.
|
|
|
28.04.2019, 09:14
|
#21
|
gofuckingoogle
Регистрация: 28.08.2008
Адрес: 666
Сообщений: 9,412
Бабло: $1278665
|
Цитата:
Сообщение от number4
есть решение проще: virusdie
само сканит, парсит и сверяет чексумы.
|
Ого, прикольная штука, спасибо за наводку.
|
|
|
|