Scripts malveillants. Registre. Que faire si vous ne trouvez pas le virus vous-même

29.11.2020 Skype

JavaScript malveillant

Mon opinion, qui consiste dans le fait qu'il est plus facile et plus efficace de se protéger contre les scripts de navigateur malveillants (attaques XSS stockées) au moyen des navigateurs, a été énoncée précédemment : . La protection du navigateur contre JavaScript, qui consiste à ajouter un code de filtrage aux pages html du site, est censée être fiable, cependant, la présence d'une telle protection n'élimine pas la nécessité d'utiliser également un filtre côté serveur. Contre les mêmes attaques XSS sur le serveur, vous pouvez organiser une ligne de défense supplémentaire. Il faut aussi rappeler la possibilité pour un attaquant d'injecter dans le message html envoyé depuis le site, non pas le navigateur, mais des scripts serveur (php), en reconnaissant que le navigateur ne sera pas fort.

Un script attaquant, qu'il s'agisse d'un script de navigateur ou d'un script de serveur, est un programme, et il faut penser que le programme aura toujours des différences symboliques avec le HTML "pur". Essayons de trouver ces différences et utilisons-les pour créer un filtre html sur le serveur. Vous trouverez ci-dessous des exemples de JavaScript malveillant.

XSS :

Du texte

XSS crypté :

Du texte

Les navigateurs restaurent le texte des primitives de caractères non seulement à l'intérieur des conteneurs html (entre les balises d'ouverture et de fermeture), mais également à l'intérieur des balises elles-mêmes (entre< и >). Le codage d'URL est autorisé dans les adresses http. Cela complique la reconnaissance du code malveillant côté serveur, car une même séquence de caractères peut être représentée de différentes manières.

Vers XSS :

"+innerHTML.slice(action= (méthode="post")+".php",155)))">

"].join(""); with(new XMLHttpRequest)open("POST","post.php"),send(c);alert("XSS")"></p> <br><p><form><input name="content"><iframe onload="i=parentNode;i.action=(i.method="post")+".php"; i.value="<formulaire>(!LANG :"+i.innerHTML;i.submit(alert("XSS"))">!}</p> <br><p><b><iframe onload="with(new XMLHttpRequest)open("POST","post.php"), setRequestHeader("content-type","application/x-www-form-urlencoded"),send("content= "+parentNode.innerHTML.bold(alert("XSS")))"></b></p> <br><p><script id=_> alert("xss");with(new XMLHttpRequest)open("POST","post.php"),send("content="+_.outerHTML) </script></p> <p>Les vers XSS ci-dessus ne sont que quelques-uns des nombreux soumis au concours de Robert Hansen (alias RSnake) de janvier 2008 pour le plus petit (le plus court) ver JavaScript malveillant (résultats du concours).</p> <h3><b>Signes d'attaques XSS</b></h3> <p>Un script XSS est un programme qui accède aux objets DOM (Document Object Model) et à leurs méthodes. Tout le reste est peu susceptible d'être nocif. Par exemple, la chaîne JavaScript <br><b>onckick="var a = "xss""</b> <br>n'affecte pas le modèle d'objet du document, donc même si elle est intégrée dans une balise html, une telle ligne est inoffensive. Ce n'est qu'en manipulant les objets du document html et leurs méthodes qu'un pirate peut causer des dommages importants au site. Par exemple, la ligne <br><b>onmousemove="document.getElementsByTagName("body").innerHTML="XSS""</b> <br>remplace déjà le contenu de la page.</p> <p>L'indicatif d'appel de la méthode DOM est des parenthèses, ainsi que des points à gauche du signe égal. Les parenthèses peuvent également être utilisées en html - pour définir la couleur dans le format <b>RVB()</b>, cependant, les couleurs de police et d'arrière-plan en html sont définies d'au moins trois autres manières. Par conséquent, les parenthèses peuvent être sacrifiées sans compromettre l'expressivité du texte html. Il doit être accepté comme règle que les parenthèses à l'intérieur d'une balise (c'est-à-dire entre< и >) - c'est très dangereux, si nous recevons un message de l'utilisateur sur le serveur, des crochets à l'intérieur des balises se trouvent dans ce message, alors la chose la plus appropriée à faire est de bloquer un tel message.</p> <p>Le point peut être contenu dans des balises html : lors de la spécification de l'adresse du lien (balise <b><A> </b>); lors de la définition de la taille des éléments html ( <b>style="hauteur : 1,5 pouce ; largeur : 2,5 pouce ;"</b>). Mais les séquences de caractères de la forme <br><b>lettres pointées égales</b> <br>ne peut pas être dans les balises html. S'il y a une séquence spécifiée à l'intérieur de la balise html, le message de l'utilisateur, avec une forte probabilité, contient un script et doit être bloqué.</p> <p>Un autre signe évident de danger est le symbole " <b>+ </b>" à l'intérieur de la balise. Il n'y a rien de tel dans le HTML sans script. Si des avantages sont trouvés à l'intérieur des balises, nous bloquons impitoyablement le message.</p> <p>Un utilisateur de site bien intentionné qui ajoute un commentaire à l'aide d'un éditeur visuel n'aura jamais recours au cryptage avec des primitives symboliques à l'intérieur des balises html. L'utilisation de primitives symboliques dans les balises n'apporte aucun avantage sous la forme de moyens expressifs supplémentaires, elle ne nécessite qu'un temps d'écriture supplémentaire. Dans la plupart des cas, il faut penser qu'un utilisateur bien intentionné ne sait même pas qu'il existe des caractères primitifs en html. D'où la règle : l'esperluette à l'intérieur du tag est la preuve d'une attaque du site. En conséquence, si nous voyons cela, nous bloquons le message.</p> <p>Une règle similaire devrait être adoptée pour le symbole " <b>% </b>", qui peut être utilisé dans le codage d'URL. Cependant, les pourcentages sont également utilisés dans le HTML "pur" - pour définir les tailles relatives des éléments. Combinaisons dans lesquelles le " <b>% </b>" est immédiatement suivi d'une lettre ou d'un chiffre.</p> <h3><b>Désarmement des scripts de serveur</b></h3> <p>Contrairement aux interpréteurs JavaScript des navigateurs, l'interpréteur php sur le serveur ne prend aucune liberté lors de l'écriture du texte du programme. Ainsi, pour neutraliser un éventuel script serveur, il suffit de remplacer de part en part dans le message html de l'utilisateur tous les caractères indispensables à l'écriture d'un programme php avec leurs primitives html. Tout d'abord, les signes dollar et le trait de soulignement, le point, le rond, le carré et les accolades, les signes plus et moins, la barre oblique inverse sont susceptibles d'être remplacés.</p> <h3><b>Filtre PHP pour les messages HTML</b></h3> <p>$message est le message html reçu de l'éditeur visuel au serveur.</p> <p>// mémorise la longueur du message</span>$lenmessage = strlen($message); <span>// coupe la balise de commentaire</span>$message = preg_replace("//", "", $message); <span>// supprime chaque balise où l'attribut "src" fait référence à une ressource externe</span>$message = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $message); <span>// coupe toutes les balises contenant n'importe quel caractère sauf : - a-z 0-9 / . : ; " = % # espace</span>$message = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $message); <span>// supprime chaque balise qui a la séquence ". a-z ="</span>$message = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $message); <span>// coupe chaque tag qui a la séquence "%a-z" ou "%0-9"</span>$message = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $message); <span>// supprime chaque balise contenant la séquence "script" ou "js :"</span>$message = preg_replace("/<[^>]*?script[^>]*?>/i", "", $message); $message = preg_replace("/<[^>]*?js :[^>]*?>/i", "", $message); <span>// supprime toutes les balises commençant par un caractère autre que "a-z" ou "/"</span>$message = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $message); <span>// vérification : si le message est raccourci, alors termine le programme</span>$lenmessage2 = strlen($message); if ($lenmessage != $lenmessage2) ( print "Le message n'a pas pu être ajouté" ; exit ; ) <span>// effectue un remplacement complet des symboles dangereux par leurs primitives correspondantes</span>$message = str_replace("$", "$", $message); $message = str_replace("_", "_", $message); $message = str_replace(".", ".", $message); $message = str_replace(chr(92), "\", $message); // \ $message = str_replace("(", "(", $message); $message = str_replace(")", ")", $message); $message = str_replace("[", "[", $message); $message = str_replace("]", "]", $message); $message = str_replace("(", "(", $message); $message = str_replace(")", ")", $message); $message = str_replace("?", "?", $message); <span>// maintenant le message a été vérifié, les scripts qu'il contient ont été rendus inoffensifs</p> <p>Notez que le filtre ne supprime pas les balises jumelées. Disons que nous avons <br><b><DIV onclick="alert("XSS")">Cliquez ici!</DIV> </b> <br>Le filtre ne fera que couper <b><DIV onclick="alert("XSS")"> </b>, mais la balise appariée (fermante) <b></DIV> </b> restera. Si vous envoyez des messages contenant des balises sans leurs paires correspondantes au navigateur, une nuisance est possible sous la forme d'un site « biaisé ». On ne sait pas, après tout, à quelle balise d'ouverture le navigateur fera correspondre la balise de fermeture laissée sans paire. Par conséquent, et également pour des raisons de sécurité, les messages dans lesquels quelque chose est coupé par le filtre ne doivent pas du tout être envoyés au navigateur. Il est préférable d'imprimer quelque chose comme "Le message n'a pas pu être ajouté" et de terminer le programme.</p> <p>Le message est censé être écrit dans un fichier (et non dans une base de données).</p> <h3><b>Discussion</b></h3> <p>Je serai reconnaissant pour la critique. Écrivez au forum de support, à la section</p> <p>La vérité de la vie est que le site peut être piraté tôt ou tard. Après avoir réussi à exploiter la vulnérabilité, le pirate essaie de prendre pied sur le site en plaçant des shells Web de pirate, des chargeurs dans les répertoires système et en injectant des portes dérobées dans le code de script et la base de données CMS.</p> <p>Les scanners aident à détecter les shells Web téléchargés, les portes dérobées, les pages de phishing, les spammeurs et d'autres types de scripts malveillants - tout ce qu'ils connaissent et ont été ajoutés à l'avance à la base de données des signatures de logiciels malveillants. Certains scanners, tels que AI-BOLIT, disposent d'un ensemble d'heuristiques capables de détecter les fichiers contenant du code suspect, souvent utilisé dans des scripts malveillants, ou des fichiers avec des attributs suspects pouvant être téléchargés par des pirates. Mais, malheureusement, même dans le cas de l'utilisation de plusieurs scanners sur l'hébergement, des situations sont possibles lorsque certains scripts de piratage ne sont pas détectés, ce qui signifie en fait que l'attaquant a toujours une "porte dérobée" et qu'il peut pirater le site et obtenir un contrôle total sur à tout moment.</p> <p>Les scripts malveillants et de piratage modernes sont très différents de ceux d'il y a 4 à 5 ans. Les développeurs de codes malveillants combinent désormais l'obscurcissement, le chiffrement, la décomposition, le chargement externe de code malveillant et d'autres astuces pour tromper les logiciels antivirus. Par conséquent, la probabilité de manquer de nouveaux "malwares" est beaucoup plus élevée qu'auparavant.</p> <p>Que faire dans ce cas pour détecter plus efficacement les virus sur le site et les scripts de hacker sur l'hébergement ? Il est nécessaire d'utiliser une approche intégrée : analyse initiale automatisée et analyse manuelle ultérieure. Cet article se concentrera sur les options de détection de code malveillant sans analyseurs.</p> <p>Tout d'abord, réfléchissez à ce que vous devez rechercher exactement lors du piratage.</p> <ol><li><b>scripts de piratage.</b><br>Le plus souvent, lors du piratage, des fichiers sont téléchargés qui sont des shells Web, des portes dérobées, des «chargeurs» (téléchargeurs), des scripts pour les envois de spam, des pages de phishing + des gestionnaires de formulaires, des portes et des fichiers de marqueur de piratage (images du logo du groupe de hackers, texte fichiers avec "message" de pirates, etc.)</li> <li><b>Injects (injections de code) dans des fichiers existants</b>.<br>Le deuxième type le plus populaire d'hébergement de code malveillant et de hacker est l'injection. Les redirections mobiles et de recherche peuvent être injectées dans des fichiers de site .htaccess existants, des portes dérobées peuvent être injectées dans des scripts php/perl, des fragments javascript viraux ou des redirections vers des ressources tierces peuvent être intégrés dans des modèles .js et .html. Les injections sont également possibles dans les fichiers multimédias, par exemple.jpg ou. Le code malveillant se compose souvent de plusieurs composants : le code malveillant lui-même est stocké dans l'en-tête exif d'un fichier jpg et est exécuté à l'aide d'un petit script de contrôle, dont le code ne semble pas suspect au scanner.</li> <li><b>Injections de base de données</b><b>.<br></b> La base de données est la troisième cible du pirate. Des inserts statiques sont possibles ici<script>, <iframe>, <embed>, <object>, которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.<br> Кроме того во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.</li> <li><b>Инжекты в кэширующих сервисах. </b><br> В результате некорректной или небезопасной настройки кэширующих сервисов, например, memcached, возможны инжекты в закэшированные данные “на лету”. В некоторых случаях хакер может внедрять вредоносный код на страницы сайта без непосредственного взлома последнего.</li> <li><b>Инжекты </b><b>/ </b><b>инцицированные элементы в системных компонентах сервера. </b><br> Если хакер получил привелегированный (root) доступ к серверу, он может подменить элементы веб-сервера или кэширующего сервера на инфицированные. Такой веб-сервер будет с одной стороны обеспечивать контроль над сервером с помощью управляющих команд, с другой – время от времени внедрять динамические редиректы и вредоносный код на страницы сайта. Как и в случае инжекта в кэширующий сервис, администратора сайта скорее всего не сможет обнаружить факт взлома сайта, так как все файлы и база данных будут оригинальными. Этот вариант наиболее сложный для лечения.</li> </ol><p>Итак, предположим, что сканерами вы уже проверили файлы на хостинге и дамп базы данных, но они ничего не обнаружили, а вирусный <script …> по-прежнему на странице или мобильный редирект продолжает отрабатывать при открытии страниц. Как искать дальше?</p> <h2><b>Поиск вручную </b></h2> <p>В unix сложно найти более ценную пару команд для поиска файлов и фрагментов, чем find / grep.</p> <p>find . -name ‘*.ph*’ -mtime -7 </p> <p>найдет все файлы, которые были изменены за последнюю неделю. Иногда хакеры “скручивают” дату изменения у скриптов, чтобы таким образом не обнаружить новые скрипты. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты</p> <p>find . -name ‘*.ph*’ -сtime -7 </p> <p>Если нужно найти изменения в каком-то временном интервале, можно воспользоваться тем же find</p> <p>find . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls </p> <p>Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент</p> <p>grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ * </p> <p>При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг</p> <p>find / -perm -4000 -o -perm -2000 </p> <p>Чтобы определить, какие скрипты запущены в данный момент и грузят CPU хостинга, можно вызвать</p> <p>lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str= } else { str=str»,»}}END{print str}’` | grep vhosts | grep php </p> <h2><b>Используем мозг и руки для анализа файлов на хостинге </b></h2> <ol><li><b>Идем в директории </b><b>upload, cache, tmp, backup, log, images </b>, в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями. Например, для joomla можно проверить.php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредонос.<br> Для WordPress имеет смысл проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.</li> <li><b>Ищем файлы со странными именами </b><br> Например, php, fyi.php, n2fd2.php. Файлы можно искать <ul><li>- по нестандартным сочетаниям символов,</li> <li>- наличию цифр 3,4,5,6,7,8,9 в имени файлов</li> </ul></li> </ol><ol><li><b>Ищем файлы с нехарактерными расширениями </b><br> Допустим, у вас сайт на WordPress или Для них файлы с расширениями.py, .pl, .cgi, .so, .c, .phtml, .php3 будут не совсем обычными. Если какие-то скрипты и файлы с данными расширениями будут обнаружены, скорее всего это будут хакерские инструменты. Возможен процент ложных обнаружений, но он не велик.</li> <li><b>Ищем файлы с нестандартными атрибутами или датой создания </b><br> Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все.php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта.<br> Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.</li> <li><b>Ищем дорвеи по большому числу файлов </b><b>.html </b><b>или.php<br></b>Если в каталоге несколько тысяч файлов.php или.html, скорее всего это дорвей.</li> </ol><h2><b>Логи в помощь </b></h2> <p>Логи веб-сервера, почтового сервиса и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.</p> <ul><li>Корреляция даты и времени отправки письма (которые можно узнать из лога почтового сервера или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам-рассыльщика.</li> </ul><ul><li>Анализ трансфер-лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.</li> </ul><ul><li>В правильно настроенном логе почтового сервера или в служебном заголовке спам-письма при правильной настройке PHP будет имя или полный путь до скрипта-отправителя, что помогает определять источник спама.</li> </ul><ul><li>По логам проактивной защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.</li> </ul><ul><li>По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.</li> </ul><h2><b>Контроль целостности </b></h2> <p>Намного проще анализировать взлом и искать вредоносные скрипты на сайте, если заранее позаботить о его безопасности. Процедура контроля целостности (integrity check) помогает своевременно обнаруживать изменения на хостинге и определять факт взлом. Один из самых простых и эффективных способов – положить сайт под систему контроля версий (git, svn, cvs). Если грамотно настроить.gitignore, то процесс контроля за изменениями выглядит как вызов команды git status, а поиск вредоносных скриптов и измененных файлов – git diff.</p> <p>Также у вас всегда будет резервная копия файлов, до которой можно «откатить» сайт в считанные секунды. Администраторам сервера и продвинутым веб-мастерам можно использовать inotify, tripwire, auditd и другие механизмы для отслеживания обращений к файлам и директориям, и контроля за изменениями в файловой системе.</p> <p>К сожалению, не всегда есть возможность настроить систему контроля версий или сторонние сервисы на сервере. В случае shared-хостинга не получится установить систему контроля версий и системные сервисы. Но это не беда, есть достаточно много готовых решений для CMS. На сайте можно установить плагин или отдельный скрипт, который будет отслеживать изменения в файлах. В некоторых CMS уже реализован эффективный мониторинг изменений и механизм integrity check (Например, в Битрикс, DLE). В крайнем случае, если на хостинге есть ssh, можно сформировать эталонный слепок файловой системы командой</p> Акция «2 по цене 1» <p> <i> </i> Акция действует до конца месяца.</p> <p>При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте - 1500 руб в месяц за каждый сайт.</p> <p>Необходимо выполнять совместно. Если устранить первоначальную причину взлома (например, уязвимость в расширении CMS), но не удалить все вредоносные файлы, злоумышленник сможет снова получить доступ к сайту, воспользовавшись одним из своих скриптов. Если же удалить все загруженные вредоносные скрипты, но не устранить причину взлома, злоумышленник сможет повторно взломать сайт и снова загрузить на него скрипты.</p> <p>Выполнять работу по удалению вредоносных скриптов и проводить анализ причин взлома должен <b>специалист с соответствующими знаниями и опытом </b>:</p> <ul><li>Для удаления вредоносных скриптов необходимо <b>знание языка программирования PHP </b>, а также <b>знание «изнутри» популярных CMS </b> (Joomla, WordPress и т. п.) и расширений для них. Эти знания требуются, чтобы отличить скрипты непосредственно CMS и ее расширений от посторонних файлов, а также чтобы при встрече с сомнительными скриптами иметь возможность однозначно определить, какие действия они выполняют.</li> <li>Для анализа причин взлома требуется <b>опыт администрирования сервера </b>. Это необходимо для анализа состояния файлов на аккаунте, времени их изменения, а также для сопоставления этих данных с журналами сервера для определения, какие именно действия злоумышленника привели к взлому сайтов.</li> </ul><p>Поэтому если ваш сайт оказался взломан, рекомендуется во избежание повторных взломов не выполнять работу самостоятельно, а обратиться к специалисту, который произведет необходимую диагностику и порекомендует или выполнит необходимые действия для решения проблемы, и который сможет дать гарантию качества полученного результата.<br></p> <p>Тем не менее, существует ряд мер, которые <b>в некоторых случаях </b> помогают возобновить безопасную работу сайта <b>без наличия специальных знаний </b>. Ограничением приведенного ниже способа является то, что для возобновления работы сайта требуется наличие его резервной копии, созданной на момент до взлома. Если дата взлома неизвестна, можно попробовать применить этот способ, используя самую раннюю резервную копию из имеющихся. Вторым ограничением, как следствие из первого, является то, что после восстановления сайта будут потеряны данные, добавленные на сайт после создания восстанавливаемой резервной копии (например, новые статьи, изображения или документы). Если требуется восстановить работу сайта, сохранив при этом новые данные, необходимо обратиться к специалисту.</p> <p>Эти меры <b>не позволяют установить причину взлома сайта </b>, однако каждая из них направлена на устранение одной из потенциальных причин проникновения. Так как точная причина взлома неизвестна, необходимо выполнить их все. Действия расположены в таком порядке, чтобы сначала полностью исключить возможность продолжения деятельности злоумышленника на сайте или аккаунте хостинга в настоящий момент, после чего предупредить проникновение злоумышленника на сайт в будущем.</p> <p>Приведенные ниже действия предполагают, что на вашем аккаунте хостинга располагается <b>только один сайт </b>. Если на аккаунте располагается несколько сайтов, то они также могли подвергнуться взлому, и сайт мог быть взломан через них. Необходимо либо перенести сайт, с которым проводятся восстановительные работы, на отдельный аккаунт, либо проводить восстановление для всех сайтов, размещенных на аккаунте, одновременно.</p> <p>Очередность действий важна, поэтому необходимо выполнять их именно в том порядке, в котором они расположены ниже.</p> <ol><li>Сразу после обнаружения взлома сайта необходимо <b>полностью заблокировать к нему доступ посетителей </b>. Это, во-первых, помешает злоумышленнику вести вредоносную деятельность на сайте, а во-вторых, не позволит ему препятствовать проведению восстановительных работ. Этот шаг очень важен, так как удаление вредоносных скриптов и устранение причины взлома не происходит одномоментно — как правило, на это требуется несколько часов. Если сайт останется доступным извне, злоумышленник сможет произвести повторную загрузку скриптов в тот раздел сайта, который уже был очищен. При этом злоумышленник может использовать различные IP-адреса для подключения, поэтому запрет доступа только для списка IP-адресов не даст результата. Чтобы гарантированно очистить сайт от найденных вредоносных скриптов, необходимо полностью закрыть для злоумышленника возможность обращения к сайту, что можно сделать только с помощью полной блокировки сайта для любых посетителей. Обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт, чтобы произвести блокировку.</li> <li>После блокировки сайта необходимо <b>проверить компьютеры </b>, с которых производилась работа с сайтом, современным антивирусом с обновленными вирусными базами. Если сайт был взломан путем кражи паролей от аккаунта с помощью вируса, необходимо убедиться, что дальнейшая работа со взломанным сайтом ведется с компьютера, на котором вирусы отсутствуют, иначе после смены паролей доступа они снова могут быть украдены.</li> <li>После блокировки сайта и проверки на вирусы необходимо <b>изменить все пароли </b> доступа к аккаунту: доступы через FTP, через SSH, а также доступы к панели управления хостингом. Если злоумышленник получал доступ к файлам аккаунта одним из этих способов, после смены паролей он больше не сможет сделать это.</li> <li>После смены паролей необходимо <b>уничтожить все процессы сервера </b>, работающие от имени аккаунта, на котором обслуживается сайт. Запущенные злоумышленником в фоновом режиме процессы, не будучи уничтожены, смогут после проведения восстановительных работ повторно разместить вредоносные скрипты на сайте. Чтобы этого не произошло, все процессы, запущенные до блокировки сайта, должны быть уничтожены. Сайт в этот момент уже должен быть заблокирован, чтобы злоумышленник не смог запустить новые процессы, обратившись к одному из своих скриптов на сайте. Для уничтожения запущенных на аккаунте процессов обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт.</li> <li>Теперь проникновение на сайт извне невозможно и можно приступать к его восстановлению.</li> <li>Перед дальнейшими действиями <b>удалите все существующие файлы сайта </b>, чтобы среди них гарантированно не осталось вредоносных скриптов, или скриптов CMS, в которые злоумышленник внедрил вредоносный код. Этот шаг также важен, так как при восстановлении сайта из резервной копии не всегда удаляются файлы, которые существовали до восстановления. Если после восстановления из резервной копии на сайте останутся старые вредоносные скрипты, злоумышленник сможет повторно проникнуть на сайт. Избежать этого можно, удалив все файлы сайта перед проведением восстановления.</li> <li>После удаления всех файлов сайта <b>восстановите сайт из резервной копии </b>, созданной до его взлома. Часто достаточно восстановить только файлы сайта, однако если после их восстановления в работе сайта наблюдаются ошибки, необходимо восстановить сайт полностью: и файлы и базу данных.</li> <li>После восстановления из резервной копии <b>обновите используемые версии системы управления сайтом </b> <b>(CMS) и ее расширений </b> до последних. Это необходимо, чтобы исключить присутствие на сайте известных уязвимостей, через которые он может быть взломан. Как правило, обновление можно произвести через раздел администрирования CMS. Для получения полных инструкций по обновлению CMS необходимо обратиться на сайт разработчика системы. Важно обновить не только саму CMS, но и все ее расширения, так как часто взлом происходит через уязвимость, присутствующую в одном из расширений CMS (например, плагины, темы оформления, виджеты и пр.). В этот момент еще нельзя снимать блокировку сайта для посетителей, так как он может быть еще уязвим. Чтобы получить доступ к сайту для обновления, обратитесь в техническую поддержку хостинга, на котором размещается ваш сайт, и попросите разрешить доступ к сайту только с IP-адреса вашего компьютера. Узнать ваш IP-адрес вы можете, например, на inet.yandex.ru .</li> <li>После обновления системы управления сайтом и ее расширений зайдите в раздел администрирования сайта и <b>измените пароль доступа администратора </b> к нему. Убедитесь, что среди пользователей сайта нет других пользователей с административными привилегиями (они могли быть добавлены злоумышленником), а если таковые обнаружатся — удалите их.</li> <li>Теперь, когда сайт восстановлен из <a href="https://sushiandbox.ru/fr/social-network/klonirovanie-mac-os-x-sozdaem-svoyu-ovechku-dolli-rezervnoe-kopirovanie-mac-os-x.html">резервной копии</a> и не содержит вредоносных скриптов, CMS и ее расширения обновлены до последних версий, в которых отсутствуют уязвимости, а пароли доступа к сайту и аккаунту хостинга изменены, можно вновь открыть сайт для посетителей.</li> </ol><p>Все указанные выше действия необходимо выполнять в соответствии с указанной очередностью, без пропусков и каких-либо изменений. Если действия выполнены неточно, на сайте могут остаться <a href="https://sushiandbox.ru/fr/master-pc/vredonosnye-skripty-ishchem-i-ubiraem-vredonosnyi-kod-na-wordpress.html">вредоносные скрипты</a> или уязвимости, в результате чего через короткое время он <b>может быть снова взломан злоумышленником </b>. Если по каким-либо причинам выполнить перечисленные выше действия в том виде, в котором они указаны, возможности нет, обратитесь к специалисту для проведения работ по восстановлению сайта после взлома.</p> <h2>Чтобы защитить сайт от повторных взломов в будущем необходимо придерживаться следующих рекомендаций:</h2> <ol><li>Следите за обновлениями CMS и расширений для нее на сайтах разработчиков и своевременно производите их обновление до последних версий. Если в комментарии об обновлении присутствует информация о том, что оно устраняет какую-либо уязвимость, установите это обновление как можно быстрее.</li> <li>Производите работу с сайтом и с аккаунтом хостинга только с компьютеров, которые защищены от вирусов современными антивирусами с постоянно обновляемыми <a href="https://sushiandbox.ru/fr/skype/podgotovka-k-testam-po-informatike-testy-po-informatike-kakie-iz.html">вирусными базами</a>.</li> <li>Используйте сложные пароли, чтобы их нельзя было подобрать перебором по словарю.</li> <li>Не сохраняйте в программах для подключения к сайту пароли от FTP и SSH, а также не сохраняйте в браузере пароль доступа в административный радел сайта и в панель управления хостингом.</li> <li>Время от времени (например, раз в три месяца) изменяйте пароли доступа к сайту и к аккаунту хостинга.</li> <li>Если на компьютере, с которого производилась работа с сайтом, были обнаружены вирусы, измените пароли доступа к сайту и аккаунту хостинга как можно быстрее. Изменять необходимо все пароли: пароли доступа по FTP, SSH, пароль от административной панели сайта, а также пароль от панели управления хостингом.</li> <li>Не предоставляйте доступ к сайту третьим лицам, если вы не уверены, что они также будут следовать приведенным рекомендациям.</li> </ol> <p>WordPress – одна из самых популярных систем управления контентом, использующаяся в самых различных целях: от ведения блогов до электронной коммерции. Существует широкий выбор плагинов и тем для WordPress . Случается, что какие-то из этих расширений попадают в руки вебмастеров после того, как некий злоумышленник потрудился над ними.</p> <p>Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.</p> <p>Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.</p> <h2>1. Theme Authenticity Checker (TAC)</h2> <p>Theme Authenticity Checker (инспектор аутентичности тем, TAC) – WordPress -плагин, который сканирует каждую <a href="https://sushiandbox.ru/fr/internet/kak-pomenyat-temu-vkontakte-kak-ustanovit-temu-vk-yandeks-brauzer.html">установленную тему</a> на наличие подозрительных элементов вроде невидимых ссылок или кода, зашифрованного с помощью Base64 .</p> <p>Обнаружив такие элементы, TAC сообщает о них администратору WordPress , позволяя ему самостоятельно проанализировать и при необходимости исправить исходные файлы тем:</p> <h3>2. Exploit Scanner</h3> <p>Exploit Scanner сканирует весь исходный код вашего сайта и содержимое базы <a href="https://sushiandbox.ru/fr/skype/udalit-ostatki-udal-nnyh-plaginov-wordpress-ochistit-bazu-dannyh.html">данных WordPress</a> на наличие сомнительных включений. Так же, как и TAC , этот плагин не предотвращает атаки и не борется с их последствиями в <a href="https://sushiandbox.ru/fr/lessons-on-windows/atol-30-podklyuchenie-k-1s-ustanovka-draivera-dlya-onlain-kass.html">автоматическом режиме</a>.</p> <p>Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить вредоносный код, придётся это сделать вручную:</p> <h3>3. Sucuri Security</h3> <p>Sucuri – хорошо известное решение в области безопасности WordPress . Плагин Sucuri Security осуществляет мониторинг файлов, загружаемых на WordPress -сайт, ведёт собственный список известных угроз, а также позволяет удалённо просканировать сайт при помощи бесплатного сканера Sucuri SiteCheck Scanner . За абонентскую плату можно дополнительно укрепить защиту сайта, установив мощный сетевой экран Sucuri Website Firewall :</p> <h3>4. Anti-Malware</h3> <p>Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.</p> <p>Параметры сканирования и удаления могут настраиваться. Этот плагин можно использовать после <a href="https://sushiandbox.ru/fr/master-pc/pochta-shkoly-rambler-rambler-pochta-besplatnaya-registraciya.html">бесплатной регистрации</a> на gotmls .</p> <p>Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :</p> <h3>5. WP Antivirus Site Protection</h3> <p>WP Antivirus Site Protection – это плагин, сканирующий все загружаемые на сайт файлы, в том числе WordPress -темы.</p> <p>Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по <a href="https://sushiandbox.ru/fr/master-pc/pochemu-pochta-tut-bai-otkryvaetsya-cherez-yandeks-elektronnaya-pochta-nikakih.html">электронной почте</a> и много другое.</p> <p>Плагин устанавливается и функционирует бесплатно, но имеет несколько <span>платных дополнений </span>, на которые стоит обратить внимание:</p> <h3>6. AntiVirus для WordPress</h3> <p>AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый «белый список » и другие функции:</p> <h3>7. Quterra Web Malware Scanner</h3> <p>Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.</p> <p>Базовые функции сканера бесплатны, в то время как некоторый <span><a href="https://sushiandbox.ru/fr/social-network/kak-rabotaet-navigator-v-telefone-kak-vklyuchit-na-androide-gps-i.html">дополнительный сервис</a> </span> обойдётся вам в $60 за год:</p> <h3>8. Wordfence</h3> <p>Если вы ищете комплексное решение проблем безопасности вашего сайта, обратите внимание на Wordfence .</p> <p>Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку «чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.</p> <p>Этот плагин бесплатен в своей <a href="https://sushiandbox.ru/fr/browsing-the-internet/kvadrokopter-xk-detect-x380-bazovaya-versiya-obzor-xk-detect-x380-c-polnocennaya-platforma.html">базовой версии</a>, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату:</p> <h3>9. Wemahu</h3> <p>Wemahu осуществляет мониторинг изменений в коде вашего сайта и поиск вредоносного кода.</p> <p>База данных, на основе которой ведётся обнаружение зловредов, пополняется методом краудсорсинга: пользователи сами пополняют её, отправляя результаты сканирования зараженных инсталляций WordPress на сайт автора плагина. Плагин также поддерживает отправку отчётов по электронной почте и другие полезные функции.</p> <p>1. Распаковать в папку сайта.<br> 2. перейти по ссылке ваш_сайт/fscure/<br> 3. все</p> <h2>Что умеет?</h2> <p>1. <a href="https://sushiandbox.ru/fr/internet/klyuchi-dlya-nod-32-64-bit-avtomaticheskii-poisk-i-obnovlenie-klyuchei-dlya-eset.html">Автоматический поиск</a> вирусов по сигнатурам.<br> 2. Поиск строки в файлах<br> 3. Удаление файлов<br> 4. Патч вредоносного кода при помощи регулярных выражений</p> <p>Скрипт не сделает за вас всю работу и требует некоторых минимальных знаний. Перед работой рекомендуется сделать бекап сайта.</p> <h2>Как работает?</h2> <p>При первом запуске составляет индекс файлов. Файл fscure.lst в папке. Выводит список файлов содержащих <b>потенциально вредоносные сигнатуры </b>. "Потенциально вредоносные" это значит, что решать вирус это или не вирус, придется вам. Список сигнатур настраивается в файле config.php , константа SCAN_SIGN . При дефолтных настройках скрипт не проверяет js файлы и не содержит для них сигнатур.<br></p> <h2>Самые частые проблемы</h2> <p>1. не создает индекс fscure.lst . Может происходить если не хватает прав. Поставьте 777 на папку fscure</p> <p>2. 5хх ошибка. Чаще всего "504 Gateway Time-out". Скрипт не успевает отработать и вылетает по таймауту. В этом случае есть несколько путей для ускорения его работы. Скорость в первую очередь зависит от размера индекса. Он в файле fscure.lst . Обычно файл до 5Мб в 90% случаев успевает обработать. Если не успевает, можно уменьшить "жадность" скрипта запретив сканировать *.jpg;*.png;*.css в конфиге.<br> В файле config.php .</p> <p>// разделитель; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");</p> <p>3. Хостинг выдает предупреждение вида<br> {HEX}base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php</p> <p>Вируса в скрипте нет и не было. А {HEX}base64.inject.unclassed.6 это конструкция вида "echo base64_decode(" , которая часто встречается и сама по себе вполне безобидна. Тем не менее в <a href="https://sushiandbox.ru/fr/internet/kakaya-poslednyaya-versiya-ios-dlya-moego-iphone-ili-ipad-kak-uznat-i-gde-skachat-ios.html">последней версии</a>, я этот код заменил.</p> <h2>Что делать если у вас не получилось найти вирус самостоятельно?</h2> <p>Вы можете обратиться ко мне за помощью. Расценки у меня скромные. На работу даю гарантию 6 месяцев. Стоимость работы 800 р. для 1 сайта. Если на аккаунте несколько сайтов цена определяется индивидуально.</p> <p>Если у вас все получилось сделать самостоятельно, буду благодарен за материальное вознаграждение или ссылку на мой сайт.</p> <p><b>Мои реквизиты: </b><br> yandex<br> 41001151597934</p> <p>webmoney<br> Z959263622242<br> R356304765617<br> E172301357329</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> <span style="display:none" class="updated">2016-05-11</span> <div class="clear"></div> </div> </article> <div class="post-navigation"> <div class="post-previous"> <a href="https://sushiandbox.ru/fr/spam/diskokonusnaya-antenna-svoimi-rukami-diskokonusnaya-antenna-shirokopolosnaya-antenna-vertikalnaya-ant.html" rel="prev"><span>Précédent</span> Antenne disque-cône à faire soi-même</a> </div> <div class="post-next"> <a href="https://sushiandbox.ru/fr/avatar/proshivka-mk-process-proshivki-mini-pk-oborudovanie-dlya.html" rel="next"><span>Prochain</span> processus de clignotement du mini pc</a> </div> </div> <section id="related_posts"> <div class="block-head"> <h3>Messages similaires</h3> <div class="stripe-line"></div> </div> <div class="post-listing"> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/fr/facebook/dlya-chego-nuzhny-diody-v-shemah-kak-ustroeny-i-rabotayut-poluprovodnikovye.html"> <img width="310" height="165" src="/uploads/9a07c0aba3202905862be095ed83f37d.jpg" class="attachment-tie-medium wp-post-image" alt="Comment les diodes semi-conductrices sont disposées et fonctionnent" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/fr/facebook/dlya-chego-nuzhny-diody-v-shemah-kak-ustroeny-i-rabotayut-poluprovodnikovye.html" rel="bookmark">Comment les diodes semi-conductrices sont disposées et fonctionnent</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-05-12 04:43:57</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/fr/facebook/ispolzovanie-mikroshemy-k155la3-mikroshema-k155la3-importnyi.html"> <img width="310" height="165" src="/uploads/4d89460392ea4428b9df1717d007d436.jpg" class="attachment-tie-medium wp-post-image" alt="Microcircuit K155LA3, analogique importé - Microcircuit SN7400 Circuits simples sur le microcircuit k155la3" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/fr/facebook/ispolzovanie-mikroshemy-k155la3-mikroshema-k155la3-importnyi.html" rel="bookmark">Microcircuit K155LA3, analogique importé - Microcircuit SN7400 Circuits simples sur le microcircuit k155la3</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-05-12 04:43:57</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/fr/skype/ie-ne-vidit-sertifikaty-internet-explorer-ne-vidit-sertifikat-kak-ustanovit.html"> <img width="310" height="165" src="/uploads/a69554739d822fd1e54c17236ed2e3b0.jpg" class="attachment-tie-medium wp-post-image" alt="Internet explorer ne voit pas le certificat" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/fr/skype/ie-ne-vidit-sertifikaty-internet-explorer-ne-vidit-sertifikat-kak-ustanovit.html" rel="bookmark">Internet explorer ne voit pas le certificat</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-05-03 03:09:44</span></p> </div> </div> </section> <script type="text/javascript"> document.getElementById('hc_full_comments').innerHTML = ''; </script> </div> <aside id="sidebar"> <div class="theiaStickySidebar"> </div> </aside> <div class="clear"></div> </div> <div class="e3lan e3lan-bottom"> </div> <footer id="theme-footer"> <div id="footer-widget-area" class="wide-left-3c"> </div> <div class="clear"></div> </footer> <div class="clear"></div> <div class="footer-bottom"> <div class="container"> <div class="alignright"> </div> <div class="social-icons"> <a class="ttip-none" title="Google Plus" href="" target="_blank"><i class="fa fa-google-plus"></i></a><a class="ttip-none" title="Twitter" href="https://www.twitter.com/share?url=https%3A%2F%2Fsushiandbox.ru%2Ffr%2Fskype%2Fvredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-twitter"></i></a> <a class="ttip-none" title="vk.com" href="https://vk.com/share.php?url=https://sushiandbox.ru/skype/vredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-vk"></i></a> </div> <div class="alignleft">© Copyright 2022, Mastering PC - Internet. Skype. Réseaux sociaux. Tutoriels Windows</div> <div class="clear"></div> </div> </div> </div> </div> </div> <div id="topcontrol" class="fa fa-angle-up" title="Faire défiler vers le haut"></div> <div id="fb-root"></div> <div id="reading-position-indicator"></div> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/CodeCanyon-Arqamv2.0.4-RetinaResponsiveWordPressSocialCounterPlugin-5085289/assets/js/scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/ark-hidecommentlinks.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip_init.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/contact-form-7/includes/js/jquery.form.min.js'></script> <script type='text/javascript' src='/assets/scripts1.js'></script> <script type='text/javascript'> /* <![CDATA[ */ var tie = { "mobile_menu_active": "true", "mobile_menu_top": "", "lightbox_all": "true", "lightbox_gallery": "true", "woocommerce_lightbox": "", "lightbox_skin": "dark", "lightbox_thumb": "vertical", "lightbox_arrows": "", "sticky_sidebar": "1", "is_singular": "1", "SmothScroll": "true", "reading_indicator": "true", "lang_no_results": "\u041d\u0435\u0442 \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b", "lang_results_found": "\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u043d\u0430\u0439\u0434\u0435\u043d\u043e" }; /* ]]> */ </script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/tie-scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/ilightbox.packed.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/search.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/jquery.cycle.all.js'></script> </body> </html>