Rosszindulatú szkriptek. Hajónapló. Mi a teendő, ha maga nem találja a vírust

29.11.2020 Skype

Rosszindulatú JavaScript

Véleményem, amely abban áll, hogy a rosszindulatú böngészőszkriptek (tárolt XSS támadások) ellen böngészők segítségével könnyebben és hatékonyabban lehet védekezni, korábban megfogalmazódott: . A JavaScript elleni böngészővédelem, amely abból áll, hogy az oldal html oldalaihoz szűrőkódot ad, megbízhatónak tekinthető, azonban az ilyen védelem megléte nem teszi szükségessé a szerveroldali szűrő használatát is. A szervert ért ugyanazon XSS-támadások ellen további védelmi vonalat szervezhet. Emlékeznünk kell arra a lehetőségre is, hogy a támadó az oldalról küldött html üzenetbe nem böngészőt, hanem szerver szkripteket (php) fecskendez be, amelyek felismerésében a böngésző nem lesz erős.

A támadó szkript, legyen az böngésző vagy szerver szkript, egy program, és azt kell gondolni, hogy a programnak mindig lesz néhány szimbolikus különbsége a "tiszta" html-től. Próbáljuk meg megtalálni az ilyen különbségeket, és ezek alapján építsünk fel egy html szűrőt a szerveren. Az alábbiakban példák találhatók a rosszindulatú JavaScriptre.

XSS:

valami szöveget

Titkosított XSS:

valami szöveget

A böngészők nem csak a html-tárolókban (a nyitó és záró címkék között), hanem magukon a címkéken belül is (között) állítják vissza a szöveget a karakterprimitívekből< и >). Az URL-kódolás megengedett a http-címekben. Ez megnehezíti a rosszindulatú kódok felismerését a szerver oldalon, mivel ugyanaz a karaktersorozat különböző módon ábrázolható.

XSS férgek:

"+innerHTML.slice(action= (method="post")+.php",155)))">

"].join(""); with(new XMLHttpRequest)open("POST","post.php"),send(c);alert("XSS")"></p> <br><p><form><input name="content"><iframe onload="i=parentNode;i.action=(i.method="post")+".php"; i.value="<form>"+i.innerHTML;i.submit(alert("XSS"))">!}</p> <br><p><b><iframe onload="with(new XMLHttpRequest)open("POST","post.php"), setRequestHeader("content-type","application/x-www-form-urlencoded"),send("content= "+parentNode.innerHTML.bold(alert("XSS")))"></b></p> <br><p><script id=_> alert("xss");with(new XMLHttpRequest)open("POST","post.php"),send("content="+_.outerHTML) </script></p> <p>A fenti XSS férgek csak néhány a sok közül, amelyeket Robert Hansen (más néven RSnake) a legkisebb (legrövidebb) rosszindulatú JavaScript féregért folytatott 2008. januári versenyére küldött be (a verseny eredményei).</p> <h3><b>XSS-támadások jelei</b></h3> <p>Az XSS szkript egy olyan program, amely hozzáfér a DOM (Document Object Model) objektumokhoz és metódusaikhoz. Semmi más nem valószínű, hogy káros. Például a JavaScript karakterlánc <br><b>onckick="var a = "xss""</b> <br>nem befolyásolja a dokumentum objektum modelljét, így még ha html tag-be van is ágyazva, egy ilyen sor ártalmatlan. A hacker csak a html-dokumentum objektumok és módszereik manipulálásával képes jelentős károkat okozni az oldalon. Például a vonal <br><b>onmousemove="document.getElementsByTagName("body").innerHTML="XSS""</b> <br>már helyettesíti az oldal tartalmát.</p> <p>A DOM metódus hívójele zárójelek, az egyenlőségjeltől balra lévő pontok is. A zárójelek a html-ben is használhatók - a formátum színének beállításához <b>rgb()</b>, azonban a html betűtípus- és háttérszínei még legalább három módon beállíthatók. Ezért a zárójelek feláldozhatók anélkül, hogy a html szöveg kifejezőképességét veszélyeztetnénk. Szabályként el kell fogadni, hogy egy címkén belül zárójelben (vagyis között< и >) - ez nagyon veszélyes, ha üzenetet kaptunk a szerveren lévő felhasználótól, ebben az üzenetben zárójelek találhatók a címkéken belül, akkor a legcélszerűbb az ilyen üzenet blokkolása.</p> <p>A pont html címkékben szerepelhet: a link címének megadásakor (tag <b><A> </b>); a html elemek méretének beállításakor ( <b>style="height:1.5in; width:2.5in;"</b>). De az űrlap karaktersorozatai <br><b>pontbetűk egyenlő</b> <br>nem lehet a html címkékben. Ha van egy meghatározott sorozat a html címkén belül, akkor a felhasználótól érkező üzenet nagy valószínűséggel szkriptet tartalmaz, és le kell tiltani.</p> <p>A veszély másik nyilvánvaló jele a szimbólum " <b>+ </b>" a címkén belül. A szkript nélküli html-ben nincs ilyen. Ha pluszjeleket találunk a címkéken belül, kíméletlenül blokkoljuk az üzenetet.</p> <p>Az a jó szándékú webhely-felhasználó, aki vizuális szerkesztővel megjegyzést fűz hozzá, soha nem folyamodik a html-címkéken belüli szimbolikus primitívekkel történő titkosításhoz. A szimbolikus primitívek használata a címkékben nem jár további kifejezőeszközök formájában, csupán több írási időt igényel. A legtöbb esetben gondolni kell arra, hogy a jó szándékú felhasználó nem is tudja, hogy a html-ben vannak karakterprimitívek. Ezért a szabály: a címkén belüli "és" jel a webhely elleni támadás bizonyítéka. Ennek megfelelően, ha ezt látjuk, akkor blokkoljuk az üzenetet.</p> <p>Hasonló szabályt kell elfogadni a " <b>% </b>", amely url-kódolásban használható. A "tiszta" html-ben azonban százalékokat is használnak - az elemek relatív méretének beállítására. Olyan kombinációk, amelyekben a " <b>% </b>" után közvetlenül egy betű vagy szám következik.</p> <h3><b>Szerver szkriptek hatástalanítása</b></h3> <p>Ellentétben a böngészők JavaScript értelmezőivel, a szerveren lévő php interpreter nem vállal szabadságot a programszöveg írása során. Ezért egy esetleges szerver szkript semlegesítéséhez elegendő a felhasználó html üzenetében minden olyan karaktert átmenően helyettesíteni, amelyek a php program írásakor elengedhetetlenek a html primitíveikkel. Mindenekelőtt a dollárjelek és az aláhúzás, a pont, a kerek, a szögletes és a göndör zárójelek, a plusz- és mínuszjelek, valamint a fordított perjelek kicserélhetők.</p> <h3><b>PHP szűrő HTML üzenetekhez</b></h3> <p>A $üzenet a vizuális szerkesztőtől a szerverhez érkezett html üzenet.</p> <p>// ne felejtse el az üzenet hosszát</span>$lenmessage = strlen($üzenet); <span>// vágja ki a megjegyzés címkét</span>$message = preg_replace("//", "", $üzenet); <span>// minden olyan címkét törölj le, ahol az „src” attribútum külső erőforrásra utal</span>$message = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $üzenet); <span>// kivág minden címkét, amely bármilyen karakterrel rendelkezik, kivéve: - a-z 0-9 / . : ; " = % # szóköz</span>$message = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $üzenet); <span>// minden címkét levág, amely a következővel rendelkezik: ". a-z ="</span>$message = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $üzenet); <span>// minden olyan címkét kivág, amelynek a sorozata "%a-z" vagy "%0-9"</span>$message = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $üzenet); <span>// minden címkét, amely a "script" vagy a "js:" sorozatot tartalmazza</span>$message = preg_replace("/<[^>]*?script[^>]*?>/i", "", $üzenet); $üzenet = preg_replace("/<[^>]*?js:[^>]*?>/i", "", $üzenet); <span>// minden címkét, amely nem "a-z" vagy "/" karakterrel kezdődik</span>$message = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $üzenet); <span>// ellenőrzés: ha az üzenet lerövidült, akkor állítsa le a programot</span>$lenüzenet2 = strlen($üzenet); if ($lenmessage != $lenmessage2) ( print "Az üzenetet nem sikerült hozzáadni"; kilépés; ) <span>// a veszélyes szimbólumokat a megfelelő primitívekkel helyettesíti</span>$üzenet = str_replace("$", "$", $üzenet); $üzenet = str_replace("_", "_", $üzenet); $üzenet = str_replace(".", ".", $üzenet); $üzenet = str_replace(chr(92), "\", $üzenet); // \ $üzenet = str_replace("(", "(", $üzenet); $üzenet = str_csere(")", ")", $üzenet); $üzenet = str_replace("[", "[", $üzenet); $üzenet = str_replace("]", "]", $üzenet); $üzenet = str_replace("(", "(", $üzenet); $üzenet = str_csere(")", ")", $üzenet); $üzenet = str_replace("?", "?", $üzenet); <span>// most az üzenetet ellenőrizték, a benne lévő szkripteket ártalmatlanná tették</p> <p>Vegye figyelembe, hogy a szűrő nem távolítja el a párosított címkéket. Mondjuk megvan <br><b><DIV onclick="alert("XSS")">kattints ide!</DIV> </b> <br>A szűrő csak vágni fog <b><DIV onclick="alert("XSS")"> </b>, hanem a páros (záró) címke <b></DIV> </b> marad. Ha olyan üzeneteket küld a böngészőnek, amelyekben a megfelelő párok nélküli címkék vannak, akkor kellemetlenség lehetséges egy "ferdített" webhely formájában. Azt ugyanis nem tudni, hogy a böngésző melyik nyitó címkéhez illeszti a pár nélkül maradt záró címkét. Ezért és biztonsági okokból egyáltalán nem szabad elküldeni a böngészőnek azokat az üzeneteket, amelyekben a szűrő kivág valamit. Jobb, ha kinyomtat valami olyasmit, hogy "Az üzenetet nem sikerült hozzáadni", és leállítja a programot.</p> <p>Az üzenetet fájlba kell írni (nem adatbázisba).</p> <h3><b>Vita</b></h3> <p>Hálás leszek a kritikákért. Írj a támogatási fórumba, a szekcióba</p> <p>Az élet igazsága az, hogy az oldalt előbb-utóbb feltörhetik. A sérülékenység sikeres kihasználása után a hacker úgy próbálja megvetni a lábát az oldalon, hogy hacker webhéjakat, betöltőket helyez el a rendszerkönyvtárakba, és hátsó ajtókat szúr be a szkriptkódba és a CMS-adatbázisba.</p> <p>A szkennerek segítenek felismerni a letöltött webhéjakat, hátsó ajtókat, adathalász oldalakat, spam levelezőket és más típusú rosszindulatú szkripteket – mindent, amit tudnak, és ami előre hozzáadva van a rosszindulatú programok aláírási adatbázisához. Egyes szkennerek, például az AI-BOLIT olyan heurisztikus készlettel rendelkeznek, amely képes észlelni a gyanús kódot tartalmazó fájlokat, amelyeket gyakran használnak rosszindulatú szkriptekben, vagy olyan gyanús attribútumokkal rendelkező fájlokat, amelyeket a hackerek letölthetnek. Sajnos azonban még több szkenner használata esetén is előfordulhatnak olyan helyzetek, amikor néhány hacker szkript nem észlelhető, ami valójában azt jelenti, hogy a támadónak még mindig van „hátsó ajtója”, és feltörheti a webhelyet, és átveheti a teljes irányítást. azt bármikor.pillanatban.</p> <p>A modern rosszindulatú és hacker szkriptek jelentősen eltérnek a 4-5 évvel ezelőttiektől. A rosszindulatú kódok fejlesztői a víruskereső szoftverek megtévesztésére mostanság kombinálják a homályosítást, a titkosítást, a dekompozíciót, a rosszindulatú kód külső betöltését és más trükköket. Ezért az új „rosszindulatú programok” hiányának valószínűsége sokkal nagyobb, mint korábban.</p> <p>Mit lehet ebben az esetben tenni a webhelyen található vírusok és a tárhelyen lévő hacker szkriptek hatékonyabb észlelése érdekében? Integrált megközelítést kell alkalmazni: kezdeti automatizált szkennelés és további manuális elemzés. Ez a cikk a rosszindulatú kódok szkenner nélküli észlelésének lehetőségeire összpontosít.</p> <p>Először is gondolja át, hogy pontosan mire kell figyelnie a hackeléskor.</p> <ol><li><b>hacker szkriptek.</b><br>Leggyakrabban a hackelés során olyan fájlok kerülnek feltöltésre, amelyek webhéjak, hátsó ajtók, „betöltők” (feltöltők), kéretlen levelek szkriptjei, adathalász oldalak + űrlapkezelők, ajtónyílások és hackerjelölő fájlok (képek egy hackercsoport logójából, szöveg hackerek "üzenetét" tartalmazó fájlok stb.)</li> <li><b>Injektálja (kódbefecskendezése) a meglévő fájlokba</b>.<br>A rosszindulatú és hackerkódok tárolásának második legnépszerűbb típusa az injekciók. A mobil- és keresési átirányítások beilleszthetők a meglévő .htaccess webhelyfájlokba, a hátsó ajtók php / perl szkriptekbe, a vírusos JavaScript-töredékek vagy a harmadik féltől származó forrásokhoz való átirányítások beágyazhatók .js és .html sablonokba. A befecskendezés médiafájlokba is lehetséges, például.jpg ill. A rosszindulatú kód gyakran több összetevőből áll: maga a rosszindulatú kód egy jpg fájl exif fejlécében van tárolva, és egy kis vezérlőszkript segítségével fut le, amelynek kódja nem tűnik gyanúsnak a szkenner számára.</li> <li><b>Adatbázis-injekciók</b><b>.<br></b> Az adatbázis a harmadik célpont a hacker számára. Itt statikus betétek lehetségesek<script>, <iframe>, <embed>, <object>, которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.<br> Кроме того во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.</li> <li><b>Инжекты в кэширующих сервисах. </b><br> В результате некорректной или небезопасной настройки кэширующих сервисов, например, memcached, возможны инжекты в закэшированные данные “на лету”. В некоторых случаях хакер может внедрять вредоносный код на страницы сайта без непосредственного взлома последнего.</li> <li><b>Инжекты </b><b>/ </b><b>инцицированные элементы в системных компонентах сервера. </b><br> Если хакер получил привелегированный (root) доступ к серверу, он может подменить элементы веб-сервера или кэширующего сервера на инфицированные. Такой веб-сервер будет с одной стороны обеспечивать контроль над сервером с помощью управляющих команд, с другой – время от времени внедрять динамические редиректы и вредоносный код на страницы сайта. Как и в случае инжекта в кэширующий сервис, администратора сайта скорее всего не сможет обнаружить факт взлома сайта, так как все файлы и база данных будут оригинальными. Этот вариант наиболее сложный для лечения.</li> </ol><p>Итак, предположим, что сканерами вы уже проверили файлы на хостинге и дамп базы данных, но они ничего не обнаружили, а вирусный <script …> по-прежнему на странице или мобильный редирект продолжает отрабатывать при открытии страниц. Как искать дальше?</p> <h2><b>Поиск вручную </b></h2> <p>В unix сложно найти более ценную пару команд для поиска файлов и фрагментов, чем find / grep.</p> <p>find . -name ‘*.ph*’ -mtime -7 </p> <p>найдет все файлы, которые были изменены за последнюю неделю. Иногда хакеры “скручивают” дату изменения у скриптов, чтобы таким образом не обнаружить новые скрипты. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты</p> <p>find . -name ‘*.ph*’ -сtime -7 </p> <p>Если нужно найти изменения в каком-то временном интервале, можно воспользоваться тем же find</p> <p>find . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls </p> <p>Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент</p> <p>grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ * </p> <p>При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг</p> <p>find / -perm -4000 -o -perm -2000 </p> <p>Чтобы определить, какие скрипты запущены в данный момент и грузят CPU хостинга, можно вызвать</p> <p>lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str= } else { str=str»,»}}END{print str}’` | grep vhosts | grep php </p> <h2><b>Используем мозг и руки для анализа файлов на хостинге </b></h2> <ol><li><b>Идем в директории </b><b>upload, cache, tmp, backup, log, images </b>, в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями. Например, для joomla можно проверить.php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредонос.<br> Для WordPress имеет смысл проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.</li> <li><b>Ищем файлы со странными именами </b><br> Например, php, fyi.php, n2fd2.php. Файлы можно искать <ul><li>- по нестандартным сочетаниям символов,</li> <li>- наличию цифр 3,4,5,6,7,8,9 в имени файлов</li> </ul></li> </ol><ol><li><b>Ищем файлы с нехарактерными расширениями </b><br> Допустим, у вас сайт на WordPress или Для них файлы с расширениями.py, .pl, .cgi, .so, .c, .phtml, .php3 будут не совсем обычными. Если какие-то скрипты и файлы с данными расширениями будут обнаружены, скорее всего это будут хакерские инструменты. Возможен процент ложных обнаружений, но он не велик.</li> <li><b>Ищем файлы с нестандартными атрибутами или датой создания </b><br> Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все.php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта.<br> Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.</li> <li><b>Ищем дорвеи по большому числу файлов </b><b>.html </b><b>или.php<br></b>Если в каталоге несколько тысяч файлов.php или.html, скорее всего это дорвей.</li> </ol><h2><b>Логи в помощь </b></h2> <p>Логи веб-сервера, почтового сервиса и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.</p> <ul><li>Корреляция даты и времени отправки письма (которые можно узнать из лога почтового сервера или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам-рассыльщика.</li> </ul><ul><li>Анализ трансфер-лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.</li> </ul><ul><li>В правильно настроенном логе почтового сервера или в служебном заголовке спам-письма при правильной настройке PHP будет имя или полный путь до скрипта-отправителя, что помогает определять источник спама.</li> </ul><ul><li>По логам проактивной защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.</li> </ul><ul><li>По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.</li> </ul><h2><b>Контроль целостности </b></h2> <p>Намного проще анализировать взлом и искать вредоносные скрипты на сайте, если заранее позаботить о его безопасности. Процедура контроля целостности (integrity check) помогает своевременно обнаруживать изменения на хостинге и определять факт взлом. Один из самых простых и эффективных способов – положить сайт под систему контроля версий (git, svn, cvs). Если грамотно настроить.gitignore, то процесс контроля за изменениями выглядит как вызов команды git status, а поиск вредоносных скриптов и измененных файлов – git diff.</p> <p>Также у вас всегда будет резервная копия файлов, до которой можно «откатить» сайт в считанные секунды. Администраторам сервера и продвинутым веб-мастерам можно использовать inotify, tripwire, auditd и другие механизмы для отслеживания обращений к файлам и директориям, и контроля за изменениями в файловой системе.</p> <p>К сожалению, не всегда есть возможность настроить систему контроля версий или сторонние сервисы на сервере. В случае shared-хостинга не получится установить систему контроля версий и системные сервисы. Но это не беда, есть достаточно много готовых решений для CMS. На сайте можно установить плагин или отдельный скрипт, который будет отслеживать изменения в файлах. В некоторых CMS уже реализован эффективный мониторинг изменений и механизм integrity check (Например, в Битрикс, DLE). В крайнем случае, если на хостинге есть ssh, можно сформировать эталонный слепок файловой системы командой</p> Акция «2 по цене 1» <p> <i> </i> Акция действует до конца месяца.</p> <p>При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте - 1500 руб в месяц за каждый сайт.</p> <p>Необходимо выполнять совместно. Если устранить первоначальную причину взлома (например, уязвимость в расширении CMS), но не удалить все вредоносные файлы, злоумышленник сможет снова получить доступ к сайту, воспользовавшись одним из своих скриптов. Если же удалить все загруженные вредоносные скрипты, но не устранить причину взлома, злоумышленник сможет повторно взломать сайт и снова загрузить на него скрипты.</p> <p>Выполнять работу по удалению вредоносных скриптов и проводить анализ причин взлома должен <b>специалист с соответствующими знаниями и опытом </b>:</p> <ul><li>Для удаления вредоносных скриптов необходимо <b>знание языка программирования PHP </b>, а также <b>знание «изнутри» популярных CMS </b> (Joomla, WordPress и т. п.) и расширений для них. Эти знания требуются, чтобы отличить скрипты непосредственно CMS и ее расширений от посторонних файлов, а также чтобы при встрече с сомнительными скриптами иметь возможность однозначно определить, какие действия они выполняют.</li> <li>Для анализа причин взлома требуется <b>опыт администрирования сервера </b>. Это необходимо для анализа состояния файлов на аккаунте, времени их изменения, а также для сопоставления этих данных с журналами сервера для определения, какие именно действия злоумышленника привели к взлому сайтов.</li> </ul><p>Поэтому если ваш сайт оказался взломан, рекомендуется во избежание повторных взломов не выполнять работу самостоятельно, а обратиться к специалисту, который произведет необходимую диагностику и порекомендует или выполнит необходимые действия для решения проблемы, и который сможет дать гарантию качества полученного результата.<br></p> <p>Тем не менее, существует ряд мер, которые <b>в некоторых случаях </b> помогают возобновить безопасную работу сайта <b>без наличия специальных знаний </b>. Ограничением приведенного ниже способа является то, что для возобновления работы сайта требуется наличие его резервной копии, созданной на момент до взлома. Если дата взлома неизвестна, можно попробовать применить этот способ, используя самую раннюю резервную копию из имеющихся. Вторым ограничением, как следствие из первого, является то, что после восстановления сайта будут потеряны данные, добавленные на сайт после создания восстанавливаемой резервной копии (например, новые статьи, изображения или документы). Если требуется восстановить работу сайта, сохранив при этом новые данные, необходимо обратиться к специалисту.</p> <p>Эти меры <b>не позволяют установить причину взлома сайта </b>, однако каждая из них направлена на устранение одной из потенциальных причин проникновения. Так как точная причина взлома неизвестна, необходимо выполнить их все. Действия расположены в таком порядке, чтобы сначала полностью исключить возможность продолжения деятельности злоумышленника на сайте или аккаунте хостинга в настоящий момент, после чего предупредить проникновение злоумышленника на сайт в будущем.</p> <p>Приведенные ниже действия предполагают, что на вашем аккаунте хостинга располагается <b>только один сайт </b>. Если на аккаунте располагается несколько сайтов, то они также могли подвергнуться взлому, и сайт мог быть взломан через них. Необходимо либо перенести сайт, с которым проводятся восстановительные работы, на отдельный аккаунт, либо проводить восстановление для всех сайтов, размещенных на аккаунте, одновременно.</p> <p>Очередность действий важна, поэтому необходимо выполнять их именно в том порядке, в котором они расположены ниже.</p> <ol><li>Сразу после обнаружения взлома сайта необходимо <b>полностью заблокировать к нему доступ посетителей </b>. Это, во-первых, помешает злоумышленнику вести вредоносную деятельность на сайте, а во-вторых, не позволит ему препятствовать проведению восстановительных работ. Этот шаг очень важен, так как удаление вредоносных скриптов и устранение причины взлома не происходит одномоментно — как правило, на это требуется несколько часов. Если сайт останется доступным извне, злоумышленник сможет произвести повторную загрузку скриптов в тот раздел сайта, который уже был очищен. При этом злоумышленник может использовать различные IP-адреса для подключения, поэтому запрет доступа только для списка IP-адресов не даст результата. Чтобы гарантированно очистить сайт от найденных вредоносных скриптов, необходимо полностью закрыть для злоумышленника возможность обращения к сайту, что можно сделать только с помощью полной блокировки сайта для любых посетителей. Обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт, чтобы произвести блокировку.</li> <li>После блокировки сайта необходимо <b>проверить компьютеры </b>, с которых производилась работа с сайтом, современным антивирусом с обновленными вирусными базами. Если сайт был взломан путем кражи паролей от аккаунта с помощью вируса, необходимо убедиться, что дальнейшая работа со взломанным сайтом ведется с компьютера, на котором вирусы отсутствуют, иначе после смены паролей доступа они снова могут быть украдены.</li> <li>После блокировки сайта и проверки на вирусы необходимо <b>изменить все пароли </b> доступа к аккаунту: доступы через FTP, через SSH, а также доступы к панели управления хостингом. Если злоумышленник получал доступ к файлам аккаунта одним из этих способов, после смены паролей он больше не сможет сделать это.</li> <li>После смены паролей необходимо <b>уничтожить все процессы сервера </b>, работающие от имени аккаунта, на котором обслуживается сайт. Запущенные злоумышленником в фоновом режиме процессы, не будучи уничтожены, смогут после проведения восстановительных работ повторно разместить вредоносные скрипты на сайте. Чтобы этого не произошло, все процессы, запущенные до блокировки сайта, должны быть уничтожены. Сайт в этот момент уже должен быть заблокирован, чтобы злоумышленник не смог запустить новые процессы, обратившись к одному из своих скриптов на сайте. Для уничтожения запущенных на аккаунте процессов обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт.</li> <li>Теперь проникновение на сайт извне невозможно и можно приступать к его восстановлению.</li> <li>Перед дальнейшими действиями <b>удалите все существующие файлы сайта </b>, чтобы среди них гарантированно не осталось вредоносных скриптов, или скриптов CMS, в которые злоумышленник внедрил вредоносный код. Этот шаг также важен, так как при восстановлении сайта из резервной копии не всегда удаляются файлы, которые существовали до восстановления. Если после восстановления из резервной копии на сайте останутся старые вредоносные скрипты, злоумышленник сможет повторно проникнуть на сайт. Избежать этого можно, удалив все файлы сайта перед проведением восстановления.</li> <li>После удаления всех файлов сайта <b>восстановите сайт из резервной копии </b>, созданной до его взлома. Часто достаточно восстановить только файлы сайта, однако если после их восстановления в работе сайта наблюдаются ошибки, необходимо восстановить сайт полностью: и файлы и базу данных.</li> <li>После восстановления из резервной копии <b>обновите используемые версии системы управления сайтом </b> <b>(CMS) и ее расширений </b> до последних. Это необходимо, чтобы исключить присутствие на сайте известных уязвимостей, через которые он может быть взломан. Как правило, обновление можно произвести через раздел администрирования CMS. Для получения полных инструкций по обновлению CMS необходимо обратиться на сайт разработчика системы. Важно обновить не только саму CMS, но и все ее расширения, так как часто взлом происходит через уязвимость, присутствующую в одном из расширений CMS (например, плагины, темы оформления, виджеты и пр.). В этот момент еще нельзя снимать блокировку сайта для посетителей, так как он может быть еще уязвим. Чтобы получить доступ к сайту для обновления, обратитесь в техническую поддержку хостинга, на котором размещается ваш сайт, и попросите разрешить доступ к сайту только с IP-адреса вашего компьютера. Узнать ваш IP-адрес вы можете, например, на inet.yandex.ru .</li> <li>После обновления системы управления сайтом и ее расширений зайдите в раздел администрирования сайта и <b>измените пароль доступа администратора </b> к нему. Убедитесь, что среди пользователей сайта нет других пользователей с административными привилегиями (они могли быть добавлены злоумышленником), а если таковые обнаружатся — удалите их.</li> <li>Теперь, когда сайт восстановлен из <a href="https://sushiandbox.ru/hu/social-network/klonirovanie-mac-os-x-sozdaem-svoyu-ovechku-dolli-rezervnoe-kopirovanie-mac-os-x.html">резервной копии</a> и не содержит вредоносных скриптов, CMS и ее расширения обновлены до последних версий, в которых отсутствуют уязвимости, а пароли доступа к сайту и аккаунту хостинга изменены, можно вновь открыть сайт для посетителей.</li> </ol><p>Все указанные выше действия необходимо выполнять в соответствии с указанной очередностью, без пропусков и каких-либо изменений. Если действия выполнены неточно, на сайте могут остаться вредоносные скрипты или уязвимости, в результате чего через короткое время он <b>может быть снова взломан злоумышленником </b>. Если по каким-либо причинам выполнить перечисленные выше действия в том виде, в котором они указаны, возможности нет, обратитесь к специалисту для проведения работ по восстановлению сайта после взлома.</p> <h2>Чтобы защитить сайт от повторных взломов в будущем необходимо придерживаться следующих рекомендаций:</h2> <ol><li>Следите за обновлениями CMS и расширений для нее на сайтах разработчиков и своевременно производите их обновление до последних версий. Если в комментарии об обновлении присутствует информация о том, что оно устраняет какую-либо уязвимость, установите это обновление как можно быстрее.</li> <li>Производите работу с сайтом и с аккаунтом хостинга только с компьютеров, которые защищены от вирусов современными антивирусами с постоянно обновляемыми <a href="https://sushiandbox.ru/hu/skype/podgotovka-k-testam-po-informatike-testy-po-informatike-kakie-iz.html">вирусными базами</a>.</li> <li>Используйте сложные пароли, чтобы их нельзя было подобрать перебором по словарю.</li> <li>Не сохраняйте в программах для подключения к сайту пароли от FTP и SSH, а также не сохраняйте в браузере пароль доступа в административный радел сайта и в панель управления хостингом.</li> <li>Время от времени (например, раз в три месяца) изменяйте пароли доступа к сайту и к аккаунту хостинга.</li> <li>Если на компьютере, с которого производилась работа с сайтом, были обнаружены вирусы, измените пароли доступа к сайту и аккаунту хостинга как можно быстрее. Изменять необходимо все пароли: пароли доступа по FTP, SSH, пароль от административной панели сайта, а также пароль от панели управления хостингом.</li> <li>Не предоставляйте доступ к сайту третьим лицам, если вы не уверены, что они также будут следовать приведенным рекомендациям.</li> </ol> <p>WordPress – одна из самых популярных систем управления контентом, использующаяся в самых различных целях: от ведения блогов до электронной коммерции. Существует широкий выбор плагинов и тем для WordPress . Случается, что какие-то из этих расширений попадают в руки вебмастеров после того, как некий злоумышленник потрудился над ними.</p> <p>Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.</p> <p>Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.</p> <h2>1. Theme Authenticity Checker (TAC)</h2> <p>Theme Authenticity Checker (инспектор аутентичности тем, TAC) – WordPress -плагин, который сканирует каждую <a href="https://sushiandbox.ru/hu/internet/kak-pomenyat-temu-vkontakte-kak-ustanovit-temu-vk-yandeks-brauzer.html">установленную тему</a> на наличие подозрительных элементов вроде невидимых ссылок или кода, зашифрованного с помощью Base64 .</p> <p>Обнаружив такие элементы, TAC сообщает о них администратору WordPress , позволяя ему самостоятельно проанализировать и при необходимости исправить исходные файлы тем:</p> <h3>2. Exploit Scanner</h3> <p>Exploit Scanner сканирует весь исходный код вашего сайта и содержимое базы <a href="https://sushiandbox.ru/hu/skype/udalit-ostatki-udal-nnyh-plaginov-wordpress-ochistit-bazu-dannyh.html">данных WordPress</a> на наличие сомнительных включений. Так же, как и TAC , этот плагин не предотвращает атаки и не борется с их последствиями в <a href="https://sushiandbox.ru/hu/lessons-on-windows/atol-30-podklyuchenie-k-1s-ustanovka-draivera-dlya-onlain-kass.html">автоматическом режиме</a>.</p> <p>Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить <a href="https://sushiandbox.ru/hu/master-pc/vredonosnye-skripty-ishchem-i-ubiraem-vredonosnyi-kod-na-wordpress.html">вредоносный код</a>, придётся это сделать вручную:</p> <h3>3. Sucuri Security</h3> <p>Sucuri – хорошо известное решение в области безопасности WordPress . Плагин Sucuri Security осуществляет мониторинг файлов, загружаемых на WordPress -сайт, ведёт собственный список известных угроз, а также позволяет удалённо просканировать сайт при помощи бесплатного сканера Sucuri SiteCheck Scanner . За абонентскую плату можно дополнительно укрепить защиту сайта, установив мощный сетевой экран Sucuri Website Firewall :</p> <h3>4. Anti-Malware</h3> <p>Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.</p> <p>Параметры сканирования и удаления могут настраиваться. Этот плагин можно использовать после <a href="https://sushiandbox.ru/hu/master-pc/pochta-shkoly-rambler-rambler-pochta-besplatnaya-registraciya.html">бесплатной регистрации</a> на gotmls .</p> <p>Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :</p> <h3>5. WP Antivirus Site Protection</h3> <p>WP Antivirus Site Protection – это плагин, сканирующий все загружаемые на сайт файлы, в том числе WordPress -темы.</p> <p>Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по <a href="https://sushiandbox.ru/hu/master-pc/pochemu-pochta-tut-bai-otkryvaetsya-cherez-yandeks-elektronnaya-pochta-nikakih.html">электронной почте</a> и много другое.</p> <p>Плагин устанавливается и функционирует бесплатно, но имеет несколько <span>платных дополнений </span>, на которые стоит обратить внимание:</p> <h3>6. AntiVirus для WordPress</h3> <p>AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый «белый список » и другие функции:</p> <h3>7. Quterra Web Malware Scanner</h3> <p>Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.</p> <p>Базовые функции сканера бесплатны, в то время как некоторый <span><a href="https://sushiandbox.ru/hu/social-network/kak-rabotaet-navigator-v-telefone-kak-vklyuchit-na-androide-gps-i.html">дополнительный сервис</a> </span> обойдётся вам в $60 за год:</p> <h3>8. Wordfence</h3> <p>Если вы ищете комплексное решение проблем безопасности вашего сайта, обратите внимание на Wordfence .</p> <p>Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку «чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.</p> <p>Этот плагин бесплатен в своей <a href="https://sushiandbox.ru/hu/browsing-the-internet/kvadrokopter-xk-detect-x380-bazovaya-versiya-obzor-xk-detect-x380-c-polnocennaya-platforma.html">базовой версии</a>, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату:</p> <h3>9. Wemahu</h3> <p>Wemahu осуществляет мониторинг изменений в коде вашего сайта и поиск вредоносного кода.</p> <p>База данных, на основе которой ведётся обнаружение зловредов, пополняется методом краудсорсинга: пользователи сами пополняют её, отправляя результаты сканирования зараженных инсталляций WordPress на сайт автора плагина. Плагин также поддерживает отправку отчётов по электронной почте и другие полезные функции.</p> <p>1. Распаковать в папку сайта.<br> 2. перейти по ссылке ваш_сайт/fscure/<br> 3. все</p> <h2>Что умеет?</h2> <p>1. <a href="https://sushiandbox.ru/hu/internet/klyuchi-dlya-nod-32-64-bit-avtomaticheskii-poisk-i-obnovlenie-klyuchei-dlya-eset.html">Автоматический поиск</a> вирусов по сигнатурам.<br> 2. Поиск строки в файлах<br> 3. Удаление файлов<br> 4. Патч вредоносного кода при помощи регулярных выражений</p> <p>Скрипт не сделает за вас всю работу и требует некоторых минимальных знаний. Перед работой рекомендуется сделать бекап сайта.</p> <h2>Как работает?</h2> <p>При первом запуске составляет индекс файлов. Файл fscure.lst в папке. Выводит список файлов содержащих <b>потенциально вредоносные сигнатуры </b>. "Потенциально вредоносные" это значит, что решать вирус это или не вирус, придется вам. Список сигнатур настраивается в файле config.php , константа SCAN_SIGN . При дефолтных настройках скрипт не проверяет js файлы и не содержит для них сигнатур.<br></p> <h2>Самые частые проблемы</h2> <p>1. не создает индекс fscure.lst . Может происходить если не хватает прав. Поставьте 777 на папку fscure</p> <p>2. 5хх ошибка. Чаще всего "504 Gateway Time-out". Скрипт не успевает отработать и вылетает по таймауту. В этом случае есть несколько путей для ускорения его работы. Скорость в первую очередь зависит от размера индекса. Он в файле fscure.lst . Обычно файл до 5Мб в 90% случаев успевает обработать. Если не успевает, можно уменьшить "жадность" скрипта запретив сканировать *.jpg;*.png;*.css в конфиге.<br> В файле config.php .</p> <p>// разделитель; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");</p> <p>3. Хостинг выдает предупреждение вида<br> {HEX}base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php</p> <p>Вируса в скрипте нет и не было. А {HEX}base64.inject.unclassed.6 это конструкция вида "echo base64_decode(" , которая часто встречается и сама по себе вполне безобидна. Тем не менее в <a href="https://sushiandbox.ru/hu/internet/kakaya-poslednyaya-versiya-ios-dlya-moego-iphone-ili-ipad-kak-uznat-i-gde-skachat-ios.html">последней версии</a>, я этот код заменил.</p> <h2>Что делать если у вас не получилось найти вирус самостоятельно?</h2> <p>Вы можете обратиться ко мне за помощью. Расценки у меня скромные. На работу даю гарантию 6 месяцев. Стоимость работы 800 р. для 1 сайта. Если на аккаунте несколько сайтов цена определяется индивидуально.</p> <p>Если у вас все получилось сделать самостоятельно, буду благодарен за материальное вознаграждение или ссылку на мой сайт.</p> <p><b>Мои реквизиты: </b><br> yandex<br> 41001151597934</p> <p>webmoney<br> Z959263622242<br> R356304765617<br> E172301357329</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> <span style="display:none" class="updated">2016-05-11</span> <div class="clear"></div> </div> </article> <div class="post-navigation"> <div class="post-previous"> <a href="https://sushiandbox.ru/hu/spam/poluchaetsya-ustanovit-vindovs-10-s-fleshki.html" rel="prev"><span>Előző</span> Kiderült, hogy a Windows 10-et USB flash meghajtóról kell telepíteni</a> </div> <div class="post-next"> <a href="https://sushiandbox.ru/hu/skype/kak-udalit-predydushchuyu-vindovs-kak-udalit-operacionnuyu-sistemu-esli-ih-dve.html" rel="next"><span>Következő</span> Hogyan távolítsuk el az operációs rendszert, ha kettő van belőlük, a Windows rendszerindító menüjének szerkesztése</a> </div> </div> <section id="related_posts"> <div class="block-head"> <h3>Hasonló hozzászólások</h3> <div class="stripe-line"></div> </div> <div class="post-listing"> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/hu/10-rules/podklyuchenie-i-nastroika-cam-modulya-nastroika-ci-cam-modulei.html"> <img width="310" height="165" src="/uploads/61289956231e013106c9624b0e83341c.jpg" class="attachment-tie-medium wp-post-image" alt="CI (CAM) Tricolor modulok beállítása különböző márkájú TV-ken Cam modul kódolt TV-csatornák megtekintéséhez" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/hu/10-rules/podklyuchenie-i-nastroika-cam-modulya-nastroika-ci-cam-modulei.html" rel="bookmark">CI (CAM) Tricolor modulok beállítása különböző márkájú TV-ken Cam modul kódolt TV-csatornák megtekintéséhez</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-10-20 03:58:46</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/hu/shopping/ne-sozdayutsya-avtomaticheski-tochki-vosstanovleniya-windows-10-vosstanovlenie-iz.html"> <img width="310" height="165" src="/uploads/095e2de97b9e2f2f3fb6c8ebf82ce2fe.jpg" class="attachment-tie-medium wp-post-image" alt="Helyreállítás ellenőrzőpontból" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/hu/shopping/ne-sozdayutsya-avtomaticheski-tochki-vosstanovleniya-windows-10-vosstanovlenie-iz.html" rel="bookmark">Helyreállítás ellenőrzőpontból</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-10-20 03:58:46</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/hu/browsing-the-internet/ustanovka-windows-na-imac-s-pomoshchyu-programmy-boot-camp-poshagovaya-instrukciya-kak-mozhno.html"> <img width="310" height="165" src="/uploads/7393d6a71f1292462643431b92312457.jpg" class="attachment-tie-medium wp-post-image" alt="A Windows telepítése Mac rendszeren háromféleképpen A Windows telepítése imac rendszerre" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/hu/browsing-the-internet/ustanovka-windows-na-imac-s-pomoshchyu-programmy-boot-camp-poshagovaya-instrukciya-kak-mozhno.html" rel="bookmark">A Windows telepítése Mac rendszeren háromféleképpen A Windows telepítése imac rendszerre</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-10-20 03:58:46</span></p> </div> </div> </section> <script type="text/javascript"> document.getElementById('hc_full_comments').innerHTML = ''; </script> </div> <aside id="sidebar"> <div class="theiaStickySidebar"> </div> </aside> <div class="clear"></div> </div> <div class="e3lan e3lan-bottom"> </div> <footer id="theme-footer"> <div id="footer-widget-area" class="wide-left-3c"> </div> <div class="clear"></div> </footer> <div class="clear"></div> <div class="footer-bottom"> <div class="container"> <div class="alignright"> </div> <div class="social-icons"> <a class="ttip-none" title="Google+" href="" target="_blank"><i class="fa fa-google-plus"></i></a><a class="ttip-none" title="Twitter" href="https://www.twitter.com/share?url=https%3A%2F%2Fsushiandbox.ru%2Fhu%2Fskype%2Fvredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-twitter"></i></a> <a class="ttip-none" title="vk.com" href="https://vk.com/share.php?url=https://sushiandbox.ru/skype/vredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-vk"></i></a> </div> <div class="alignleft">© Copyright 2023, Mastering PC - Internet. Skype. Közösségi média. Windows oktatóanyagok</div> <div class="clear"></div> </div> </div> </div> </div> </div> <div id="topcontrol" class="fa fa-angle-up" title="Görgess fel"></div> <div id="fb-root"></div> <div id="reading-position-indicator"></div> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/CodeCanyon-Arqamv2.0.4-RetinaResponsiveWordPressSocialCounterPlugin-5085289/assets/js/scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/ark-hidecommentlinks.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip_init.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/contact-form-7/includes/js/jquery.form.min.js'></script> <script type='text/javascript' src='/assets/scripts1.js'></script> <script type='text/javascript'> /* <![CDATA[ */ var tie = { "mobile_menu_active": "true", "mobile_menu_top": "", "lightbox_all": "true", "lightbox_gallery": "true", "woocommerce_lightbox": "", "lightbox_skin": "dark", "lightbox_thumb": "vertical", "lightbox_arrows": "", "sticky_sidebar": "1", "is_singular": "1", "SmothScroll": "true", "reading_indicator": "true", "lang_no_results": "\u041d\u0435\u0442 \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b", "lang_results_found": "\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u043d\u0430\u0439\u0434\u0435\u043d\u043e" }; /* ]]> */ </script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/tie-scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/ilightbox.packed.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/search.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/jquery.cycle.all.js'></script> </body> </html>