Script dannosi. Diario di bordo. Cosa fare se non riesci a trovare il virus da solo

29.11.2020 Skype

JavaScript dannoso

La mia opinione, che consiste nel fatto che è più facile ed efficace proteggersi dagli script dannosi del browser (attacchi XSS memorizzati) tramite browser, è stata espressa in precedenza: . La protezione del browser contro JavaScript, che consiste nell'aggiungere un codice di filtraggio alle pagine html del sito, dovrebbe essere affidabile, tuttavia la presenza di tale protezione non elimina la necessità di utilizzare anche un filtro lato server. Contro gli stessi attacchi XSS sul server, puoi organizzare un'ulteriore linea di difesa. Dobbiamo anche ricordare della possibilità che un utente malintenzionato inserisca nel messaggio html inviato dal sito, non browser, ma script del server (php), riconoscendo quale browser non sarà forte.

Uno script attaccante, sia esso uno script del browser o uno script del server, è un programma, e bisogna pensare che il programma avrà sempre alcune differenze simboliche rispetto all'html "puro". Proviamo a trovare tali differenze e usiamole per creare un filtro html sul server. Di seguito sono riportati esempi di JavaScript dannoso.

XSS:

qualche testo

XSS crittografato:

qualche testo

I browser ripristinano il testo dalle primitive dei caratteri non solo all'interno dei contenitori html (tra i tag di apertura e di chiusura), ma anche all'interno dei tag stessi (tra i tag< и >). La codifica URL è consentita negli indirizzi http. Ciò complica il riconoscimento del codice dannoso sul lato server, poiché la stessa sequenza di caratteri può essere rappresentata in modi diversi.

Vermi XSS:

"+innerHTML.slice(action= (method="post")+".php",155)))">

"].join(""); with(new XMLHttpRequest)open("POST","post.php"),send(c);alert("XSS")"></p> <br><p><form><input name="content"><iframe onload="i=parentNode;i.action=(i.method="post")+".php"; i.value="<form>(!LANG:"+i.innerHTML;i.submit(alert("XSS"))">!}</p> <br><p><b><iframe onload="with(new XMLHttpRequest)open("POST","post.php"), setRequestHeader("content-type","application/x-www-form-urlencoded"),send("content= "+parentNode.innerHTML.bold(alert("XSS")))"></b></p> <br><p><script id=_> alert("xss");with(new XMLHttpRequest)open("POST","post.php"),send("content="+_.outerHTML) </script></p> <p>I worm XSS di cui sopra sono solo alcuni dei tanti presentati alla competizione di gennaio 2008 di Robert Hansen (alias RSnake) per il più piccolo (più corto) worm JavaScript dannoso (risultati della competizione).</p> <h3><b>Segni di attacchi XSS</b></h3> <p>Uno script XSS è un programma che accede agli oggetti DOM (Document Object Model) e ai loro metodi. È improbabile che qualsiasi altra cosa sia dannosa. Ad esempio, la stringa JavaScript <br><b>onckick="var a = "xss""</b> <br>non influisce sul modello a oggetti del documento, quindi anche se incorporata in un tag html, tale riga è innocua. Solo manipolando gli oggetti documento html ei loro metodi, un hacker è in grado di causare danni significativi al sito. Ad esempio, la linea <br><b>onmousemove="document.getElementsByTagName("body").innerHTML="XSS""</b> <br>sostituisce già il contenuto della pagina.</p> <p>Il segnale di chiamata del metodo DOM è tra parentesi, anche punti a sinistra del segno di uguale. Le parentesi possono essere utilizzate anche in html per impostare il colore nel formato <b>RGB()</b>, tuttavia, i colori dei caratteri e dello sfondo in html sono impostati in almeno altri tre modi. Pertanto, le parentesi possono essere sacrificate senza compromettere l'espressività del testo html. Si deve accettare come regola che le parentesi all'interno di un tag (ovvero tra< и >) - questo è molto pericoloso, se abbiamo ricevuto un messaggio dall'utente sul server, le parentesi all'interno dei tag si trovano in questo messaggio, quindi la cosa più appropriata che dovremmo fare è bloccare tale messaggio.</p> <p>Il punto può essere contenuto nei tag html: quando si specifica l'indirizzo del collegamento (tag <b><A> </b>); quando si imposta la dimensione degli elementi html ( <b>style="altezza: 1,5 pollici; larghezza: 2,5 pollici;"</b>). Ma sequenze di caratteri del modulo <br><b>lettere punto uguale</b> <br>non può essere nei tag html. Se c'è una sequenza specificata all'interno del tag html, il messaggio dell'utente, con un'alta probabilità, contiene uno script e dovrebbe essere bloccato.</p> <p>Un altro segnale evidente di pericolo è il simbolo " <b>+ </b>" all'interno del tag. Non esiste una cosa del genere in html senza script. Se vengono trovati vantaggi all'interno dei tag, blocchiamo spietatamente il messaggio.</p> <p>Un utente del sito ben intenzionato che aggiunge un commento utilizzando un editor visivo non ricorrerà mai alla crittografia con primitive simboliche all'interno dei tag html. L'uso di primitive simboliche nei tag non fornisce alcun vantaggio sotto forma di mezzi espressivi aggiuntivi, richiede solo tempo di scrittura aggiuntivo. Nella maggior parte dei casi, bisogna pensare, un utente ben intenzionato non sa nemmeno che ci sono alcuni caratteri primitivi in html. Da qui la regola: la e commerciale all'interno del tag è la prova di un attacco al sito. Di conseguenza, se lo vediamo, blocchiamo il messaggio.</p> <p>Analoga regola dovrebbe essere adottata per il simbolo " <b>% </b>", che può essere utilizzato nella codifica URL. Tuttavia, le percentuali vengono utilizzate anche in html "puro" - per impostare le dimensioni relative degli elementi. Combinazioni in cui " <b>% </b>" è immediatamente seguito da una lettera o da un numero.</p> <h3><b>Disinserimento degli script del server</b></h3> <p>A differenza degli interpreti JavaScript nei browser, l'interprete php sul server non si prende libertà durante la scrittura del testo del programma. Pertanto, per neutralizzare un eventuale server script, è sufficiente effettuare una sostituzione passante nel messaggio html dell'utente di tutti i caratteri che sono essenziali quando si scrive un programma php con le relative primitive html. Prima di tutto, i segni del dollaro e il trattino basso, il punto, le parentesi tonde, quadre e ricci, i segni più e meno, la barra rovesciata sono soggetti a sostituzione.</p> <h3><b>Filtro PHP per i messaggi HTML</b></h3> <p>$message è il messaggio html ricevuto dall'editor visuale al server.</p> <p>// ricorda la lunghezza del messaggio</span>$lenmessaggio = strlen($messaggio); <span>// taglia il tag del commento</span>$messaggio = preg_replace("//", "", $messaggio); <span>// elimina ogni tag in cui l'attributo "src" fa riferimento a una risorsa esterna</span>$messaggio = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $messaggio); <span>// taglia ogni tag che ha qualsiasi carattere tranne: - a-z 0-9 / . : ; " = % # spazio</span>$messaggio = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $messaggio); <span>// elimina ogni tag che ha la sequenza ". a-z ="</span>$messaggio = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $messaggio); <span>// taglia ogni tag che ha la sequenza "%a-z" o "%0-9"</span>$messaggio = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $messaggio); <span>// elimina ogni tag che contiene la sequenza "script" o "js:"</span>$messaggio = preg_replace("/<[^>]*?script[^>]*?>/i", "", $messaggio); $messaggio = preg_replace("/<[^>]*?js:[^>]*?>/i", "", $messaggio); <span>// elimina ogni tag che inizia con un carattere diverso da "a-z" o "/"</span>$messaggio = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $messaggio); <span>// controlla: se il messaggio è abbreviato, termina il programma</span>$lenmessage2 = strlen($messaggio); if ($lenmessage != $lenmessage2) ( print "Impossibile aggiungere il messaggio"; exit; ) <span>// esegue una sostituzione integrale dei simboli pericolosi con le corrispondenti primitive</span>$messaggio = str_replace("$", "$", $messaggio); $messaggio = str_replace("_", "_", $messaggio); $messaggio = str_replace(".", ".", $messaggio); $messaggio = str_replace(chr(92), "\", $messaggio); // \ $messaggio = str_replace("(", "(", $messaggio); $messaggio = str_replace(")", ")", $messaggio); $messaggio = str_replace("[", "[", $messaggio); $messaggio = str_replace("]", "]", $messaggio); $messaggio = str_replace("(", "(", $messaggio); $messaggio = str_replace(")", ")", $messaggio); $messaggio = str_replace("?", "?", $messaggio); <span>// ora il messaggio è stato controllato, gli script in esso contenuti sono stati resi innocui</p> <p>Tieni presente che il filtro non rimuove i tag accoppiati. Diciamo che abbiamo <br><b><DIV onclick="alert("XSS")">clicca qui!</DIV> </b> <br>Il filtro taglierà solo <b><DIV onclick="alert("XSS")"> </b>, ma il tag accoppiato (di chiusura). <b></DIV> </b> resterà. Se invii messaggi che hanno tag senza le coppie corrispondenti al browser, è possibile un fastidio sotto forma di un sito "distorto". Non si sa, dopo tutto, a quale tag di apertura il browser abbinerà il tag di chiusura rimasto senza coppia. Pertanto, e anche per motivi di sicurezza, i messaggi in cui qualcosa viene tagliato dal filtro non dovrebbero essere inviati al browser. È meglio stampare qualcosa come "Impossibile aggiungere il messaggio" e terminare il programma.</p> <p>Il messaggio dovrebbe essere scritto su un file (non su un database).</p> <h3><b>Discussione</b></h3> <p>Sarò grato per le critiche. Scrivi al forum di supporto, alla sezione</p> <p>La verità della vita è che il sito può essere violato prima o poi. Dopo aver sfruttato con successo la vulnerabilità, l'hacker cerca di prendere piede sul sito inserendo web shell e caricatori di hacker nelle directory di sistema e inserendo backdoor nel codice dello script e nel database CMS.</p> <p>Gli scanner aiutano a rilevare shell web scaricate, backdoor, pagine di phishing, mailer di spam e altri tipi di script dannosi: tutto ciò che conoscono ed è pre-aggiunto al database delle firme malware. Alcuni scanner, come AI-BOLIT, dispongono di una serie di euristiche in grado di rilevare file con codice sospetto, spesso utilizzato in script dannosi, o file con attributi sospetti che possono essere scaricati dagli hacker. Ma, sfortunatamente, anche nel caso di utilizzo di più scanner sull'hosting, sono possibili situazioni in cui alcuni script di hacker non vengono rilevati, il che significa in realtà che l'attaccante ha ancora una "porta sul retro" e può hackerare il sito e ottenere il pieno controllo in qualsiasi momento. momento.</p> <p>I moderni script dannosi e di hacker sono significativamente diversi da quelli di 4-5 anni fa. Gli sviluppatori di codice dannoso stanno ora combinando offuscamento, crittografia, decomposizione, caricamento esterno di codice dannoso e altri trucchi per ingannare il software antivirus. Pertanto, la probabilità di perdere nuovi "malware" è molto più alta rispetto a prima.</p> <p>Cosa si può fare in questo caso per rilevare in modo più efficace i virus sul sito e gli script degli hacker sull'hosting? È necessario utilizzare un approccio integrato: scansione automatica iniziale e ulteriore analisi manuale. Questo articolo si concentrerà sulle opzioni per rilevare codice dannoso senza scanner.</p> <p>Innanzitutto, considera cosa dovresti cercare esattamente durante l'hacking.</p> <ol><li><b>script di hacker.</b><br>Molto spesso, durante l'hacking, vengono caricati file che sono shell Web, backdoor, "caricatori" (caricatori), script per invii di spam, pagine di phishing + gestori di moduli, porte e file di marcatori di hacking (immagini dal logo di un gruppo di hacker, testo file con "messaggio" di hacker, ecc.)</li> <li><b>Iniezioni (iniezioni di codice) nei file esistenti</b>.<br>Il secondo tipo più diffuso di hosting di codice dannoso e hacker è rappresentato dalle iniezioni. I reindirizzamenti mobili e di ricerca possono essere inseriti nei file del sito .htaccess esistenti, le backdoor possono essere inserite negli script php/perl, i frammenti virali di javascript o i reindirizzamenti a risorse di terze parti possono essere incorporati nei modelli .js e .html. Le iniezioni sono possibili anche nei file multimediali, ad esempio.jpg o. Il codice dannoso è spesso costituito da diversi componenti: il codice dannoso stesso è memorizzato nell'intestazione exif di un file jpg e viene eseguito utilizzando un piccolo script di controllo, il cui codice non sembra sospetto allo scanner.</li> <li><b>Iniezioni di database</b><b>.<br></b> Il database è il terzo obiettivo per l'hacker. Qui sono possibili inserimenti statici<script>, <iframe>, <embed>, <object>, которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.<br> Кроме того во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.</li> <li><b>Инжекты в кэширующих сервисах. </b><br> В результате некорректной или небезопасной настройки кэширующих сервисов, например, memcached, возможны инжекты в закэшированные данные “на лету”. В некоторых случаях хакер может внедрять вредоносный код на страницы сайта без непосредственного взлома последнего.</li> <li><b>Инжекты </b><b>/ </b><b>инцицированные элементы в системных компонентах сервера. </b><br> Если хакер получил привелегированный (root) доступ к серверу, он может подменить элементы веб-сервера или кэширующего сервера на инфицированные. Такой веб-сервер будет с одной стороны обеспечивать контроль над сервером с помощью управляющих команд, с другой – время от времени внедрять динамические редиректы и вредоносный код на страницы сайта. Как и в случае инжекта в кэширующий сервис, администратора сайта скорее всего не сможет обнаружить факт взлома сайта, так как все файлы и база данных будут оригинальными. Этот вариант наиболее сложный для лечения.</li> </ol><p>Итак, предположим, что сканерами вы уже проверили файлы на хостинге и дамп базы данных, но они ничего не обнаружили, а вирусный <script …> по-прежнему на странице или мобильный редирект продолжает отрабатывать при открытии страниц. Как искать дальше?</p> <h2><b>Поиск вручную </b></h2> <p>В unix сложно найти более ценную пару команд для поиска файлов и фрагментов, чем find / grep.</p> <p>find . -name ‘*.ph*’ -mtime -7 </p> <p>найдет все файлы, которые были изменены за последнюю неделю. Иногда хакеры “скручивают” дату изменения у скриптов, чтобы таким образом не обнаружить новые скрипты. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты</p> <p>find . -name ‘*.ph*’ -сtime -7 </p> <p>Если нужно найти изменения в каком-то временном интервале, можно воспользоваться тем же find</p> <p>find . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls </p> <p>Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент</p> <p>grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ * </p> <p>При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг</p> <p>find / -perm -4000 -o -perm -2000 </p> <p>Чтобы определить, какие скрипты запущены в данный момент и грузят CPU хостинга, можно вызвать</p> <p>lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str= } else { str=str»,»}}END{print str}’` | grep vhosts | grep php </p> <h2><b>Используем мозг и руки для анализа файлов на хостинге </b></h2> <ol><li><b>Идем в директории </b><b>upload, cache, tmp, backup, log, images </b>, в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями. Например, для joomla можно проверить.php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредонос.<br> Для WordPress имеет смысл проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.</li> <li><b>Ищем файлы со странными именами </b><br> Например, php, fyi.php, n2fd2.php. Файлы можно искать <ul><li>- по нестандартным сочетаниям символов,</li> <li>- наличию цифр 3,4,5,6,7,8,9 в имени файлов</li> </ul></li> </ol><ol><li><b>Ищем файлы с нехарактерными расширениями </b><br> Допустим, у вас сайт на WordPress или Для них файлы с расширениями.py, .pl, .cgi, .so, .c, .phtml, .php3 будут не совсем обычными. Если какие-то скрипты и файлы с данными расширениями будут обнаружены, скорее всего это будут хакерские инструменты. Возможен процент ложных обнаружений, но он не велик.</li> <li><b>Ищем файлы с нестандартными атрибутами или датой создания </b><br> Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все.php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта.<br> Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.</li> <li><b>Ищем дорвеи по большому числу файлов </b><b>.html </b><b>или.php<br></b>Если в каталоге несколько тысяч файлов.php или.html, скорее всего это дорвей.</li> </ol><h2><b>Логи в помощь </b></h2> <p>Логи веб-сервера, почтового сервиса и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.</p> <ul><li>Корреляция даты и времени отправки письма (которые можно узнать из лога почтового сервера или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам-рассыльщика.</li> </ul><ul><li>Анализ трансфер-лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.</li> </ul><ul><li>В правильно настроенном логе почтового сервера или в служебном заголовке спам-письма при правильной настройке PHP будет имя или полный путь до скрипта-отправителя, что помогает определять источник спама.</li> </ul><ul><li>По логам проактивной защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.</li> </ul><ul><li>По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.</li> </ul><h2><b>Контроль целостности </b></h2> <p>Намного проще анализировать взлом и искать вредоносные скрипты на сайте, если заранее позаботить о его безопасности. Процедура контроля целостности (integrity check) помогает своевременно обнаруживать изменения на хостинге и определять факт взлом. Один из самых простых и эффективных способов – положить сайт под систему контроля версий (git, svn, cvs). Если грамотно настроить.gitignore, то процесс контроля за изменениями выглядит как вызов команды git status, а поиск вредоносных скриптов и измененных файлов – git diff.</p> <p>Также у вас всегда будет резервная копия файлов, до которой можно «откатить» сайт в считанные секунды. Администраторам сервера и продвинутым веб-мастерам можно использовать inotify, tripwire, auditd и другие механизмы для отслеживания обращений к файлам и директориям, и контроля за изменениями в файловой системе.</p> <p>К сожалению, не всегда есть возможность настроить систему контроля версий или сторонние сервисы на сервере. В случае shared-хостинга не получится установить систему контроля версий и системные сервисы. Но это не беда, есть достаточно много готовых решений для CMS. На сайте можно установить плагин или отдельный скрипт, который будет отслеживать изменения в файлах. В некоторых CMS уже реализован эффективный мониторинг изменений и механизм integrity check (Например, в Битрикс, DLE). В крайнем случае, если на хостинге есть ssh, можно сформировать эталонный слепок файловой системы командой</p> Акция «2 по цене 1» <p> <i> </i> Акция действует до конца месяца.</p> <p>При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте - 1500 руб в месяц за каждый сайт.</p> <p>Необходимо выполнять совместно. Если устранить первоначальную причину взлома (например, уязвимость в расширении CMS), но не удалить все вредоносные файлы, злоумышленник сможет снова получить доступ к сайту, воспользовавшись одним из своих скриптов. Если же удалить все загруженные вредоносные скрипты, но не устранить причину взлома, злоумышленник сможет повторно взломать сайт и снова загрузить на него скрипты.</p> <p>Выполнять работу по удалению вредоносных скриптов и проводить анализ причин взлома должен <b>специалист с соответствующими знаниями и опытом </b>:</p> <ul><li>Для удаления вредоносных скриптов необходимо <b>знание языка программирования PHP </b>, а также <b>знание «изнутри» популярных CMS </b> (Joomla, WordPress и т. п.) и расширений для них. Эти знания требуются, чтобы отличить скрипты непосредственно CMS и ее расширений от посторонних файлов, а также чтобы при встрече с сомнительными скриптами иметь возможность однозначно определить, какие действия они выполняют.</li> <li>Для анализа причин взлома требуется <b>опыт администрирования сервера </b>. Это необходимо для анализа состояния файлов на аккаунте, времени их изменения, а также для сопоставления этих данных с журналами сервера для определения, какие именно действия злоумышленника привели к взлому сайтов.</li> </ul><p>Поэтому если ваш сайт оказался взломан, рекомендуется во избежание повторных взломов не выполнять работу самостоятельно, а обратиться к специалисту, который произведет необходимую диагностику и порекомендует или выполнит необходимые действия для решения проблемы, и который сможет дать гарантию качества полученного результата.<br></p> <p>Тем не менее, существует ряд мер, которые <b>в некоторых случаях </b> помогают возобновить безопасную работу сайта <b>без наличия специальных знаний </b>. Ограничением приведенного ниже способа является то, что для возобновления работы сайта требуется наличие его резервной копии, созданной на момент до взлома. Если дата взлома неизвестна, можно попробовать применить этот способ, используя самую раннюю резервную копию из имеющихся. Вторым ограничением, как следствие из первого, является то, что после восстановления сайта будут потеряны данные, добавленные на сайт после создания восстанавливаемой резервной копии (например, новые статьи, изображения или документы). Если требуется восстановить работу сайта, сохранив при этом новые данные, необходимо обратиться к специалисту.</p> <p>Эти меры <b>не позволяют установить причину взлома сайта </b>, однако каждая из них направлена на устранение одной из потенциальных причин проникновения. Так как точная причина взлома неизвестна, необходимо выполнить их все. Действия расположены в таком порядке, чтобы сначала полностью исключить возможность продолжения деятельности злоумышленника на сайте или аккаунте хостинга в настоящий момент, после чего предупредить проникновение злоумышленника на сайт в будущем.</p> <p>Приведенные ниже действия предполагают, что на вашем аккаунте хостинга располагается <b>только один сайт </b>. Если на аккаунте располагается несколько сайтов, то они также могли подвергнуться взлому, и сайт мог быть взломан через них. Необходимо либо перенести сайт, с которым проводятся восстановительные работы, на отдельный аккаунт, либо проводить восстановление для всех сайтов, размещенных на аккаунте, одновременно.</p> <p>Очередность действий важна, поэтому необходимо выполнять их именно в том порядке, в котором они расположены ниже.</p> <ol><li>Сразу после обнаружения взлома сайта необходимо <b>полностью заблокировать к нему доступ посетителей </b>. Это, во-первых, помешает злоумышленнику вести вредоносную деятельность на сайте, а во-вторых, не позволит ему препятствовать проведению восстановительных работ. Этот шаг очень важен, так как удаление вредоносных скриптов и устранение причины взлома не происходит одномоментно — как правило, на это требуется несколько часов. Если сайт останется доступным извне, злоумышленник сможет произвести повторную загрузку скриптов в тот раздел сайта, который уже был очищен. При этом злоумышленник может использовать различные IP-адреса для подключения, поэтому запрет доступа только для списка IP-адресов не даст результата. Чтобы гарантированно очистить сайт от найденных вредоносных скриптов, необходимо полностью закрыть для злоумышленника возможность обращения к сайту, что можно сделать только с помощью полной блокировки сайта для любых посетителей. Обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт, чтобы произвести блокировку.</li> <li>После блокировки сайта необходимо <b>проверить компьютеры </b>, с которых производилась работа с сайтом, современным антивирусом с обновленными вирусными базами. Если сайт был взломан путем кражи паролей от аккаунта с помощью вируса, необходимо убедиться, что дальнейшая работа со взломанным сайтом ведется с компьютера, на котором вирусы отсутствуют, иначе после смены паролей доступа они снова могут быть украдены.</li> <li>После блокировки сайта и проверки на вирусы необходимо <b>изменить все пароли </b> доступа к аккаунту: доступы через FTP, через SSH, а также доступы к панели управления хостингом. Если злоумышленник получал доступ к файлам аккаунта одним из этих способов, после смены паролей он больше не сможет сделать это.</li> <li>После смены паролей необходимо <b>уничтожить все процессы сервера </b>, работающие от имени аккаунта, на котором обслуживается сайт. Запущенные злоумышленником в фоновом режиме процессы, не будучи уничтожены, смогут после проведения восстановительных работ повторно разместить вредоносные скрипты на сайте. Чтобы этого не произошло, все процессы, запущенные до блокировки сайта, должны быть уничтожены. Сайт в этот момент уже должен быть заблокирован, чтобы злоумышленник не смог запустить новые процессы, обратившись к одному из своих скриптов на сайте. Для уничтожения запущенных на аккаунте процессов обратитесь в службу технической поддержки хостинга, на котором размещается ваш сайт.</li> <li>Теперь проникновение на сайт извне невозможно и можно приступать к его восстановлению.</li> <li>Перед дальнейшими действиями <b>удалите все существующие файлы сайта </b>, чтобы среди них гарантированно не осталось вредоносных скриптов, или скриптов CMS, в которые злоумышленник внедрил вредоносный код. Этот шаг также важен, так как при восстановлении сайта из резервной копии не всегда удаляются файлы, которые существовали до восстановления. Если после восстановления из резервной копии на сайте останутся старые вредоносные скрипты, злоумышленник сможет повторно проникнуть на сайт. Избежать этого можно, удалив все файлы сайта перед проведением восстановления.</li> <li>После удаления всех файлов сайта <b>восстановите сайт из резервной копии </b>, созданной до его взлома. Часто достаточно восстановить только файлы сайта, однако если после их восстановления в работе сайта наблюдаются ошибки, необходимо восстановить сайт полностью: и файлы и базу данных.</li> <li>После восстановления из резервной копии <b>обновите используемые версии системы управления сайтом </b> <b>(CMS) и ее расширений </b> до последних. Это необходимо, чтобы исключить присутствие на сайте известных уязвимостей, через которые он может быть взломан. Как правило, обновление можно произвести через раздел администрирования CMS. Для получения полных инструкций по обновлению CMS необходимо обратиться на сайт разработчика системы. Важно обновить не только саму CMS, но и все ее расширения, так как часто взлом происходит через уязвимость, присутствующую в одном из расширений CMS (например, плагины, темы оформления, виджеты и пр.). В этот момент еще нельзя снимать блокировку сайта для посетителей, так как он может быть еще уязвим. Чтобы получить доступ к сайту для обновления, обратитесь в техническую поддержку хостинга, на котором размещается ваш сайт, и попросите разрешить доступ к сайту только с IP-адреса вашего компьютера. Узнать ваш IP-адрес вы можете, например, на inet.yandex.ru .</li> <li>После обновления системы управления сайтом и ее расширений зайдите в раздел администрирования сайта и <b>измените пароль доступа администратора </b> к нему. Убедитесь, что среди пользователей сайта нет других пользователей с административными привилегиями (они могли быть добавлены злоумышленником), а если таковые обнаружатся — удалите их.</li> <li>Теперь, когда сайт восстановлен из <a href="https://sushiandbox.ru/it/social-network/klonirovanie-mac-os-x-sozdaem-svoyu-ovechku-dolli-rezervnoe-kopirovanie-mac-os-x.html">резервной копии</a> и не содержит вредоносных скриптов, CMS и ее расширения обновлены до последних версий, в которых отсутствуют уязвимости, а пароли доступа к сайту и аккаунту хостинга изменены, можно вновь открыть сайт для посетителей.</li> </ol><p>Все указанные выше действия необходимо выполнять в соответствии с указанной очередностью, без пропусков и каких-либо изменений. Если действия выполнены неточно, на сайте могут остаться <a href="https://sushiandbox.ru/it/master-pc/vredonosnye-skripty-ishchem-i-ubiraem-vredonosnyi-kod-na-wordpress.html">вредоносные скрипты</a> или уязвимости, в результате чего через короткое время он <b>может быть снова взломан злоумышленником </b>. Если по каким-либо причинам выполнить перечисленные выше действия в том виде, в котором они указаны, возможности нет, обратитесь к специалисту для проведения работ по восстановлению сайта после взлома.</p> <h2>Чтобы защитить сайт от повторных взломов в будущем необходимо придерживаться следующих рекомендаций:</h2> <ol><li>Следите за обновлениями CMS и расширений для нее на сайтах разработчиков и своевременно производите их обновление до последних версий. Если в комментарии об обновлении присутствует информация о том, что оно устраняет какую-либо уязвимость, установите это обновление как можно быстрее.</li> <li>Производите работу с сайтом и с аккаунтом хостинга только с компьютеров, которые защищены от вирусов современными антивирусами с постоянно обновляемыми <a href="https://sushiandbox.ru/it/skype/podgotovka-k-testam-po-informatike-testy-po-informatike-kakie-iz.html">вирусными базами</a>.</li> <li>Используйте сложные пароли, чтобы их нельзя было подобрать перебором по словарю.</li> <li>Не сохраняйте в программах для подключения к сайту пароли от FTP и SSH, а также не сохраняйте в браузере пароль доступа в административный радел сайта и в панель управления хостингом.</li> <li>Время от времени (например, раз в три месяца) изменяйте пароли доступа к сайту и к аккаунту хостинга.</li> <li>Если на компьютере, с которого производилась работа с сайтом, были обнаружены вирусы, измените пароли доступа к сайту и аккаунту хостинга как можно быстрее. Изменять необходимо все пароли: пароли доступа по FTP, SSH, пароль от административной панели сайта, а также пароль от панели управления хостингом.</li> <li>Не предоставляйте доступ к сайту третьим лицам, если вы не уверены, что они также будут следовать приведенным рекомендациям.</li> </ol> <p>WordPress – одна из самых популярных систем управления контентом, использующаяся в самых различных целях: от ведения блогов до электронной коммерции. Существует широкий выбор плагинов и тем для WordPress . Случается, что какие-то из этих расширений попадают в руки вебмастеров после того, как некий злоумышленник потрудился над ними.</p> <p>Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.</p> <p>Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.</p> <h2>1. Theme Authenticity Checker (TAC)</h2> <p>Theme Authenticity Checker (инспектор аутентичности тем, TAC) – WordPress -плагин, который сканирует каждую <a href="https://sushiandbox.ru/it/internet/kak-pomenyat-temu-vkontakte-kak-ustanovit-temu-vk-yandeks-brauzer.html">установленную тему</a> на наличие подозрительных элементов вроде невидимых ссылок или кода, зашифрованного с помощью Base64 .</p> <p>Обнаружив такие элементы, TAC сообщает о них администратору WordPress , позволяя ему самостоятельно проанализировать и при необходимости исправить исходные файлы тем:</p> <h3>2. Exploit Scanner</h3> <p>Exploit Scanner сканирует весь исходный код вашего сайта и содержимое базы <a href="https://sushiandbox.ru/it/skype/udalit-ostatki-udal-nnyh-plaginov-wordpress-ochistit-bazu-dannyh.html">данных WordPress</a> на наличие сомнительных включений. Так же, как и TAC , этот плагин не предотвращает атаки и не борется с их последствиями в <a href="https://sushiandbox.ru/it/lessons-on-windows/atol-30-podklyuchenie-k-1s-ustanovka-draivera-dlya-onlain-kass.html">автоматическом режиме</a>.</p> <p>Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить вредоносный код, придётся это сделать вручную:</p> <h3>3. Sucuri Security</h3> <p>Sucuri – хорошо известное решение в области безопасности WordPress . Плагин Sucuri Security осуществляет мониторинг файлов, загружаемых на WordPress -сайт, ведёт собственный список известных угроз, а также позволяет удалённо просканировать сайт при помощи бесплатного сканера Sucuri SiteCheck Scanner . За абонентскую плату можно дополнительно укрепить защиту сайта, установив мощный сетевой экран Sucuri Website Firewall :</p> <h3>4. Anti-Malware</h3> <p>Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.</p> <p>Параметры сканирования и удаления могут настраиваться. Этот плагин можно использовать после <a href="https://sushiandbox.ru/it/master-pc/pochta-shkoly-rambler-rambler-pochta-besplatnaya-registraciya.html">бесплатной регистрации</a> на gotmls .</p> <p>Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :</p> <h3>5. WP Antivirus Site Protection</h3> <p>WP Antivirus Site Protection – это плагин, сканирующий все загружаемые на сайт файлы, в том числе WordPress -темы.</p> <p>Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по <a href="https://sushiandbox.ru/it/master-pc/pochemu-pochta-tut-bai-otkryvaetsya-cherez-yandeks-elektronnaya-pochta-nikakih.html">электронной почте</a> и много другое.</p> <p>Плагин устанавливается и функционирует бесплатно, но имеет несколько <span>платных дополнений </span>, на которые стоит обратить внимание:</p> <h3>6. AntiVirus для WordPress</h3> <p>AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый «белый список » и другие функции:</p> <h3>7. Quterra Web Malware Scanner</h3> <p>Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.</p> <p>Базовые функции сканера бесплатны, в то время как некоторый <span><a href="https://sushiandbox.ru/it/social-network/kak-rabotaet-navigator-v-telefone-kak-vklyuchit-na-androide-gps-i.html">дополнительный сервис</a> </span> обойдётся вам в $60 за год:</p> <h3>8. Wordfence</h3> <p>Если вы ищете комплексное решение проблем безопасности вашего сайта, обратите внимание на Wordfence .</p> <p>Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку «чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.</p> <p>Этот плагин бесплатен в своей <a href="https://sushiandbox.ru/it/browsing-the-internet/kvadrokopter-xk-detect-x380-bazovaya-versiya-obzor-xk-detect-x380-c-polnocennaya-platforma.html">базовой версии</a>, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату:</p> <h3>9. Wemahu</h3> <p>Wemahu осуществляет мониторинг изменений в коде вашего сайта и поиск вредоносного кода.</p> <p>База данных, на основе которой ведётся обнаружение зловредов, пополняется методом краудсорсинга: пользователи сами пополняют её, отправляя результаты сканирования зараженных инсталляций WordPress на сайт автора плагина. Плагин также поддерживает отправку отчётов по электронной почте и другие полезные функции.</p> <p>1. Распаковать в папку сайта.<br> 2. перейти по ссылке ваш_сайт/fscure/<br> 3. все</p> <h2>Что умеет?</h2> <p>1. <a href="https://sushiandbox.ru/it/internet/klyuchi-dlya-nod-32-64-bit-avtomaticheskii-poisk-i-obnovlenie-klyuchei-dlya-eset.html">Автоматический поиск</a> вирусов по сигнатурам.<br> 2. Поиск строки в файлах<br> 3. Удаление файлов<br> 4. Патч вредоносного кода при помощи регулярных выражений</p> <p>Скрипт не сделает за вас всю работу и требует некоторых минимальных знаний. Перед работой рекомендуется сделать бекап сайта.</p> <h2>Как работает?</h2> <p>При первом запуске составляет индекс файлов. Файл fscure.lst в папке. Выводит список файлов содержащих <b>потенциально вредоносные сигнатуры </b>. "Потенциально вредоносные" это значит, что решать вирус это или не вирус, придется вам. Список сигнатур настраивается в файле config.php , константа SCAN_SIGN . При дефолтных настройках скрипт не проверяет js файлы и не содержит для них сигнатур.<br></p> <h2>Самые частые проблемы</h2> <p>1. не создает индекс fscure.lst . Может происходить если не хватает прав. Поставьте 777 на папку fscure</p> <p>2. 5хх ошибка. Чаще всего "504 Gateway Time-out". Скрипт не успевает отработать и вылетает по таймауту. В этом случае есть несколько путей для ускорения его работы. Скорость в первую очередь зависит от размера индекса. Он в файле fscure.lst . Обычно файл до 5Мб в 90% случаев успевает обработать. Если не успевает, можно уменьшить "жадность" скрипта запретив сканировать *.jpg;*.png;*.css в конфиге.<br> В файле config.php .</p> <p>// разделитель; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");</p> <p>3. Хостинг выдает предупреждение вида<br> {HEX}base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php</p> <p>Вируса в скрипте нет и не было. А {HEX}base64.inject.unclassed.6 это конструкция вида "echo base64_decode(" , которая часто встречается и сама по себе вполне безобидна. Тем не менее в <a href="https://sushiandbox.ru/it/internet/kakaya-poslednyaya-versiya-ios-dlya-moego-iphone-ili-ipad-kak-uznat-i-gde-skachat-ios.html">последней версии</a>, я этот код заменил.</p> <h2>Что делать если у вас не получилось найти вирус самостоятельно?</h2> <p>Вы можете обратиться ко мне за помощью. Расценки у меня скромные. На работу даю гарантию 6 месяцев. Стоимость работы 800 р. для 1 сайта. Если на аккаунте несколько сайтов цена определяется индивидуально.</p> <p>Если у вас все получилось сделать самостоятельно, буду благодарен за материальное вознаграждение или ссылку на мой сайт.</p> <p><b>Мои реквизиты: </b><br> yandex<br> 41001151597934</p> <p>webmoney<br> Z959263622242<br> R356304765617<br> E172301357329</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> <span style="display:none" class="updated">2016-05-11</span> <div class="clear"></div> </div> </article> <div class="post-navigation"> <div class="post-previous"> <a href="https://sushiandbox.ru/it/browsing-the-internet/ustanovka-windows-na-imac-s-pomoshchyu-programmy-boot-camp-poshagovaya-instrukciya-kak-mozhno.html" rel="prev"><span>Precedente</span> Come installare Windows su Mac in tre modi Installare Windows su imac</a> </div> <div class="post-next"> <a href="https://sushiandbox.ru/it/browsing-the-internet/kak-izmenit-yazyk-interfeisa-windows7-rusificirovat-windows7.html" rel="next"><span>Prossimo</span> Lingua russa Lingua russa per Windows 7 professional</a> </div> </div> <section id="related_posts"> <div class="block-head"> <h3>Post simili</h3> <div class="stripe-line"></div> </div> <div class="post-listing"> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/it/browsing-the-internet/komandnaya-stroka-kak-otkryt-terminal-na-make-mac-os-dopolnitelnye-tryuki-vy.html"> <img width="310" height="165" src="/uploads/ebcc3711041057c79e78888773417972.jpg" class="attachment-tie-medium wp-post-image" alt="Come aprire un terminale su un Mac (Mac OS) Trova altri trucchi in questo libro" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/it/browsing-the-internet/komandnaya-stroka-kak-otkryt-terminal-na-make-mac-os-dopolnitelnye-tryuki-vy.html" rel="bookmark">Come aprire un terminale su un Mac (Mac OS) Trova altri trucchi in questo libro</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-10-20 03:58:46</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/it/avatar/kak-vzyat-dengi-v-dolg-u-operatora-tele2-kak-brat-v-dolg-na.html"> <img width="310" height="165" src="/uploads/d5ff7147afbee870b181b89cabc55f5f.jpg" class="attachment-tie-medium wp-post-image" alt="Come prendere in prestito denaro su Tele2 Come prendere in prestito denaro nei prestiti Tele2" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/it/avatar/kak-vzyat-dengi-v-dolg-u-operatora-tele2-kak-brat-v-dolg-na.html" rel="bookmark">Come prendere in prestito denaro su Tele2 Come prendere in prestito denaro nei prestiti Tele2</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-09-26 03:08:40</span></p> </div> <div class="related-item"> <div class="post-thumbnail"> <a href="https://sushiandbox.ru/it/browsing-the-internet/podborka-programm-antivor-dlya-android-vybiraem-antivor-dlya.html"> <img width="310" height="165" src="/uploads/ab60e852710ea2bb4b10db443ccaea59.jpg" class="attachment-tie-medium wp-post-image" alt="Scegliere un antifurto per dispositivi Android: applicazioni nell'antivirus - Trova il mio dispositivo, Dr" / loading=lazy loading=lazy> <span class="fa overlay-icon"></span> </a> </div> <h3><a href="https://sushiandbox.ru/it/browsing-the-internet/podborka-programm-antivor-dlya-android-vybiraem-antivor-dlya.html" rel="bookmark">Scegliere un antifurto per dispositivi Android: applicazioni nell'antivirus - Trova il mio dispositivo, Dr</a></h3> <p class="post-meta"><span class="tie-date"><i class="fa fa-clock-o"></i> 2022-09-26 03:08:40</span></p> </div> </div> </section> <script type="text/javascript"> document.getElementById('hc_full_comments').innerHTML = ''; </script> </div> <aside id="sidebar"> <div class="theiaStickySidebar"> </div> </aside> <div class="clear"></div> </div> <div class="e3lan e3lan-bottom"> </div> <footer id="theme-footer"> <div id="footer-widget-area" class="wide-left-3c"> </div> <div class="clear"></div> </footer> <div class="clear"></div> <div class="footer-bottom"> <div class="container"> <div class="alignright"> </div> <div class="social-icons"> <a class="ttip-none" title="Google+" href="" target="_blank"><i class="fa fa-google-plus"></i></a><a class="ttip-none" title="Cinguettio" href="https://www.twitter.com/share?url=https%3A%2F%2Fsushiandbox.ru%2Fit%2Fskype%2Fvredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-twitter"></i></a> <a class="ttip-none" title="vk. com" href="https://vk.com/share.php?url=https://sushiandbox.ru/skype/vredonosnye-skripty-bortovoi-zhurnal-chto-delat-esli-u-vas-ne-poluchilos-naiti.html" target="_blank"><i class="fa fa-vk"></i></a> </div> <div class="alignleft">© Copyright 2022, Mastering PC - Internet. Skype. Social networks. Tutorial Windows</div> <div class="clear"></div> </div> </div> </div> </div> </div> <div id="topcontrol" class="fa fa-angle-up" title="Scorrere verso l'alto"></div> <div id="fb-root"></div> <div id="reading-position-indicator"></div> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/CodeCanyon-Arqamv2.0.4-RetinaResponsiveWordPressSocialCounterPlugin-5085289/assets/js/scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/ark-hidecommentlinks.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/ark-hidecommentlinks/js/pcl_tooltip_init.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/plugins/contact-form-7/includes/js/jquery.form.min.js'></script> <script type='text/javascript' src='/assets/scripts1.js'></script> <script type='text/javascript'> /* <![CDATA[ */ var tie = { "mobile_menu_active": "true", "mobile_menu_top": "", "lightbox_all": "true", "lightbox_gallery": "true", "woocommerce_lightbox": "", "lightbox_skin": "dark", "lightbox_thumb": "vertical", "lightbox_arrows": "", "sticky_sidebar": "1", "is_singular": "1", "SmothScroll": "true", "reading_indicator": "true", "lang_no_results": "\u041d\u0435\u0442 \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b", "lang_results_found": "\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u043d\u0430\u0439\u0434\u0435\u043d\u043e" }; /* ]]> */ </script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/tie-scripts.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/ilightbox.packed.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/search.js'></script> <script type='text/javascript' src='https://sushiandbox.ru/wp-content/themes/sahifa/js/jquery.cycle.all.js'></script> </body> </html>