28
ноя
2011
После взлома сайта злоумышленник как правило оставляет shell-скрипт, который позволяет удалённо выполнять различного рода команды.
Поиск Shell-скриптов на сервере можно осуществлять по различным параметрам - если взлом “свежий” это может быть дата изменения файла. Кроме того, как правило, в shell-скриптах присутствуют характерные команды. Для начала, следует выполнить поиск по каталогу с сайтом:
Ну и, конечно же, желательно найти “дырку”, через которую был осуществлён взлом - поиск в логах по имени вредоносных файлов.
Конечно, это далеко не все способы, однако некоторые PHP-шеллы, а также “дырки”, через которые они были оставлены этот способ позволяет обнаружить.
Часто, PHP-шелл можно загрузить непосредственно на сервер (помимо проверки загружаемых файлов, для директорий загрузки имеет смысл выключать обработку файлов PHP, да и другие скрипты) - в .htaccess или в конфигурационном файле сервера (для Apache)
И, конечно же, файл можно загрузить по FTP - используем рекомендации по хранению и созданию паролей
Поиск шелл-скриптов (shell) на сервере и устранение последствий взлома
После взлома сайта злоумышленник как правило оставляет shell-скрипт, который позволяет удалённо выполнять различного рода команды.
Поиск Shell-скриптов на сервере можно осуществлять по различным параметрам - если взлом “свежий” это может быть дата изменения файла. Кроме того, как правило, в shell-скриптах присутствуют характерные команды. Для начала, следует выполнить поиск по каталогу с сайтом:
egrep -rlZ -e "gzinflate" /var/www
egrep -rlZ -e "eval\(str_replace" /var/www
grep -Rl "r57shell|c99madshell|eval\|base64_decode" /var/www
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" /var/www
egrep -rlZ -e "eval\(str_replace" /var/www
grep -Rl "r57shell|c99madshell|eval\|base64_decode" /var/www
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" /var/www
Ну и, конечно же, желательно найти “дырку”, через которую был осуществлён взлом - поиск в логах по имени вредоносных файлов.
# вместо shell.php подставляем имя файла с вредоносным
# кодом, который найден на предыдущем этапе
grep -rl 'shell.php' /var/log
#затем поиск в найденном файле
grep 'shell.php' ./mysite_custom.log
#и затем поиск по IP-шнику, с которого было обращение к вредному файлу
grep '127.0.0.1' ./mysite_custom.log
# кодом, который найден на предыдущем этапе
grep -rl 'shell.php' /var/log
#затем поиск в найденном файле
grep 'shell.php' ./mysite_custom.log
#и затем поиск по IP-шнику, с которого было обращение к вредному файлу
grep '127.0.0.1' ./mysite_custom.log
Конечно, это далеко не все способы, однако некоторые PHP-шеллы, а также “дырки”, через которые они были оставлены этот способ позволяет обнаружить.
Часто, PHP-шелл можно загрузить непосредственно на сервер (помимо проверки загружаемых файлов, для директорий загрузки имеет смысл выключать обработку файлов PHP, да и другие скрипты) - в .htaccess или в конфигурационном файле сервера (для Apache)
php_flag engine off
# или
RemoveType .pl .cgi .php .php3 .php4 .php5
# или
RemoveType .pl .cgi .php .php3 .php4 .php5
И, конечно же, файл можно загрузить по FTP - используем рекомендации по хранению и созданию паролей
|
|
|
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Datalife Engine
Релизы
WordPress
Joomla
Другие CMS
Web-Мастеру
Игры/Игровые CMSПоследние комментарии
-
Написал(а): dafaher
В новости: JRealtime Analytics v3.9.2 - компонент аналитики для JoomlaДобрый день, в первую очередь спасибо, что поделились такими ценными расширениями. Я просто хотел сообщить вам, что ссылка не работает, спасибо большое. -
Написал(а): arbuku2
В новости: DJ-Catalog2 v4.1.2 - каталог товаров для Joomladj-catalog2 v5 Когда он будет опубликован? When will it be published? -
Написал(а): SergTSY
В новости: QR Menu Maker v3.4.0 - бесконтактное меню ресторанаСсылки не рабочие.
Перезалейте, плз? -
Написал(а): anons01
В новости: Akeeba Backup Pro v9.9.2 - компонент резервного копирования для JoomlaUpload doesn't work -
Написал(а): sania4m
В новости: Aoxio v2.1 Nulled - скрипт для бронирования бизнес-услугустановка проходит , но не создается база данных -
Написал(а): Nibiru7
В новости: JRealtime Analytics v3.9.2 - компонент аналитики для Joomlaспасибо за -
Написал(а): jackxren88
В новости: Advanced Custom Fields Pro v2.7.7 - расширенные пользовательские поля для JoomlaМожет есть у кого-то решение как убрать "запрос на ключ"? -
Написал(а): Escudocu
В новости: YOO Glowbar v March 1, 2024 - Joomla шаблон для сайтов о красоте и модеБлагодарю за шаблон!!!