форум vBSupport.ru > vBSupport.ru > Безопасность
  • »
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
 
 
 
 
OlgaB
Специалист
 
OlgaB's Avatar
Default «Вирус на форуме, взломали форум». Что делать?
21

«Чувство паранойи должно преследовать кодера постоянно» (с)

Много бесполезных букв для тех, кто в вобле (и не только в ней) как «рыба в воде» и немного полезных букв для тех, кто в вобле «как рыба об лёд».

Достаточно много поднакопилось тем на форуме с характерными заголовками – взломали сайт, взломали форум, на форуме вирус etc… И многих, естественно, интересует вопрос «Что теперь делать?».

А ответ прост – устранять причину и следствие…

Начнём, пожалуй, с устранения следствия…

Частые следствия: 1. Сайт «взломан» (теперь на сайте вместо обычной странички - картинка, надпись etc…)
2. Этот сайт может угрожать безопасности вашего компьютера.

В первом случае, пожалуй, надо начать искать шеллы… Конечно, частенько «взломщики» убирают за собой следы…
Для поиска распространённых шеллов вам поможет скрипт айболит - ТЕМА ЗДЕСЬ
Иногда файл с шеллом может иметь дату последнего изменения отличную от других файлов (но в последнее время - крайне редко).
Если с помощью айболита нашли шелл – поздравляю, вам в какой-то мере даже повезло. Удаляем шелл (бывает, конечно, что шелл «замаскирован» под файл воблы – какой-то файл дистрибутива или от хака… Так что, в таких случаях, заменяем файл на «чистый» - из бэкапа или дистрибутива…)
Не забываем менять пароли от фтп etc…
Обязательно посмотрите, не появились ли у вас новые админы на форуме)

Второй случай (со стороны устранения последствий) считаю чуточку «сложнее»…
Конечно, можно также начать искать шеллы, но лучше для начала узнать - в связи с чем такое «клеймо». Яндекс обычно показывает какой вредоносный код содержит форум. По названию уже можно понять - в каких файлах нужно искать «вредоносный код» (примеры вредоносных кодов вы можете посмотреть ЗДЕСЬ )

Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php

Недаром все здесь пишут «делайте бэкап».

Правильно, легче всего устранить второе «следствие» с помощью «бэкапа»… Перезалить с заменой «заражённые» файлы...

Если бэкап файлов отсутствует - заменяем файлами из дистрибутива… Конечно, если вы не редактировали файлы…)
Если файлы редактировались, то надо будет внести снова соответствующие правки… Или же воспользоваться программой, чтобы почистить файлы от вредоносного кода. Например, можно использовать FAR (Find and Replace - скрипт для поиска и замены текста в файлах сайта.)

Следует отметить, что «вредоносные коды» могут содержаться и в модулях/продуктах/шаблонах стиля.*
В этом случае вам не поможет «ай-болит».

Теперь, пожалуй, перейдём к причинам…

Причин мБ ну очень много… Для поиска причин в идеале нужны бы логи… Там смотрим подозрительные запросы…

Частыми причинами вышеуказанных следствий являются:
1. Уязвимости в хаках.
Да, да. Почаще заглядывайте в раздел «Безопасность» - в разделе кучка тем с уязвимыми хаками.
Сравнивайте со своим списком установленных хаков…
*Обращайте внимание на модули продуктов… Ведь когда у «взломщиков» есть доступ к админке – они могут понавешать левых модулей, которые, например, записывают пароли юзеров в txt/html файл… (Особенно обратите внимание на модули, который висят на global_start, login_process...)
Не стоит также забывать о том, что кодеры обновляют свои продукты… И обновляют они нЕ только добавляя функционал… Частенько они убирают возможные «уязвимости»… Следите за обновлениями!
Полезность Updated products list in admincp home

Ну, конечно, если вы сами себе кодер – не исключайте собственной невнимательности…
И вообще… Не надо хаками превращать форум в новогоднюю ёлку) Прежде чем ставить какой-то хак – убедитесь в том, что он вам действительно нужен.
Если вы нашли «уязвимый» хак – либо фиксим «уязвимость», либо удаляем продукт. Не надо оставлять всё как есть и надеяться на то, что больше никто не будет «ломать». И когда хаки удаляете – удаляйте их файлы на сервере…

Небольшой списочек хаков с уязвимостями: Уязвимость в tapatalk / Ещё одна
VBSEO
Уязвимость vBulletin vBShout 6.0.8
ChangUonDyU Advanced Statistics
Уязвимость в хаке Yet Another Awards System
Уязвимость в Dragonbyte Gallery - DBGallery 1.2.3 и 1.2.4
Уязвимость в Dbtech vBQuiz - Викторины
Уязвимость Inferno vBShout
Уязвимость в хаке ibProArcade 2.6.8+
Extra IM and Network
Yet Another Usergroup Legend (AJAX)
Уязвимость EasyPages
Second Level Login by liamwli
Advanced Forum Rules (версии 4.0.2 и 5.0.2 и ниже)
vBulletin - DBTech vBDonate (к сожалению, не помню в какой версии была уязвимость)
Gameroom v1.2.0
ajaxReg - Ajax Registration, with instant field checking
Уязвимость vBSocial.com Wall
Уязвимость Point Market System
Уязвимость microSUPPORT Plugin
Уязвимость OzzMods Reviews Plugin
Уязвимость vBulletin vbBux and vbPlaza v4
Уязвимость Customizable Roster
Уязвимость в хаке Verify Email Before Registration для 4.х


2. Уязвимости в движке.
Изначально ставим рекомендуемые версии движка, а не дырявые…
На данный момент актуальны:
3.8.4 PL2, 3.8.7 PL5, 3.8.9
4.2.3

(про 5 до сих пор промолчу… пофиксят один баг - появится ещё два )

Если у вас, например, 3.8.6, то нЕ забывайте про патч. Если у вас дырявая версия 4, то делайте обновление до стабильно версии. Ну или… откат на тройку
АХТУНГ! В версии 4.2.0 PL3 есть xss.

3. Настройки движка.
Конечно, речь про включенный html там, где он абсолютно не нужен…
И, кстати, лишний раз напомню о модерах и СМ. У них есть доступ к панели модератора, а там есть возможность создавать на форуме объявления (html).

4. Уязвимости в других движках.
Если у вас рядом с воблой ещё понаставлено сайтов типа DLE, joomla etc, то не забывайте и про них почитывать (про обновления как самих движков, так и плагинов, которые вы понаставили)

5. Халатность админа…
Нефиг всем подряд давать админку, нефиг ставить простые пароли как на админские акки, так и на БД, админку etc…
Кстати, не забывайте о доп. пароле на админку.

Полезности Ставим пароль на директорию
[FAQ] .htaccess .htpasswd

6. У Вас в настройках PHP register_globals=ON?
Тема ТУТ

7. Гавнопартнёрки.
С каждым днём их всё больше и больше… С выбором партнёрок просто рекомендую быть аккуратнее)

8. RIP-стили.
Тут сильно не буду расписывать… Любой нормальный админ должен открыть файл со стилем и посмотреть код… Именно в RIPах часто встречаются левые коды…

9. Папка INSTALL
В связи с недавними событиями - это просто отдельный пункт.
Обязательно удаляем папку install.

10. Соц. инженерия
Мне казалось, что это уже прошлый век, но нет)
Обратите внимание на тему Гениальная идея школохакеров. Взломай свой сайт сам.
Да, это коснулось DLE, но не только его)
Будьте внимательны)

11. ???
На этом пункте мой список «из личного опыта» заканчивается, мБ кто-то ещё продолжит пункты?


Итак… Вроде бы нашли причину, устранили следствие… Но снова кто-то «взломал» или яндекс не снял «клеймо»?
Снова идём по этим же пунктам и думаем дальше…


Мифы

Ещё полезности: Чиним свой сайт после взлома (Перевод).
AntiShell - скрипт для предупреждения взлома сайта.
Отслеживание изменения модулей
Инспектор файлов
Обзор автоматических аудиторов

Last edited by OlgaB : 08-07-2015 at 10:40 PM.
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Sven
Front-End Developer
 
Sven's Avatar
Default
0

Quote:
Originally Posted by OlgaB View Post
8. RIP-стили.
Тут сильно не буду расписывать… Любой нормальный админ должен открыть файл со стилем и посмотреть код… Именно в RIPах часто встречаются левые коды
А что, обычно тупо копируют код? О_о
Я для себя спрашиваю, просто интересно)

А так, плюс однозначно)

Sven добавил 02.09.2013 в 21:00
Quote:
Originally Posted by OlgaB View Post
Реже попадается в .php
В случае с воблой, такое
Quote:
Originally Posted by OlgaB View Post
Сайт «взломан» (теперь на сайте вместо обычной странички - картинка, надпись etc…)
Как раз замена индексного файла. Иногда попадались модули

Last edited by Sven : 09-02-2013 at 10:01 PM. Reason: Добавлено сообщение
 
 
OlgaB
Специалист
 
OlgaB's Avatar
Default
0

@Sven, имелось ввиду, что человек качает с интернета какой-нибудь стиль и ставит себе на форум...
Мне самой не раз попадались именно в рипах каких-либо стилей левые коды... И коды различных партнёрок...

OlgaB добавил 02.09.2013 в 21:02
Quote:
Originally Posted by Sven View Post
Как раз замена индексного файла
Смотря как "взломан" Бывает редиректы ставят на другие сайты/форумы. Тогда надо htaccess смотреть

Last edited by OlgaB : 10-10-2013 at 09:33 PM. Reason: Добавлено сообщение
 
 
Sven
Front-End Developer
 
Sven's Avatar
Default
0

В файле же тоже может быть редирект)
Да и я имел ввиду когда что-либо пишут или ставят картинки
 
 
хрюк
Гость
Default

Не только в рипах, но и в зануленных движках. Особенно в DLE. Недавно искал на просторах интернета дистрибутив DLE.. скачал - в каждом то ссылки на партнёрки, то зловреды...
 
 
gap
Знаток
 
gap's Avatar
Default
0

В продолжение темы восстановления форума: Инструкция с оффсайта
 
 
Luvilla
Гость
Default

Quote:
Originally Posted by gap View Post
Инструкция с оффсайта
никаких глобальных откровений там нет...
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
 
 
gap
Знаток
 
gap's Avatar
Default
0

Quote:
Originally Posted by Luvilla View Post
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
Без проблем. ;) Только чуть позже.
 
 
viliksar
Продвинутый
 
viliksar's Avatar
Default
0

Quote:
Originally Posted by OlgaB View Post
И, кстати, лишний раз напомню о модерах и СМ. У них есть доступ к панели модератора, а там есть возможность создавать на форуме объявления (html).
Нашёл этот пункт здесь:
В разделах и модераторах, при редактировании прав конктретно каждого модератора к конкретно каждому разделу форума.

Last edited by viliksar : 03-11-2014 at 06:36 PM. Reason: Добавлено сообщение
 
 
siriusmelaf
Знаток
 
siriusmelaf's Avatar
Default
0

Quote:
Originally Posted by OlgaB View Post
Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php
я в прошлом году столкнулся. тему еще тут где-то создавал.
ну в общем вредоносный код был в аватарке *.gif
 


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 01:21 AM.


Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Loading...