VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
«Чувство паранойи должно преследовать кодера постоянно» (с)
Много бесполезных букв для тех, кто в вобле (и не только в ней) как «рыба в воде» и немного полезных букв для тех, кто в вобле «как рыба об лёд».
Достаточно много поднакопилось тем на форуме с характерными заголовками – взломали сайт, взломали форум, на форуме вирус etc… И многих, естественно, интересует вопрос «Что теперь делать?».
А ответ прост – устранять причину и следствие…
Начнём, пожалуй, с устранения следствия…
В первом случае, пожалуй, надо начать искать шеллы… Конечно, частенько «взломщики» убирают за собой следы…
Для поиска распространённых шеллов вам поможет скрипт айболит - ТЕМА ЗДЕСЬ
Иногда файл с шеллом может иметь дату последнего изменения отличную от других файлов (но в последнее время - крайне редко).
Если с помощью айболита нашли шелл – поздравляю, вам в какой-то мере даже повезло. Удаляем шелл (бывает, конечно, что шелл «замаскирован» под файл воблы – какой-то файл дистрибутива или от хака… Так что, в таких случаях, заменяем файл на «чистый» - из бэкапа или дистрибутива…)
Не забываем менять пароли от фтп etc…
Обязательно посмотрите, не появились ли у вас новые админы на форуме)
Второй случай (со стороны устранения последствий) считаю чуточку «сложнее»…
Конечно, можно также начать искать шеллы, но лучше для начала узнать - в связи с чем такое «клеймо». Яндекс обычно показывает какой вредоносный код содержит форум. По названию уже можно понять - в каких файлах нужно искать «вредоносный код» (примеры вредоносных кодов вы можете посмотреть ЗДЕСЬ )
Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php
Недаром все здесь пишут «делайте бэкап».
Правильно, легче всего устранить второе «следствие» с помощью «бэкапа»… Перезалить с заменой «заражённые» файлы...
Если бэкап файлов отсутствует - заменяем файлами из дистрибутива… Конечно, если вы не редактировали файлы…)
Если файлы редактировались, то надо будет внести снова соответствующие правки… Или же воспользоваться программой, чтобы почистить файлы от вредоносного кода. Например, можно использовать FAR (Find and Replace - скрипт для поиска и замены текста в файлах сайта.)
Следует отметить, что «вредоносные коды» могут содержаться и в модулях/продуктах/шаблонах стиля.*
В этом случае вам не поможет «ай-болит».
Теперь, пожалуй, перейдём к причинам…
Причин мБ ну очень много… Для поиска причин в идеале нужны бы логи… Там смотрим подозрительные запросы…
Итак… Вроде бы нашли причину, устранили следствие… Но снова кто-то «взломал» или яндекс не снял «клеймо»?
Снова идём по этим же пунктам и думаем дальше…
Миф №1 Бэкапы нафик не нужны.
Поверьте, бэкапы нужны. И бэкапы нужно делать не только БД, но и файлов…
Бэкап БД вам поможет в случаях, когда «взломщик» таки «поигрался» с этой самой БД… Например, исчезли какие-то темы, разделы…
Бэкап файлов вам пригодится для восстановления «утраченных» файлов или замены «повреждённых».
Миф №2 Мой форум/сайт не взломают, т.к. он нафик никому не нужен (маленькая посещаемость и т.п.).
Безумно рада вашей самоуверенности)
Но, как говорится, не зарекайся…
Бандэрос Не Зарекайся!
YouTube.com 00:03:53
Миф №3 У меня есть бэкап. Теперь «хакеры» отдыхают.
Наличие бэкапа - безусловно, прекрасно. Но кто вам сказал, что если вы «откатите» свой сайт - это устранит дыру?!
Миф №4 Тут всё расписано сложно, я сам не сделаю. А тут только барыги, которые зарабатывают на беде других1!!!111!!!
За всех не скажу, но многие пользователи данного ресурса готовы помочь вам в вашей «беде» бесплатно (спортивный интерес, он такой).
8. RIP-стили.
Тут сильно не буду расписывать… Любой нормальный админ должен открыть файл со стилем и посмотреть код… Именно в RIPах часто встречаются левые коды
А что, обычно тупо копируют код? О_о
Я для себя спрашиваю, просто интересно)
А так, плюс однозначно)
Sven добавил 02.09.2013 в 21:00
Quote:
Originally Posted by OlgaB
Реже попадается в .php
В случае с воблой, такое
Quote:
Originally Posted by OlgaB
Сайт «взломан» (теперь на сайте вместо обычной странички - картинка, надпись etc…)
Как раз замена индексного файла. Иногда попадались модули
Last edited by Sven : 09-02-2013 at 10:01 PM.
Reason: Добавлено сообщение
OlgaB
Специалист
Join Date: Jun 2009
Location: Russia
Награды в конкурсах:
Posts: 1,551
Версия vB: 3.8.4
Пол:
Reputation:
Мастер 3682
Репутация в разделе: 1211
0
@Sven, имелось ввиду, что человек качает с интернета какой-нибудь стиль и ставит себе на форум...
Мне самой не раз попадались именно в рипах каких-либо стилей левые коды... И коды различных партнёрок...
OlgaB добавил 02.09.2013 в 21:02
Quote:
Originally Posted by Sven
Как раз замена индексного файла
Смотря как "взломан" Бывает редиректы ставят на другие сайты/форумы. Тогда надо htaccess смотреть
Last edited by OlgaB : 10-10-2013 at 09:33 PM.
Reason: Добавлено сообщение
В файле же тоже может быть редирект)
Да и я имел ввиду когда что-либо пишут или ставят картинки
хрюк
Гость
Posts: n/a
Не только в рипах, но и в зануленных движках. Особенно в DLE. Недавно искал на просторах интернета дистрибутив DLE.. скачал - в каждом то ссылки на партнёрки, то зловреды...
gap
Знаток
Join Date: Sep 2013
Posts: 151
Версия vB: 3.8.7
Пол:
Reputation:
Knowing 201
Репутация в разделе: 87
0
В продолжение темы восстановления форума: Инструкция с оффсайта
Luvilla
Гость
Posts: n/a
Quote:
Originally Posted by gap
Инструкция с оффсайта
никаких глобальных откровений там нет...
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
gap
Знаток
Join Date: Sep 2013
Posts: 151
Версия vB: 3.8.7
Пол:
Reputation:
Knowing 201
Репутация в разделе: 87
0
Quote:
Originally Posted by Luvilla
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
Без проблем. ;) Только чуть позже.
@viliksar
Продвинутый
Join Date: Feb 2013
Location: АТО Гагаузия
Posts: 397
Версия vB: 4.2.х
Пол:
Reputation:
Опытный 36
Репутация в разделе: 1
0
Quote:
Originally Posted by OlgaB
И, кстати, лишний раз напомню о модерах и СМ. У них есть доступ к панели модератора, а там есть возможность создавать на форуме объявления (html).
Нашёл этот пункт здесь:
В разделах и модераторах, при редактировании прав конктретно каждого модератора к конкретно каждому разделу форума.
Last edited by viliksar : 03-11-2014 at 06:36 PM.
Reason: Добавлено сообщение
@siriusmelaf
Знаток
Join Date: May 2012
Posts: 633
Версия vB: 3.8.7
Пол:
Reputation:
Knowing 256
Репутация в разделе: 65
0
Quote:
Originally Posted by OlgaB
Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php
я в прошлом году столкнулся. тему еще тут где-то создавал.
ну в общем вредоносный код был в аватарке *.gif