Комментарии 14
* забудьте про фтп и используйте sftp по ключам.
Это спасет только от одного вида атак — когда тем или иным способом трафик между фтп-клиентом и сервером прослушивается и пароли отлавливаются.
Во всех остальных случаях спасет только до поры до времени, пока вирусня не начала не просто сохраненные пароли воровать, а научится собирать сохраненные открытые ключи и кейлоггером пароли к ним. Можно хранить ключи на флешке и вставлять только при заливке, но опять же — кого из юзеров заставишь так делать, да и висус сидящий в памяти все прекрасно считает и с флешки.
Самый надежный способ — в дополнении к ключам надо всем, кто имеет право на заливку контента по sftp на сервера, получать постоянные ip. Если же их провайдер такую услугу не предоставляет, то разрешать доступ только с сети провайдера. Опять же в этом случае тоже возможен вариант пробивания защиты — вирус просто должен научиться всего-навсего пробрасывать порты на сервер с компа жертвы.
Короче идеальной защиты нет, но можно максимально усложнить жизнь зловредам :)
Во всех остальных случаях спасет только до поры до времени, пока вирусня не начала не просто сохраненные пароли воровать, а научится собирать сохраненные открытые ключи и кейлоггером пароли к ним. Можно хранить ключи на флешке и вставлять только при заливке, но опять же — кого из юзеров заставишь так делать, да и висус сидящий в памяти все прекрасно считает и с флешки.
Самый надежный способ — в дополнении к ключам надо всем, кто имеет право на заливку контента по sftp на сервера, получать постоянные ip. Если же их провайдер такую услугу не предоставляет, то разрешать доступ только с сети провайдера. Опять же в этом случае тоже возможен вариант пробивания защиты — вирус просто должен научиться всего-навсего пробрасывать порты на сервер с компа жертвы.
Короче идеальной защиты нет, но можно максимально усложнить жизнь зловредам :)
НЛО прилетело и опубликовало эту надпись здесь
> Нашёлся и странный редирект пользователей мобильных браузеров происходивший из разных точек сайтов.
Дайте угадаю — редирект на «обновление» Opera Mini?
Натыкался несколько раз на такие сайты в качестве пользователя. Грешил на неуёмную жадность вебмастеров, которые ставили такие партнёрки, делая свой сайт неюзабельным.
А оказывается это взломы.
Дайте угадаю — редирект на «обновление» Opera Mini?
Натыкался несколько раз на такие сайты в качестве пользователя. Грешил на неуёмную жадность вебмастеров, которые ставили такие партнёрки, делая свой сайт неюзабельным.
А оказывается это взломы.
Да не только оно. Но именно это попадалось.
В большинстве своем редиректы мобильного трафика вебмастера ставят сознательно. Хорошо хоть, что в последнее время Яндекс к сайтам с такими редиректами выставляет санкции и все меньше желающих «поработать» с мобильным трафиком таким образом.
Это удивительно, потому что когда я на это натыкался, пользоваться сайтом с мобильного было невозможно в принципе — редирект был постоянный и безусловный.
Довольно странно в годы бурного развития мобильного интернета полностью продавать всех мобильных клиентов. Зачем тогда вообще сайт делать, делайте сразу дорвей.
Довольно странно в годы бурного развития мобильного интернета полностью продавать всех мобильных клиентов. Зачем тогда вообще сайт делать, делайте сразу дорвей.
Пользоваться инструмента контроля версий.
Или чем то вроде AIDA
Спасти не спасет, но сразу даст понять что где не так.
Или чем то вроде AIDA
Спасти не спасет, но сразу даст понять что где не так.
Спасибо. Забыл упомянуть, хотя на одном из вебинаров рассматривал такой софт как средство быстрого поиска вставок и моментальной очистки кода.
php-cgi+suPHP ооочень медленное решение. Есть же FastCGI для Apache ну или Nginx + php-fpm
Даже на домашнем сервере делаю для каждого сайта нового юзера. Использую apache2-mpm-itk и proftpd. В логах часто замечал перебор ссылок вида pma, phpmyadmin и прочие, потому вынес pma на поддомен с нестандартным портом. Так же не советую именовать пользователя, как %sitename%, потому как ftp переборы чаще идут по таким именам.
Недавно встречался с подобными вещами.
Подбирали пароль для штатных ЦМС (Джумла ВП Битрикс) заливали плагин\модуль в шеллом внутри, который потом и потихоньку вставлял вставки зловредного кода.
Что сделал.
Apache-itk
php — «safe_mode On» — позор тем ЦМСкам что не работают в безопасном режиме.
Написал скрипт, что создаёт пользователя, раздаёт права на каталоги внутри, запуск виртуалхостов от имён этих пользователей, фтп убираем совсем настраиваем chroot для sftp создаётся автоматом пользователь и база…
потом на одном из заброшенных серверов собрал весь зоопарк пхпШеллов и все тщательно тестировал в таком окружении.
Подбирали пароль для штатных ЦМС (Джумла ВП Битрикс) заливали плагин\модуль в шеллом внутри, который потом и потихоньку вставлял вставки зловредного кода.
Что сделал.
Apache-itk
php — «safe_mode On» — позор тем ЦМСкам что не работают в безопасном режиме.
Написал скрипт, что создаёт пользователя, раздаёт права на каталоги внутри, запуск виртуалхостов от имён этих пользователей, фтп убираем совсем настраиваем chroot для sftp создаётся автоматом пользователь и база…
потом на одном из заброшенных серверов собрал весь зоопарк пхпШеллов и все тщательно тестировал в таком окружении.
Так всё-таки, как происходил взлом выяснить удалось?
Нет. Из-за того, что всё это происходило очень долгое время (заказчик обратился тогда, когда полный хаос был уже близок) разобраться что откуда появилось просто было не возможно.
Попытки были конечно, но сразу стало ясно что это может отнять не одну неделю. Поэтому и было решено сразу закрутить гайки по максимуму, а затем смотреть где всплывёт очередное заражение. Если бы изначальная уязвимость осталась, мы бы увидели дырявый сайт.
Опять же, если бы на момент проведения работ на клиентской машине сидел бы вирус подтягивающий FTP-пароли, то после их смены это по логам это сразу бы всплыло.
Попытки были конечно, но сразу стало ясно что это может отнять не одну неделю. Поэтому и было решено сразу закрутить гайки по максимуму, а затем смотреть где всплывёт очередное заражение. Если бы изначальная уязвимость осталась, мы бы увидели дырявый сайт.
Опять же, если бы на момент проведения работ на клиентской машине сидел бы вирус подтягивающий FTP-пароли, то после их смены это по логам это сразу бы всплыло.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Очередная схватка с веб-вирусами