Академический Документы
Профессиональный Документы
Культура Документы
защиты от шеллов
Оглавление
Введение.......................................................................................................................................................1
Основные источники проникновения:.......................................................................................................2
Брутфорс...................................................................................................................................................3
Дыры в движках, шаблонах и плагинах................................................................................................9
Небезопасные настройки сервера и хостинга.......................................................................................9
Халявный и нулленый софт..................................................................................................................10
Как происходит внедрение шелла через админку сайта........................................................................11
Обнаружение шелла...................................................................................................................................12
Профилактические мероприятия..............................................................................................................19
Шпаргалка-чеклист вместо итогов:..........................................................................................................20
Введение
Шелл — это скрипт, залитый на ваш хостинг и дающий доступ для владельца
скрипта ко всему содержимому вашего хостинга. Это может быть как отдельный
файлик, спрятанный в дебрях ваших папок, так и код, встроенный в шаблон
или в плагин, скачанный из интернета.
Для этой цели сканируют и подбирают пароли к пачкам сайтов, а затем оптом и
поштучно перепродают тем, кто уже будет разбираться как и с какой целью
этими сайтами воспользоваться. Поэтому иногда и бывают ситуации, что после
взлома на сайт сразу же вешается какая-то левая фигня, а бывает, что
загружается только шелл и все, больше видимых вмешательств достаточно
долгое время не делается.
Т.е. первое, что стоит сделать для обеспечения базовой защиты — это сменить
логин и пароль. Для генерации сложного пароля можно просто вслепую
понажимать все подряд на клавиатуре, либо воспользоваться онлайн
генераторами, типа http://www.onlinepasswordgenerator.ru/
Важно! Не удалите вместе с этим и все записи, которые сделаны как админ,
переназначьте их на нового пользователя.
Для этого нужно использовать плагин Limit Login Attemps или аналоги,
которые ограничивают количество неверных попыток авторизаций. Если с
какого-то айпи будет сделано больше чем допустимое количество ошибок,
обычно 2-3, то для этого айпи доступ к админке будет закрыт.
Следует учитывать, что софт по добыче шеллов попадает в самые разные руки
и уровень грамотности у их владельцев может быть на уровне первого класса,
и сплошь и рядом возникают ситуации, когда криво настроенным софтом сайт
<Files wp-login.php>
SetEnvIf Remote_Addr "^1.2.3.4|^128.128" addr
Order Deny,Allow
Deny from all
Allow from env=addr
</Files>
или
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 1.2.3.4
Allow from 128.128
</Files>
<files wp-config.php>
Order Allow,Deny
Deny from All
</files>
Чтобы закрыть для всех посторонних доступ к папке wp-admin, внутрь этой
папки кладется файл .htaccess с следующим содержимым
Order Deny,Allow
Deny from all
Allow from 1.2.3.4
Allow from 128.128
Таким образом, извне никто не сможет попасть в админку сайта, даже зная
логин и пароль.
Для Вордпресс
RewriteCond %{REQUEST_URI} ^/wp-login.php$
RewriteRule ^(.*) - [F,L]
Для Джумла
RewriteCond %{REQUEST_URI} ^/administrator$
RewriteRule ^(.*) - [F,L]
Для Друпал
RewriteCond %{REQUEST_URI} ^/admin$ [OR]
RewriteCond %{REQUEST_URI} ^/user$
RewriteRule ^(.*) - [F,L]
и т. п.
Для взломщиков это удобно — стоит поломать один админский доступ к серверу
и сразу же получить доступ ко всем клиентским аккаунтам на нем. Или через
один клиентский аккаунт попасть во все остальные. Поэтому будь у вас хоть
супер-пупер пароль и хитрые настройки сайта, к вам влезут и напакостят через
соседей.
Если не знаете — что это за плагин и что в нем внутри, ни в коем случае не
используйте. Или как минимум проверяйте архив антивирусом и визуально
просматривайте файлы на подозрительный код.
Скопируйте эти файлы себе на сайт, чтобы посмотреть как они работают и что
делают.
Посмотрим, что нам показывает по ссылке nda.php
Ну а что делать дальше — вы в курсе, удалите эту всю нечисть с своих сайтов.
В автоматическом режиме можно сделать примерно так: настраиваете плагин
бекапа сайта, который заливает копию бекапа на дропбокс. Затем
устанавливаете приложение дропбокса, которое скачивает содержимое
аккаунта в папку на компьютере. И создаете для антивируса задание по
расписанию с регулярной проверкой этой папки с опцией проверки
содержимого архивов.