Как устранить уязвимость
- Автор темы bvb
- Дата начала
- Статус
E-body
Мой дом здесь!
- Регистрация
- 6 Сен 2007
- Сообщения
- 990
- Реакции
- 340
Если хостинг разрешает использовать свой .htaccess , то положи его в папку уплоад, внутри хтаццес-а запрет на работу php
можно еще намудрить
Произведи следующий набор манипуляций:
Проверка расширения
Проверка mime-type
Создание нового изображения из полученного файла
Обрезка и масштабирование картинки, сохранение нового файла
Если уже залили шелл, то испортили весь сайт через него 100% (понатыкали резервные копии шеллов в другие папки)
можно еще намудрить
PHP:
# запрет листинга всех папок и под-папок
Options -Indexes
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
# Отключаем PHP.
RemoveType php
<IfModule mod_php4.c>
php_flag engine 0
</IfModule>
<IfModule mod_php5.c>
php_flag engine 0
</IfModule>
# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
# запрет доступа к файлам
Order Deny, Allow
Deny from allПроизведи следующий набор манипуляций:
Проверка расширения
Проверка mime-type
Создание нового изображения из полученного файла
Обрезка и масштабирование картинки, сохранение нового файла
Если уже залили шелл, то испортили весь сайт через него 100% (понатыкали резервные копии шеллов в другие папки)
WuZi
Постоялец
- Регистрация
- 2 Окт 2008
- Сообщения
- 95
- Реакции
- 40
Только ламер будет заливать шелл, который палится антивирусом. Достаточно внести некоторые изменения в сурс, чтобы шелл не попадал под сигнатуру и все.
Так и нужно делать всегда. Прежде чем помещать на сервер картинку от пользователя ее (картинку) нужно соответствующим образом обработать. Это исключает возможность залить шелл через картинку.
oxxxy
Постоялец
- Регистрация
- 30 Авг 2009
- Сообщения
- 66
- Реакции
- 5
Дали советы как узбиватся от конкретного этого шелла, но ведь кто знает где и сколько их спрятано. Надо не шеллы удалять, а в первую очередь латать уязвимости, через которые они заливаются и будут заливаться и далее, если их не закрыть.
Тут возможно три варианта:
- Брешь находится у всего хостера. Поимев шелл на одном из соседних сайтов при коряво настроенном сервере злоумышленникам не составляет труда добраться до остальных сайтов на этом хостере.
- Уязвимости в движке. Если вы используете самописный движок, то имеет смысл заказать аудит кода, либо самому тщательно разбираться в коде, выявлять и латать всевозможные опасные места в вашей системе.
Если же вы используете одну из популярных цмс, то имеет смысл пройтись по баг-трекерам и посмотреть, нет ли там новых сведений об уязвимостях в используемом вами движке ( часто, популярные движки используют всевозможные модули и хаки, которые пишутся сторонними разработчиками, и соответственно, найти уязвимости в таких скриптах куда легче, чем в самой цмс)
- Ваша личная безопасность. Постоянно будьте на чеку в плане безопасности личного компьютера. Всевозможные вариации троянов сейчас невероятно популярны - ведь возможно украсть всю информацию, начиная с личной мейл-переписки и аккаунтам к личным и остальным сайтам, заканчивая веб-мани кошельками и личных фото-архивов.
Тут возможно три варианта:
- Брешь находится у всего хостера. Поимев шелл на одном из соседних сайтов при коряво настроенном сервере злоумышленникам не составляет труда добраться до остальных сайтов на этом хостере.
- Уязвимости в движке. Если вы используете самописный движок, то имеет смысл заказать аудит кода, либо самому тщательно разбираться в коде, выявлять и латать всевозможные опасные места в вашей системе.
Если же вы используете одну из популярных цмс, то имеет смысл пройтись по баг-трекерам и посмотреть, нет ли там новых сведений об уязвимостях в используемом вами движке ( часто, популярные движки используют всевозможные модули и хаки, которые пишутся сторонними разработчиками, и соответственно, найти уязвимости в таких скриптах куда легче, чем в самой цмс)
- Ваша личная безопасность. Постоянно будьте на чеку в плане безопасности личного компьютера. Всевозможные вариации троянов сейчас невероятно популярны - ведь возможно украсть всю информацию, начиная с личной мейл-переписки и аккаунтам к личным и остальным сайтам, заканчивая веб-мани кошельками и личных фото-архивов.
Neow15ard
Постоялец
- Регистрация
- 26 Ноя 2008
- Сообщения
- 418
- Реакции
- 190
По мне так последовальность такая - найти шел ( по наличию eval or base64 ) ,
затем найти в логах как он появился. (если серв корректно настроен и еще без руткита то в логах он будет) проследить ход действий. вычистить, закрыть.
Поставить на серв clamav, rkhunter etc...
Ну блокировать запуск .php Не лишне конечно..(хотя если есть Perl то не поможет)
затем найти в логах как он появился. (если серв корректно настроен и еще без руткита то в логах он будет) проследить ход действий. вычистить, закрыть.
Поставить на серв clamav, rkhunter etc...
Ну блокировать запуск .php Не лишне конечно..(хотя если есть Perl то не поможет)
ihrik
Гуру форума
- Регистрация
- 24 Янв 2009
- Сообщения
- 311
- Реакции
- 92
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
- Заблокирован
- #8
В добавок
Если шелл в отдельном файле а их очень много, Можно запаковать весь сайт лежащий на сервере в архив - бэкапом или еще какнить... и потом с компа проверить антивирусом Kaspersky internet Security..
Каспер знает известные шеллы.
демка полнофункциональная на 30 дней и потом можно сбросить её снова..
Найти еще где шелл можно сканерамами типа XSpider и другими..
и Проблема может быть у сервера а не у тя....
Надо думать про другой хостинг если проблема не решается
Если шелл в отдельном файле а их очень много, Можно запаковать весь сайт лежащий на сервере в архив - бэкапом или еще какнить... и потом с компа проверить антивирусом Kaspersky internet Security..
Каспер знает известные шеллы.
демка полнофункциональная на 30 дней и потом можно сбросить её снова..
Найти еще где шелл можно сканерамами типа XSpider и другими..
и Проблема может быть у сервера а не у тя....
Надо думать про другой хостинг если проблема не решается
antiadmin
Местный житель
- Регистрация
- 24 Май 2008
- Сообщения
- 395
- Реакции
- 24
Честно говоря, особо толковых советов не увидел.
Во первых, скачиваешь ВСЕ логи к себе на комп, и неспеша читаешь их, для того что бы выяснить, как шелл попал на хост. Вариантов может быть уйма, шелл можно загрузить как через багу в движке, так и через фтп, украв пароли с компа администратора (что маловероятно, конечно). Если попытки увенчаются успехом - просто прикрываешь багу (если найдешь - стукни в ПМ, расскажу как), иначе потребуется заказать аудит безопасности у крутых парней ;-)
P.S. Если под видом картинки, то скорее всего бага находится в какой то из форм загрузки чего либо - уязвимость движка.
Во первых, скачиваешь ВСЕ логи к себе на комп, и неспеша читаешь их, для того что бы выяснить, как шелл попал на хост. Вариантов может быть уйма, шелл можно загрузить как через багу в движке, так и через фтп, украв пароли с компа администратора (что маловероятно, конечно). Если попытки увенчаются успехом - просто прикрываешь багу (если найдешь - стукни в ПМ, расскажу как), иначе потребуется заказать аудит безопасности у крутых парней ;-)
P.S. Если под видом картинки, то скорее всего бага находится в какой то из форм загрузки чего либо - уязвимость движка.
- Статус