Несанкционированный доступ к сайту, каким образом обезопаситься?

Question

[Игорь Шутник]

Здравствуйте!
Возникло подозрение, что злоумышленники получили доступ к дистрибутиву с сайтом.
Проверил антивирусом на хостинге (ClamAV), ничего не нашлось.
Сменил пароли от админ панели и фтп.

Хостер рекомендует проверить скрипты, каким образом сделать это, я не знаю.
Возможно, доступ осуществлялся с помощью веб-шелл.

Подскажите, как обезопаситься и провести проверку?

Answer 1

[ThunderCat]

если есть бэкап или оригинал кода не залитый на сервер - скачать и проверить на совпадение файлов(для начала по размеру хотя бы). Если все ок - проверить на наличие более серьезно, проверть даты изменения файлов на сервере, проверить на совпадение по содержимому, где-то мелькала утилитка для проверки хешей файлов, пробейте по гуглу.

Comments

[Игорь Шутник]

Проверяю данной утилитой - https://www.revisium.com/ai/ . Бэкап есть, но он сделан на основе рабочего проекта. Отталкиваться не от чего.

[ThunderCat]

Игорь Шутник: тогда смотрите даты изменения, логически - файлы скриптов не должны меняться после заливки на хостинг. Если только это не патчи. В любом случае - проверить все что менялось позже чем заливка на хостинг.

[Игорь Шутник]

ThunderCat: Ситуация в целом странная. У меня с хостинга пропал весь дистрибутив сайта. Я обратился к фрилансеру, ответа не получил. Восстановил проект из бэкапов, хранящихся на стороне хостера, теперь то никак не проверить по датам, верно? Сама ситуация усложняется тем, что с фреймворком я раньше не работал и для меня это вообще дикий лес :(

[ThunderCat]

Игорь Шутник: ну, тут уж действительно странная.. с фрилансером как расстались? Норм или были шероховатости? Человек мог себе бэкдор написать вполне, без анализа "по косточкам" хрен найдешь. Базы целы? или тоже из бэкапов?

[Игорь Шутник]

ThunderCat: Были шероховатости, но работу я оплатил полностью, хоть и остались нюансы, которые я требовал исправить. Не вижу мотива так поступать. Зашел сейчас на фрилансим, а там его учетка заблокирована

[ThunderCat]

Игорь Шутник: ну, что делать, следите за бэкапами, смените пароли, в идеале конечно неплохо попросить кого-нибудь из знакомых прогеров хотя бы мельком глянуть код на очевидные "дыры". Базу берегите. Сделайте бэкап базы обязательно.

[Игорь Шутник]

ThunderCat: Спасибо за Ваши советы! Пароли то поменял и от админ панели и от фтп, а глянуть код некому, да и сам я не понимаю что к чему, так как laravel впервые вижу, мне все в нем кажется подозрительно. А если доступ выставить только с моего ip, это врядли поможет, верно?

[ThunderCat]

Игорь Шутник: есть подозрение что доступ не через аккаунт, скорее через один из скриптов, так что да, вряд ли, но я бы все равно сделал, хуже не будет, а если атака повторится это точно отсечет варианты доступа по аккаунту.

[Игорь Шутник]

Наткнулся на совет на тостере:

"php — ищем в коде: eval, base64"

Нашел некий php - парсер
Вот он, вроде как - https://github.com/nikic/PHP-Parser

Он хранит в себе файл - /lib/PhpParser/Node/Expr/Eval_.php
Может ли он быть вредоносным?

Голова уже не соображает......

Answer 2

[xmoonlight]

А откуда уверенность, что web-shell находится именно в файлах?!)
Он может быть и в базе данных.
Лучший вариант (если нет "чистой" копии бэкапа): логирование входящих и исходящих запросов с пометкой "хороших" пакетов, все "плохие" - блокируем и алертим на почту.
Все входящие запросы должны идти на единую точку входа в приложение: там и настраиваем этот фильтр.
PHP security tips

Comments

[Игорь Шутник]

Уверенность отсутствует, так как отсутствует хоть какое то знание в данных вопросах...

[xmoonlight]

Игорь Шутник: тогда только фильтр и настройка.

[Игорь Шутник]

xmoonlight: Хостер обнаружил подозрительные POST запросы. Скопировал часть - POST /auth HTTP/1.1 и первая же статья в поиске, на хабре, про прослушивание канала по типу man in the middle, сразу универ вспомнился......

[xmoonlight]

Игорь Шутник: а у вас есть доступ в web-приложение по этому запросу?

[Игорь Шутник]

xmoonlight: Как я понял, данный запрос - это обычный переход к админке, у меня данный доступ имеется

[Игорь Шутник]

xmoonlight: А еще нашел занятную таблицу password_reset, в которой хранятся данные нехорошего человека, а вот записи нет возможности удалить.

[xmoonlight]

Игорь Шутник: по имени таблицы поищите в файлах, а на таблицу - проверьте права...

[xmoonlight]

Игорь Шутник: "Как я понял, данный запрос - это обычный переход к админке, у меня данный доступ имеется" - ой-ё...., отдайте это лучше специалистам!

[Игорь Шутник]

xmoonlight: Файл нашел, на сколько я понял, он связан с миграциями, права на нем 644 на данный момент

[Игорь Шутник]

xmoonlight: Уже почитал, понял, что глупости, найти бы специалистов то...........

[xmoonlight]

Игорь Шутник: Вам надо делать то, что я написал со специалистами.... читайте мой ответ внимательно.. (фильтровать все запросы через единую точку входа, мониторить исходящий трафик)

[Игорь Шутник]

xmoonlight: Еще раз большое спасибо за внимание к проблеме!

[xmoonlight]

Игорь Шутник: чтобы такого не было - Как защитить сайты от взлома?

Answer 3

[Роман Дворянов]

https://www.revisium.com/ai/

Comments

[Игорь Шутник]

Пишет - Вредоносные скрипты не найдены. Попробуйте сканер в режиме "Параноидальный".

А ниже - Обнаружены сигнатуры исполняемых файлов unix и нехарактерных скриптов. Они могут быть вредоносными файлами (17)

[Роман Дворянов]

Игорь Шутник: ну имеется в виду вредоносные не найдены это js скрипты, а unix и прочее это уже относящиеся к вашему серверу

Answer 4

[Андрей Михалёв]

1. Первое что нужно сделать - поставить нормальные права на файлы и директории:

#для директорий
find /path/to/dir/ -type d -exec chmod 775 {} \;
#для файлов
find /path/to/dir/ -type f -exec chmod 664 {} \;

процесс может занять длительное время, в зависимости от количества файлов.
2. Доступ в админку нужно ограничивать входом только с определенного IP (htaccess в помощь).
3. посмотреть структуру всего сайта, и найти возможное место где может располагаться зловред
find /path/to/dir/ -type d | less
4. открыть логи веб-сервера, и пересмотреть к каким ресурсам обращаются, возможно будет подсказка где и что искать.
p.s. добавлю что большая часть проблем на сайте возникает из-за не правильных прав на файлы. заливается шелл и на вашем сайте появляется куча сторонних... мне достался так один сайт... случайно забил в гугле домен получил в ответ более 10 страниц которые использовали злоумышленники для распространения своего вируса...

Comments

[Игорь Шутник]

Здравствуйте! Спасибо за комментарии! Буду пробовать

[Игорь Шутник]

Ограничить доступ входом только с определенного ip не могу, так как использую йоту, или я что то не знаю

[Андрей Михалёв]

Игорь Шутник: это не жесткие правила защиты, а рекомендации) поэтому все делать на своё усмотрение =)

Answer 5

[keslo]

У меня были тоже такие вопросы. Для начала решил ввести контроль изменения файлов CMS на хостинге. Для этого нашел неплохое решение САНТИ. Решение бесплатное.

В составе много дополнительных плюшек в виде бэкапов и самолечения. Пользую пару месяцев. Полет нормальный.

Comments

[Андрей Михалёв]

вы должны понимать, что любой антивирус - это не 100% гарантия защиты. есть куча примеров когда зловреды долго не удается выявить. да и сейчас любой вирус сначала проверяют на таких антивирусах, а уже после запускают в "продакшн"

[Игорь Шутник]

Андрей Михалёв: Понимание есть, поэтому и продолжаю поиск