Ответы пользователя по тегу Информационная безопасность
  • Как бороться с хакерами на сервере?

    madguru
    @madguru
    Wordpress довольно часто подвергается взломам, и большей частью благодаря установленным дополнениям, которые пользователь не обновляет. В декабре была найдена уязвимость в популярном модуле ( редактор текста, точно не помню какой ), через который ботами заливают shell на сервера.
    Если заливали действительно через уязвимость в Wordpress или его дополнении, то можно сделать поиск по файлам через find, примерно так:

    find /WWWDIR \( -name "*.php" -o -name "*.html" -o -name "*.htm" \) -exec egrep -Hni 'gzinflate\(base64_decode|eval\(base64_decodeshell_exece|doced_46esab|eval\(' {} \; | cut -c 1-150

    WWWDIR — каталог где у Вас сайт располагается.
    Советую проверить в настройках апача ( если перед ним нет nginx, раздающего статику ), есть ли для файлов типа *.png, *.html и т.п. x-httpd-php Aplication Type, ну и в .htaccess так же проверить через find

    find /WWWDIR -name ".htaccess" -exec egrep -iHnr 'application\/x-httpd-php .*(gif|html|jpeg|jpg|doc|txt)' {} \;
    Можно сканировать вобще по всем файлам.

    Если у Вас на сервере на апаче много сайтов и все работают от одного пользователя — сканировать нужно все сайты :)
    Если взломали через ssh — тут тяжелее, в любом случае стоит проверить кто последний и откуда подключался к серверу.

    Да, желательно иметь доступ к серверу по ssh :)
    Ответ написан
    1 комментарий