Chapay: /* Найти последние измененные файлы */

2018-07-21T22:48:55Z

Найти последние измененные файлы

← Предыдущая		Версия 22:48, 21 июля 2018
Строка 27:		Строка 27:
	find . -type f -mtime -7		find . -type f -mtime -7
	find . -type f -mtime -30		find . -type f -mtime -30
-	find . -type f -mtime -30 -name="*.php"	+	find . -type f -mtime -30 -name "*.php"

	Файлы, которые были созданы в последний месяц		Файлы, которые были созданы в последний месяц

Chapay в 09:38, 15 декабря 2017

2017-12-15T09:38:28Z

← Предыдущая		Версия 09:38, 15 декабря 2017
Строка 65:		Строка 65:
	ls --full-time 123.php		ls --full-time 123.php

		+	===Поиск base64 и обфускации кода===
		+	Одна команда найдет практически все факты заражения - но и много нормальных здоровых файлов, поэтому её следует использовать с осторожностью и повышенной внимательностью
		+	egrep -r '[a-zA-Z]+[0-9]+[a-zA-Z]+[0-9]+[a-zA-Z]+[0-9]+[a-zA-Z]+[0-9]+' .

	===Сложные случаи===		===Сложные случаи===

Chapay в 16:39, 20 июля 2016

2016-07-20T16:39:49Z

← Предыдущая		Версия 16:39, 20 июля 2016
Строка 5:		Строка 5:
	<p>Вы должны знать основы программирования, уметь пользоваться консольными программами и официальной документацией от разработчиков.</p>		<p>Вы должны знать основы программирования, уметь пользоваться консольными программами и официальной документацией от разработчиков.</p>

-	В связи с тем, что на сервере могут обновиться версии программ, измениться конфигурация приложений, документация в статье может не соответствовать действительности, поэтому вы должны быть готовы разобраться с возможными проблемами <b>самостоятельно</b> или с помощью специалистов из платной поддержки ~~http://1gbsup~~.~~ru/paidsu~~/, обычная поддержка хостинга <b>не оказывает</b> консультации по установке и отладке скриптов и лечению сайтов.	+	В связи с тем, что на сервере могут обновиться версии программ, измениться конфигурация приложений, документация в статье может не соответствовать действительности, поэтому вы должны быть готовы разобраться с возможными проблемами <b>самостоятельно</b> или с помощью специалистов из платной поддержки <b>spp@1gb.ua</b>, обычная поддержка хостинга <b>не оказывает</b> консультации по установке и отладке скриптов и лечению сайтов.
	</td>		</td>
	</tr>		</tr>

Rekby в 15:49, 18 августа 2014

2014-08-18T15:49:47Z

Новая статья

<table cellspacing="0">
<tr style="background: #F7D9D9">
<td width="850px" style="vertical-align:top; border-top: 1px solid #D63838; border-left: 1px solid #D63838; border-bottom: 1px solid #D63838; border-right: 1px solid #D63838; padding: 1em;">
<span style="font-size: 16px; font-weight: bold;">Данная статья предназначена для технических специалистов.</span>
<p>Вы должны знать основы программирования, уметь пользоваться консольными программами и официальной документацией от разработчиков.</p>

В связи с тем, что на сервере могут обновиться версии программ, измениться конфигурация приложений, документация в статье может не соответствовать действительности, поэтому вы должны быть готовы разобраться с возможными проблемами <b>самостоятельно</b> или с помощью специалистов из платной поддержки http://1gbsup.ru/paidsu/, обычная поддержка хостинга <b>не оказывает</b> консультации по установке и отладке скриптов и лечению сайтов.
</td>
</tr>
</table>

Примерный список действий, которые необходимо выполнить. Предполагается что у вас есть доступ к сайту по ssh. В каждом пункте дано краткое описание того что нужно сделать и примеры команд.

Для вычищения кода сайта необходимо найти и вручную проверить подозрительные файлы. Потом поискать на сайте все файлы, которые могут быть похожи на найденные.
Когда файлы найдены нужно посмотреть время их изменения, посмотреть логи веб-сервера за указанное время, поискать подозрительную активность. Если что-то нашлось - посмотреть все запросы с этого же ip адреса, возможно выявятся какие-то новые, ранее не найденные дырки. Через такой анализ логов можно понять как сайт был заражен и лечить его местно.

После проведения ручной чистки нужно удалить с сайта всё что не требуется для его работы - старые копии сайта, содержимое кэша (он создастся заново), файлы из временных папок.

Если сайт на каком-то популярном движке - ПОСЛЕ вычищения всего вредоносного кода нужно обновить его до последней версии.

===Проверить .htaccess===
Проверьте .htaccess на предмет наличия подозрительных записей. При проверке нужно включить в редакторе перенос длинных строк, т.к. часто злоумышленники добавляют в начало вредоносных строк много пробелов, чтобы при беглом взгляде вредоносный код был незаметен. Так же стоит просмотреть весь .htaccess а не только видимое начало - перед вредоносным блоком может быть много пустых строк.

===Найти последние измененные файлы===
Посмотреть какие файлы менялись за последнее время (3 дня, неделю, месяц)
find . -type f -mtime -3
find . -type f -mtime -7
find . -type f -mtime -30
find . -type f -mtime -30 -name="*.php"

Файлы, которые были созданы в последний месяц
find . -type f -ctime -30

Можно посмотреть файлы, которые менялись больше недели назад и меньше месяца назад
find . -type f -mtime +7 -mtime -30

===Файлы, содержащие подозрительные команды===
grep -Hn "eval.*base64" -r . --include="*.php"
grep -lHnz -E 'base64_decode.*eval\s*\(' -r . --include="*.php"
grep -Hn "shell_exec\s*(" -r . --include="*.php"
grep -Hn "exec\s*(" -r . --include="*.php"
grep -Hn "eval\s*(" -r . --include="*.php"
grep -Hn "assert\s*(" -r . --include="*.php"
grep -Hn "create_function\s*(" -r . --include="*.php"
grep -Hn "gzuncompress\s*(" -r . --include="*.php"
grep -Hn "gzinflate\s*(" -r . --include="*.php"
grep -Hn "str_rot13\s*(" -r . --include="*.php"
grep -Hn "preg_replace\s*(" -r . --include="*.php"
grep -Hn "file_get_contents\s*(" -r . --include="*.php"
grep -Hn "curl_exec\s*(" -r . --include="*.php"
grep -Hn "move_uploaded_file\s*(" -r . --include="*.php"

===Файлы с подозрительно длинными строками===
grep -Hn -E '[^\ ]{200,}' -r . --include="*.php"

===Файлы с расширением НЕ php, содержащие php код===
<nowiki>grep -lHnz -E '<\?(php)?[[:space:]].*\?>' -r . --exclude="*.php"</nowiki>

===Файлы, которые лежат там, где лежать не должны===
Например для joomla при взломе php код часто попадает в папку с картинками
find http/images/ -type f -name "*.php"

===Посмотреть точное время изменения файла для поиска по логам===
ls --full-time 123.php

===Сложные случаи===
====Сканеры с подробным отчетом====
Яндекс и гугль выдают только факт заражения сайта/страницы, без уточнения деталей. Для более подробного ответа можно воспользоваться другими сканерами, например
http://sitecheck.sucuri.net/scanner/

====Проверка трафика====
# Установите программу-прокси [http://fiddler2.com/ Fiddler2], при запуске она сама прописывается в качестве прокси по умолчанию в популярные браузеры, потом при завершении снова отключается.
# Очистите кэш и куки браузера - это важно, часть вирусов проверяют куки и выдаются каждому посетителю только 1 раз
# Зайдите на сайт и посмотрите есть ли подозрительные запросы, особенно на сторонние домены
# Если нет - попробуйте сначала найти сайт в поисковике, потом перейдите на него из поисковика - это тоже может учитываться.

[[Категория:Безопасность]]

Лечение сайта от внедрений php-кода - История изменений

Chapay: /* Найти последние измененные файлы */

Chapay в 09:38, 15 декабря 2017

Chapay в 16:39, 20 июля 2016

Rekby в 15:49, 18 августа 2014