Воскресенье , 16 Декабрь 2018
Home / Vbulletin 4 / Взломали форум — начинаем восстанавливать (Часть 8)
Восстановление Часть 8
Восстановление Часть 8

Взломали форум — начинаем восстанавливать (Часть 8)

По моему собственному опыту, даже с учетом всех предыдущих частей, вы не всегда сможете найти все инфекции на форуме. Часть 8. Есть и другие места, где возможно, хакеры, встроили свои вредоносные программы в файлы на сервере. Такие как php шелы, back doors, встроенные в пользовательские upload каталоги, особенно в тех папках в которых вы информацию переносите с базы данных. Эти каталоги включают в себя:

customavatars
customgroupicons
customprofilepics
signaturepics
attachments

Может быть будет разумно разместить в этих каталогах файл .htaccess, чтобы предотвратить публичный доступ к файлам с расширением *.php, поскольку данные каталоги изначально не предназначены для хранения php файлов.

Автор: Алексей Раков

<FilesMatch ".(php|php3|php4|php5|phps)$">
 Order Allow,Deny
 Deny from all
</FilesMatch>

Вот некоторые примеры вредоносных .htaccess, php и js файлов обнаруженных при поиске на сервере.

Для каталогов customavatars

/home/username/public_html/forum1/customavatars/r00t/hosts/.htaccess
/home/username/public_html/forum1/customavatars/r00t/.htaccess
/home/username/public_html/forum1/customavatars/r00t1/hosts/.htaccess
/home/username/public_html/forum1/customavatars/r00t1/.htaccess
/home/username/public_html/forum1/customavatars/r00t-vleech/hosts/.htaccess
/home/username/public_html/forum1/customavatars/r00t-vleech/.htaccess

Содержимое каталога

ls -lah /home/username/public_html/forum1/customavatars/r00t
total 292K
d--------- 5 root   root   4.0K Sep 24 11:51 ./
drwxrwxrwx 6 username username  12K Sep 27 11:52 ../
---------- 1 root   root    498 Sep 24 11:51 .htaccess
---------- 1 root   root   6.6K Sep 16 18:23 account.php
---------- 1 root   root    28K Jun 16 14:15 add.php
---------- 1 root   root    13K Jul  8 07:23 ajax.js
---------- 1 root   root    98K Jun 16 14:15 checkaccount.php
---------- 1 root   root    52K Sep 17 19:14 class.php
---------- 1 root   root   3.9K Sep 17 19:14 config.php
d--------- 5 root   root   4.0K Sep 24 15:20 data/
---------- 1 root   root   1.5K Sep 25 05:48 error_log
---------- 1 root   root   1.8K Jun 16 14:15 genystyle.css
d--------- 2 root   root   4.0K Sep 24 11:49 hosts/
d--------- 2 root   root   4.0K Sep 24 11:49 images/
---------- 1 root   root    13K Sep 16 18:21 index.php
---------- 1 root   root   5.3K Jun 16 14:15 languages.php
---------- 1 root   root   1.8K Jun 16 14:15 login.php
---------- 1 root   root   5.2K Jun 16 14:15 rl_style_pm.css

Для каталогов вложений один из админов форума сделал ошибку, и сохранял все вложения в открытом каталоге форума, к которому у всех был доступ. Я бы не советовал так делать, я предпочитаю хранить вложения на один каталог выше директории форума, вместо /home/username/public_html/forum/attachments я использую /home/username/public_html

/home/username/public_html/forum3/attachments/r00t/hosts/sendspace_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/bayfiles_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/oron_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/zippyshare_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/rapidgator_net.php
/home/username/public_html/forum3/attachments/r00t/hosts/ryushare_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/bitshare_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/depfile_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/jumbofiles_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/fshare_vn.php
/home/username/public_html/forum3/attachments/r00t/hosts/linksnappy_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/filejungle_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/rpnet_biz.php
/home/username/public_html/forum3/attachments/r00t/hosts/depositfiles_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/gigasize_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/hosts.php
/home/username/public_html/forum3/attachments/r00t/hosts/uploading_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/fp_io.php
/home/username/public_html/forum3/attachments/r00t/hosts/fileflyer_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/uploaded_to.php
/home/username/public_html/forum3/attachments/r00t/hosts/alldebrid_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/lumfile_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/simply-debrid_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/fileserve_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/enterupload_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/filefactory_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/uploaded_net.php
/home/username/public_html/forum3/attachments/r00t/hosts/hotfile_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/share-online_biz.php
/home/username/public_html/forum3/attachments/r00t/hosts/shragle_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/megashares_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/ul_to.php
/home/username/public_html/forum3/attachments/r00t/hosts/crocko_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/premiumize_me.php
/home/username/public_html/forum3/attachments/r00t/hosts/youtube_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/netload_in.php
/home/username/public_html/forum3/attachments/r00t/hosts/filesmonster_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/fileape_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/wupload.php
/home/username/public_html/forum3/attachments/r00t/hosts/easy-share_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/fast-debrid_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/cloudnator_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/multi-debrid_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/real-debrid_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/filepost_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/rehost_to.php
/home/username/public_html/forum3/attachments/r00t/hosts/letitbit_net.php
/home/username/public_html/forum3/attachments/r00t/hosts/uploadstation_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/debridmax_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/4shared_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/mediafire_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/i-filez_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/extabit_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/4share_vn.php
/home/username/public_html/forum3/attachments/r00t/hosts/filesonic.php
/home/username/public_html/forum3/attachments/r00t/hosts/conexaomega_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/freakshare_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/superlinksbr_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/rapidshare_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/filevelocity_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/hipfile_com.php
/home/username/public_html/forum3/attachments/r00t/hosts/turbobit_net.php
/home/username/public_html/forum3/attachments/r00t/checkaccount.php
/home/username/public_html/forum3/attachments/r00t/index.php
/home/username/public_html/forum3/attachments/r00t/languages.php
/home/username/public_html/forum3/attachments/r00t/account.php
/home/username/public_html/forum3/attachments/r00t/data/cookie.php
/home/username/public_html/forum3/attachments/r00t/data/index.php
/home/username/public_html/forum3/attachments/r00t/data/files/index.php
/home/username/public_html/forum3/attachments/r00t/login.php
/home/username/public_html/forum3/attachments/r00t/add.php
/home/username/public_html/forum3/attachments/r00t/class.php
/home/username/public_html/forum3/attachments/r00t/config.php
/home/username/public_html/forum3/attachments/5/vleech/me.php
/home/username/public_html/forum3/attachments/me.php
/home/username/public_html/forum2/attachments/5/signature.php

Удаление вредоносных файлов

Чтобы найти каталоги с *.php файлами можно использовать сканирование (с помощью команды find), мы получим имена коталогов, а затем и вывод в готовом виде для последующего удаления командой (rm -rf dirname).

Хочу предупредить, что нужно быть на 100% уверенным, что вы не удаляете фактически используемые каталоги. Тоесть все удаление лучше проводить в ручном режиме. Если вы уже сделали резервную копию файлов форума, как я описывал в ведении, то можете спокойно продолжать.

Фактически следующая команда используется для каталога customavatars, незабудьте заменить /home/username/public_html/*/customavatars на ваш путь. Я использовал этот шаблон, потому что на сервере было установлено несколько форумов.

for d in $(find /home/username/public_html/*/customavatars -type f -name "*.php" -print); do dir=$(dirname $d); echo "rm -rf $dir"; done | sort -u

В результате этого запроса, вы получите готовые команды для ручного удления каталогов, каждого по отдельности.

rm -rf /home/username/public_html/forum1/customavatars/r00t
rm -rf /home/username/public_html/forum1/customavatars/r00t-vleech
rm -rf /home/username/public_html/forum1/customavatars/r00t-vleech/data
rm -rf /home/username/public_html/forum1/customavatars/r00t-vleech/data/files
rm -rf /home/username/public_html/forum1/customavatars/r00t-vleech/hosts
rm -rf /home/username/public_html/forum1/customavatars/r00t/data
rm -rf /home/username/public_html/forum1/customavatars/r00t/data/files
rm -rf /home/username/public_html/forum1/customavatars/r00t/hosts
rm -rf /home/username/public_html/forum1/customavatars/r00t1/data/files

Для директории вложений, я должен был удалить несолько файлов которые находились выше основной папки форума, прежде чем дать команду find, сделано это было, чтобы я по ошибке не удалил фактические каталоги вложений (аттачей)

rm -rf /home/username/public_html/forum3/attachments/me.php
rm -rf /home/username/public_html/forum2/attachments/5/signature.php
rm -rf /home/username/public_html/forum3/attachments/9/8/511.php

Теперб давайте все тоже самое сделаем и для аттачей, как мы это сделали с customavatars. Замените только путь /home/username/public_html/*/attachments на ваш каталог вложений.

for d in $(find /home/username/public_html/*/attachments -type f -name “*.php” -print); do dir=$(dirname $d); echo “rm -rf $dir”; done | sort -u

В результате мы получаем список команд для удаления каталогов с php файлами.

rm -rf /home/username/public_html/forum3/attachments/5/vleech
rm -rf /home/username/public_html/forum3/attachments/r00t
rm -rf /home/username/public_html/forum3/attachments/r00t/data
rm -rf /home/username/public_html/forum3/attachments/r00t/data/files
rm -rf /home/username/public_html/forum3/attachments/r00t/hosts

Ну вот и все, наэтом цикл статей о востановлении форума я закрываю, не получилось растянуть на 10 частей, но это и не так важно. В любом случае любую часть можно дополнить. И надеюсь вы быстро почините свой форум если его взломали.

Рейтинг статьи

0%

Рейтинг

Оцените данный материал!

User Rating: Be the first one !

About artscripts

Check Also

Nginx восстановление часть 5

Взломали форум — начинаем восстанавливать (Часть 5)

Теперь для пущей безопасности, мы с вами закроем доступ к нашей папке AdminCP . Для …

One comment

  1. Pingback: Взломали форум — начинаем восстанавливать (Введение) - Изучаем Vbulletin

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.