Воскресенье , 25 Февраль 2018
Home / Vbulletin 4 / Взломали форум — начинаем восстанавливать (Часть 8)
Восстановление Часть 8
Восстановление Часть 8

Взломали форум — начинаем восстанавливать (Часть 8)

По моему собственному опыту, даже с учетом всех предыдущих частей, вы не всегда сможете найти все инфекции на форуме. Часть 8. Есть и другие места, где возможно, хакеры, встроили свои вредоносные программы в файлы на сервере. Такие как php шелы, back doors, встроенные в пользовательские upload каталоги, особенно в тех папках в которых вы информацию переносите с базы данных. Эти каталоги включают в себя:

customavatars
customgroupicons
customprofilepics
signaturepics
attachments

Может быть будет разумно разместить в этих каталогах файл .htaccess, чтобы предотвратить публичный доступ к файлам с расширением *.php, поскольку данные каталоги изначально не предназначены для хранения php файлов.

Автор: Алексей Раков

Вот некоторые примеры вредоносных .htaccess, php и js файлов обнаруженных при поиске на сервере.

Для каталогов customavatars

Содержимое каталога

Для каталогов вложений один из админов форума сделал ошибку, и сохранял все вложения в открытом каталоге форума, к которому у всех был доступ. Я бы не советовал так делать, я предпочитаю хранить вложения на один каталог выше директории форума, вместо /home/username/public_html/forum/attachments я использую /home/username/public_html

Удаление вредоносных файлов

Чтобы найти каталоги с *.php файлами можно использовать сканирование (с помощью команды find), мы получим имена коталогов, а затем и вывод в готовом виде для последующего удаления командой (rm -rf dirname).

Хочу предупредить, что нужно быть на 100% уверенным, что вы не удаляете фактически используемые каталоги. Тоесть все удаление лучше проводить в ручном режиме. Если вы уже сделали резервную копию файлов форума, как я описывал в ведении, то можете спокойно продолжать.

Фактически следующая команда используется для каталога customavatars, незабудьте заменить /home/username/public_html/*/customavatars на ваш путь. Я использовал этот шаблон, потому что на сервере было установлено несколько форумов.

В результате этого запроса, вы получите готовые команды для ручного удления каталогов, каждого по отдельности.

Для директории вложений, я должен был удалить несолько файлов которые находились выше основной папки форума, прежде чем дать команду find, сделано это было, чтобы я по ошибке не удалил фактические каталоги вложений (аттачей)

Теперб давайте все тоже самое сделаем и для аттачей, как мы это сделали с customavatars. Замените только путь /home/username/public_html/*/attachments на ваш каталог вложений.

for d in $(find /home/username/public_html/*/attachments -type f -name “*.php” -print); do dir=$(dirname $d); echo “rm -rf $dir”; done | sort -u

В результате мы получаем список команд для удаления каталогов с php файлами.

Ну вот и все, наэтом цикл статей о востановлении форума я закрываю, не получилось растянуть на 10 частей, но это и не так важно. В любом случае любую часть можно дополнить. И надеюсь вы быстро почините свой форум если его взломали.

Рейтинг статьи

0%

Рейтинг

Оцените данный материал!

User Rating: Be the first one !

Автор artscripts

Посмотрите также

Nginx восстановление часть 5

Взломали форум — начинаем восстанавливать (Часть 5)

Теперь для пущей безопасности, мы с вами закроем доступ к нашей папке AdminCP . Для …