Среда , 18 Июль 2018
Home / Vbulletin 4 / Взломали форум — начинаем восстанавливать (Часть 7)
Взломали форум — начинаем восстанавливать (Часть 7)
Антивирус часть 7

Взломали форум — начинаем восстанавливать (Часть 7)

Если есть такая возможность нужно лучше восстанавливать базу данных MySql с проверенной и безошибочной резервной версии. Часть 7. При восстановлении вам может понадобиться пройти все предыдущие части которые тут описаны еще раз. Чтобы проверить, что ваша резервная копия чиста от заражения вам может понадобится повторить все описанные действия в этой статье еще раз. Самый быстрый способ восстановить пароли это использовать SSH на вашем сервере или VPS. Ну и прочтите еще раз все предыдущие части, чтобы посмотреть, не упустили ли вы чего.

Автор: Алексей Раков

Убедитесь, что все аватары и вложения которые хранились в файловой системе, так же имеют свою резервную копию. Проконсультируйтесь с вашим хостером если он восстанавливает вам базу даных, чтобы не забыл восстановитель вложения и атачи. И если уж восстанавливаете, то я бы посоветовал переименовать БД под новым именем, так, чтобы наверняка.

Теперь перейдем к теме этой части. Все ваши файлы, рекомендуется проверять на наличие php back doors и других вредоносных программ. Для серверов на базе Linux, если у вас есть доступ к SSH, я бы рекомендовал использовать нижеследующее сочетание. Опять же повторюсь, вы можете использовать свои антивирусы, я лишь привожу свои примеры.

AVG Anti-Virus free edition for Linux

avg
avg

AVG Anti-Virus free edition for Linux пассивный сканер вирусов и вредоносных программ.

Как установить данный продукт на Centos можно прочитать тут, для других систем, ищите информацию в интернете. Устанавливается он довольно легко. Это пассивный сканер, так как по-умолчанию вариант установки из коробки означает, что вы сами его должны запускать вручную для того чтобы просканировать нужные каталоги.

– Очень быстрая скорость работы (сканирования) по сравнению с другими сканерами обнаружения вирусов, также сканирует электронную почту на предмет вирусов, что многие системы не делают.

– Скорость сканирования 180.000/~ 750 секунд

– С помощью данного сканера наибольшее количество вирусов я нашел в таких скриптах как openx/phpads, wordpress, vbulletin и т.д включает PHP/BackDoors и очень много вирусных черверй (троянов) встроенных в почтовые ящики, то есть FakeAlert и Win32/Cryptor.

Linux Malware Detect

linux-malware-detect

Linux Malware Detect (maldet) Удобен тем, что может работать в автоматическом режиме, ежедневно, в запланированное время через cron и автоматически может обновляться. Возможно для этого вам дополнительно нужно будет настроить файл конфигурации в /usr/local/maldetect/conf.maldet. Ежедневное сканирование можно проводить в Ensim virtual roots или по стандартным путям Linux /home*/user например через Cpanel. По-умолчанию ежедневно сканируются /home*/*/public_html или Ensim /home/virtual/*/fst/var/www/html and /home/virtual/*/fst/home/*/public_html.

– Гораздо медленнее скорость работы чем у AVG Anti-virus, но имеет в своей базе больше вредоносных программ чем AVG.

– Скорость 180.000/~ 24000 секунд

– С помощью данного сканера наибольшее количество вирусов я нашел в таких скриптах как openx/phpads, wordpress, vbulletin и т.д. включает base64.inject.* и php.cmdshell.*.

Установите и настройте его на своем сервере и при проверке вы сразу получите предупреждение, если на вашем сервере есть вредоносная программа. Этот метод не дает 100% гарантии поиска всех вирусов, но как один из вариантов проверки очень подходит, и вы можете просмотреть ваши файлы более внимательно, даже если есть хоть малейшие подозрения.

Ниже представлен пример вывода, где найдены инфекции PHP / BackDoor которые могут потенциально открыть доступ ко всему серверу для взлома. Если вы нашли эти типы файлов, лучшее что можно сделать в данной ситуации, скинуть атомную бомбу на свой сервер :))) то есть переустановить всю вашу ОС и восстановить потом все из чистой резервной копии. Если это невозможно сделать, то после излечения от вирусов, все еще останется вероятность, что ваш форум могут взломть также еще раз. Даже если вы пройдете все части описанные нами.

avgscan .
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ

Virus database version: 3204/6473
Virus database release date: Mon, 08 Jul 2013 05:59:00 +0000

./realaudio  Object scan failed; Specified file was not found.
./faq.html  Object scan failed; Specified file was not found.
./wusage  Object scan failed; Specified file was not found.
./includes/class_postbit_blog.php  Virus found PHP/BackDoor
./majorcoolimages  Object scan failed; Specified file was not found.
./print.php  Virus found PHP/BackDoor
./phpMyAdmin  Object scan failed; Specified file was not found.
./imagesoldindex/monstercontrols/images  Object scan failed; Specified file was not found.
./imagesoldindex/images  Object scan failed; Specified file was not found.
./mc_limited_help.htm  Object scan failed; Specified file was not found.
./cgi-bin/wmail/etc/users/username/saved-messages:/0001_body.html  Virus identified HTML/Framer.FA
./cgi-bin/wmail/etc/users/username/saved-messages:/Doll.scr  Virus identified I-Worm/Bagle.BDE
./cgi-bin/wmail/etc/users/username/saved-messages  Virus identified HTML/Framer.FA
./cgi-bin/wmail/etc/users/username/mail-trash:/message.scr  Virus identified I-Worm/Netsky
./cgi-bin/wmail/etc/users/username/mail-trash:/message.scr  Virus identified I-Worm/Netsky
./cgi-bin/wmail/etc/users/username/mail-trash  Virus identified I-Worm/Netsky
./images/monstercontrols/images  Object scan failed; Specified file was not found.
./images/images  Object scan failed; Specified file was not found.

Files scanned     :  52960(52401)
Infections found  :  8(4)
PUPs found        :  0
Files healed      :  0
Warnings reported :  0
Errors reported   :  10

Вывод AVG после попытки исцелить и очистить инфекции:

avgscan -lU .
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ

Virus database version: 3204/6473
Virus database release date: Mon, 08 Jul 2013 05:59:00 +0000

./cgi-bin/wmail/etc/users/username/saved-messages:/0001_body.html  Virus identified HTML/Framer.FA
./cgi-bin/wmail/etc/users/username/saved-messages:/Doll.scr  Virus identified I-Worm/Bagle.BDE
./cgi-bin/wmail/etc/users/username/saved-messages  Virus identified HTML/Framer.FA; healed, inserted into virus vault
./cgi-bin/wmail/etc/users/username/mail-trash:/message.scr  Virus identified I-Worm/Netsky
./cgi-bin/wmail/etc/users/username/mail-trash:/message.scr  Virus identified I-Worm/Netsky
./cgi-bin/wmail/etc/users/username/mail-trash  Virus identified I-Worm/Netsky; healed, inserted into virus vault

Files scanned     :  52269(51710)
Infections found  :  6(2)
PUPs found        :  0
Files healed      :  2
Warnings reported :  0
Errors reported   :  0

Повторное сканирование с AVG после исцеления, отчет не имеет инфекций

avgscan -lU .
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ

Virus database version: 3204/6473
Virus database release date: Mon, 08 Jul 2013 05:59:00 +0000

Files scanned     :  52265(51710)
Infections found  :  0(0)
PUPs found        :  0
Files healed      :  0
Warnings reported :  0
Errors reported   :  0

Пример вывода сканирования Linux Malware Detect до очистки, в отчете инфекции в Vbulletin файлах со встроенными вирусами php.cmdshell (PHP бэкдор), которые потенциально могут открыть доступ ко всем веб серверу. Для этого клиента я скопировал всю взломанную базу данных и перенес на свой сервер, где и происходило лечение. Вот почему в отчете вам встретятся необычные пути типа /home/nginx/domains/hostname.domain.com/public/

Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks <proj@r-fx.org>
            (C) 2013, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(1622): {scan} signatures loaded: 11556 (9688 MD5 / 1868 HEX)
maldet(1622): {scan} building file list for, this might take awhile...
maldet(1622): {scan} file list completed, found 51700 files...
maldet(1622): {scan} 51700/51700 files scanned: 3 hits 0 cleaned
maldet(1622): {scan} scan completed on: files 51700, malware hits 3, cleaned hits 0
maldet(1622): {scan} scan report saved, to view run: maldet --report 070913-1134.1622
maldet(1622): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 070913-1134.1622

malware detect scan report for hostname.domain.com:
SCAN ID: 070913-1134.1622
TIME: Jul  9 13:57:34 +0000
PATH: /home/nginx/domains/hostname.domain.com/public/
TOTAL FILES: 51700
TOTAL HITS: 3
TOTAL CLEANED: 0

NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 070913-1134.1622
FILE HIT LIST:
{HEX}php.cmdshell.unclassed.344 : /home/nginx/domains/hostname.domain.com/public/includes/class_postbit_blog.php
{HEX}php.cmdshell.unclassed.344 : /home/nginx/domains/hostname.domain.com/public/print.php
{MD5}php.cmdshell.rgod.4878 : /home/nginx/domains/hostname.domain.com/public/lndex.php

На этом я думаю достаточно, если все описывать более подробно и жизни не хватит. Главное дать толчок, для каких то действий. И дать понять новичкам, что администрирование форума это не такая легкая задача как им кажется.

Рейтинг статьи

0%

Рейтинг

Оцените данный материал!

User Rating: Be the first one !

About artscripts

Check Also

Взломали форум — начинаем восстанавливать (Часть 5)

Взломали форум — начинаем восстанавливать (Часть 5)

Теперь для пущей безопасности, мы с вами закроем доступ к нашей папке AdminCP . Для …

One comment

  1. Pingback: Взломали форум — начинаем восстанавливать (Введение) - Изучаем Vbulletin

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.