Jump to content
Romania Forum

Publicitatea este afişată doar vizitatorilor. - Click aici pentru înregistrare

Recommended Posts

  • Management

Există multe modalităţi de a compromite / ataca un website, dar majoritatea atacurilor au acelaşi rezultat. Hackerii fie încearcă să utilizeze site-ul pentru a insera pe server, ori încearcă să redirecţioneze utilizatorii pe site-uri infectate.

Există câteva modalităţi / procedee frecvente folosite de hackerii.

Întotdeauna încearcă să lase în urmă un fişier sau mai multe de tip . Trebuie să ştiţi care fişiere de pe server sunt bune şi care sunt infectate / malware. Pentru a face acest lucru, trebuie să comparaţi fişierele website-ului cu cele dintr-un set de fişiere descărcate de la IPS (fresh download).

Verificaţi dacă există fişiere cu extensia .php ce au denumire ciudată sau aleatorie. Există câteva exemple, dar acestea nu sunt denumirile exacte, ci doar exemple asemănătoare / tipice ale unor asemenea fişiere, care în general sunt foarte scurte şi de genul sh.php sau un şir de caractere aleatorii urmate de estensia .php


zx.php
sh.php
123482379874hjsdf8734.php
dsfjklsadjfklasdjfklads.php
ipbfirewall.php
[/CODE] Dacă identificaţi fişiere cu denumirea "ipbfirewall", trebuie să ştiţi că acesta nu este un fişier ori element real, este un cod malware lăsat în urmă ce a fost creat astfel încât să arate ca şi cum ar aparţine softului forumului şi trebuie să-l ştergeţi. Exemplu:
[CODE]
if ( ! defined( 'IPB_FIREWALL' ) )
{
define('IPB_FIREWALL', 1);
/**
* NOTE: This is a protecting web-firewall module generated by Invision Power
* Module includes security patch for high-risks vulnerability CVE-2012-5692
* Do not touch this file for security reasons
* Please insert this code to as many php files as possible
*
* @package IP.Firewall
* @version $Revision: 9544 $
* @md5 e66e6cadd6e13efea54ed50c0eb2d32b
* @sha1 6966286d64352840245f5b2248545450
* @crc32 5f51554f5445225d293d3d2463732965
*/

Fişierele malware sunt plasate cel mai frecvent în directorul rădăcină al serverului (root directory), în /cache, /public /uploads, dar pot fi amplasate şi în alte zone.

Un alt aspect ce trebuie urmărit este să căutaţi denumiri ciudate / nefireşti de directoare, comparând structura folderelor dintr-o descărcare curată. Hackerii crează de cele mai multe ori foldere cu denumiri ciudate sau care sunt asemănătoare cu denumirile existente.

Mai jos aveţi o structură standard a directoarelor / folderelor din directorul forum - rădăcină serverului (root directory).

-_FileZilla-20130122-173207.jpg

Iar mai jos este un director / folder standard /cache. Aşa trebuie să arate conţinutul folderului /cache:

cache_-_FileZilla-20130122-173347.jpg

Dacă găsiţi orice alte fișiere în aceste foldere, sunt şanse foarte mari ca acestea să nu aparţină website-ului. Puteţi să deschideţi fişierul în cauză şi să inspectaţi codul / conţinutul acestuia, pentru a vedea dacă este un fişier infectat sau nu. Nu uitaţi, dacă aveţi instalate third party add ons sau alte aplicaţii (apps) pot exista şi alte fişiere faţă de cele exemplificate mai sus.

După ce curăţaţi toate folderele sau fişierele de orice fel de malware, următorul pas este să încărcaţi (upload) setul de fişiere curate ale forumului şi ale aplicaţiile pe care le aveţi instalate. Descărcaţi aceste pachete curate din zona de client (client area) de pe site-ul IPS şi încărcaţi-le pe server cu ajutorul unui client FTP, asigurându-vă că vor fi rescrise (overwrite) peste fişierele existente.

După aceste operaţiuni, intraţi în panoul de administrare (AdminCP) unde veţi vedea un mesaj de eroare "Furl cache out of date error" şi daţi click pe opţiunea de reconstruire "Rebuild Furl Cache", pentru a corecta această eroare. Acest lucru este normal datorită fişierele noi ce au fost încărcate anterior.

Rebuilding HTML & CSS şi Recaching your skins. De cele mai multe ori codul sau fişierul malicious ori cel de tip backdoors este inserat adânc în interiorul template-urilor, iar acest lucru se face printr-o editare / modificare a fişierelor din skin-ul forumului. Refacerea şi reconstruirea acestora va şterge de cele mai multe ori fişierul / codul malware.

Pentru a face acest lucru, selectaţi "Look & Feel", apoi mergeţi la "Manage Skins and Languages". În partea stanga selectaţi "Template Tools"

IP.Board__System_%3E_Look___Feel-20130122-174017.jpg

Veţi vedea opţiunea de reconstruire a skin-ului de baza "Rebuild Master Skin Data". Selectaţi HTML şi CSS cât şi toate aplicatiile listate sub.

IP.Board__System_%3E_Look___Feel-20130122-174122.jpg

După ce este finalizat procesul de reconstruire a skin-ului, selectaţi din nou "Template Tools", iar acum în partea de sus găsiţi şi selectaţi "Recache Skin Set"

IP.Board__System_%3E_Look___Feel-20130122-174313.jpg

De multe ori atacatorul pătrunde şi în fişiere pachetul lingvistic infectându-le. Pentru a corecta acest lucru, selectați "Look & Feel" > "Manage Languages" > pachetul lingvistic şi selectaţi din dreapta în meniul vertical opţiunea "Rebuild from XML". Această operaţie va reconstrui fişierele lingvistice. Dacă utilizaţi şi un alt pachet lingvistic personalizat, trebuie să reimportaţi respectivul pachet lingvistic pentru a corecta orice probleme posibile.

IP.Board__System_%3E_Manage_Languages-20130122-174535.jpg

Un alt procedeu des întâlnit este modificarea fişierelor .htaccess, conf_global.php, initdata.php şi index.php şi adăugarea în conţinutul acestora a unui cod suplimentar pentru redirecţionare ori în alte scopuri. Verificaţi ca aceste fişiere să conţină doar codul corect. Rescrierea fişierelor cu unele noi / curate corectează fişierele index.php şi initdata.php, însă această procedură nu poate fi utilizată în cazul fişierelor .htaccess şi conf_global.php.

Schimbaţi toate parolele administratorilor pe forum, datele de acces în FTP, precum şi acces în panoul de control. Se recomandă chiar şi actualizarea parolei pentru baza de date MySQL. Contactaţi suportul tehnic al host-ului pentru a obţine detalii despre cum puteţi face acest lucru, dacă nu sunteţi sigur/ă cum se actualizeayă parola MySQL.

O altă etapă ce trebuie parcursă este reimportarea tuturor hooks instalate. Acest lucru îl puteţi face în AdminCP > Manage hooks şi reimportaţi toate hooks.

Ultimul pas este să rulaţi instrumentele din zona de securitate a sistemului. AdminCP > System > System > Security Center

IP.Board__System_%3E_System-20130122-175321.jpg

Succes!

  • Upvote 1
Link to comment
Share on other sites


Publicitatea este afişată doar vizitatorilor. - Click aici pentru înregistrare

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

Acest website foloseşte cookie-uri. Navigând în continuare vă exprimaţi acordul asupra folosirii lor. Mai multe informaţii Privacy Policy.