13 Responses

1. darkdiver

   March 12th, 2009 at 16:32:17

   1

   Можно пойти дальше и посчитать md5 хэши для всех php, html, asp и т.д. страниц на сервере. Если нет динамической генерации таких страниц. И при изменении хэша высылать письмо админу.

   Также реальную пользу оказывает мониторинг SQL запросов посланных к БД на предмет левых запросов со словом UNION. Это помогает быстро среагировать на попытку взлома через SQL injection.

2. olegkm

   March 12th, 2009 at 18:35:22

   2

   Можно еще и md5 у всех index.php

3. Serj

   March 12th, 2009 at 20:59:27

   3

   Darkdriver случай с sql только актуален сейчас. На идея поста понравилась.

4. Aidan

   March 12th, 2009 at 21:35:56

   4

   вообще, то, о чем Вы писали – индикатор взлома САЙТА, а не сервера в целом. Большая часть таких вредоносных скриптов проникает с зараженного пользовательского компьютера по ftp. Реже – через remote inclusion
   Уверяю Вас, для этих действий root на сервер не нужен

   По прочтении Вашей заметки становится понятно, откуда берутся пользователи, кричащие, что взломали сервер у хостера
   учите матчасть

5. Dector

   March 12th, 2009 at 23:31:59

   5

   Стремное это дело, еще свежи воспоминания, связываться с индусами. Последние домены регаю по 10$ но у незапятнанных контоор

6. andrey

   March 14th, 2009 at 12:01:39

   6

   Вообще то это все называется Integrity monitoring и давно существует в виде готового и отлаженного софта. Хороший пример под NIX-системы это Tripwire. Ставится и настраивается довольно просто. В результате получаешь на мыло каждый день отчеты о изменениях в файловой системе сервера.
   Вот небольшой мануальчин http://unix-notes.ru/2009/03/11/ustanovka-i-nastrojjka-tripware/

7. alexf

   March 16th, 2009 at 17:16:17

   7

   Насчёт считания хешей: люди добрые, я даю универсальное ненапряжное решение, которое будет работать независимо от того сколько у вас файлов, 1 или 10 миллионов и сколько из них модифицирются. У меня сервер где крутится блог, создаёт пару миллионов новых файлов в день, считать для них мд5 накладно и абсюлютно ненужно, индикация взлома будет работать и так как я написал.
   Готовый и отлаженный софт это конечно замечательно, но мне абсолютно не нужны каждодневные отчёты о изменении миллионов файлов. Мне нужно решить совершенно чёткую задачу – узнать что сервер хакнут и желательне не на следующий день, а через 5 минут.

8. andrey

   March 16th, 2009 at 17:47:20

   8

   Ну вот узнали вы что этот файлик изменен и что дальше?
   Как вы узнаете какие файлы изменил злоумышленник? Ведь совсем не факт, что в остальных файлах он сделал точно такие же изменения как в подставном index.php. Время модификации файла тоже можно изменить.

   ЗЫ. А ежедневное изменение миллинов файлов это, все-таки, очень частный и редкий случай.

9. krechet

   April 28th, 2009 at 21:13:48

   9

   Небольшое усовершествование
   Я у себя бекапы настроил в меркуриал – это такая система котроля версий. Меркуриалу задал фильтры на всякие кеши и тп.
   Тепер чтобы использовать идею с индексом достачно выполнить что-то вроде
   hg diff -r 0 | grep index.php.
   и можно увидеть измененные индекс файлы.

10. alexf

    April 29th, 2009 at 17:27:11

    10

    krechet, не понимаю, каким боком это “усовершенствование”? Допустим я вношу изменение в свою CMS и команда выдаёт мне что поменялось 1500 файлов index.php. Это действительно я всё поменял или кулхакер одновременно со мной залил свой вирус? Я дал ПРОСТОЕ, работающее решение, зачем пытаться придумать велосипед там где он не нужен?

11. krechet

    June 1st, 2009 at 21:40:41

    11

    Это скорее попытка использовать твою идею на своем хостинге. Но я так ниразу еще и не проверял на такие изменения.

    А хакнутый index.html видел недавно, на чужом сайте.

12. Alex

    June 23rd, 2011 at 15:30:10

    12

    А если мой сайт на шаред-хостинге, поможет ли описанный способ с подменой индексного файла?

13. alexf

    June 24th, 2011 at 19:14:32

    13

    Поможет конечно, он при любом виде хостинга работает.