Comments on: Индикатор взлома сервера

By: alexf

alexf — Fri, 24 Jun 2011 17:14:32 +0000

Поможет конечно, он при любом виде хостинга работает.

By: Alex

Alex — Thu, 23 Jun 2011 13:30:10 +0000

А если мой сайт на шаред-хостинге, поможет ли описанный способ с подменой индексного файла?

By: krechet

krechet — Mon, 01 Jun 2009 18:40:41 +0000

Это скорее попытка использовать твою идею на своем хостинге. Но я так ниразу еще и не проверял на такие изменения.

А хакнутый index.html видел недавно, на чужом сайте.

By: alexf

alexf — Wed, 29 Apr 2009 15:27:11 +0000

krechet, не понимаю, каким боком это “усовершенствование”? Допустим я вношу изменение в свою CMS и команда выдаёт мне что поменялось 1500 файлов index.php. Это действительно я всё поменял или кулхакер одновременно со мной залил свой вирус? Я дал ПРОСТОЕ, работающее решение, зачем пытаться придумать велосипед там где он не нужен?

By: krechet

krechet — Tue, 28 Apr 2009 19:13:48 +0000

Небольшое усовершествование
Я у себя бекапы настроил в меркуриал – это такая система котроля версий. Меркуриалу задал фильтры на всякие кеши и тп.
Тепер чтобы использовать идею с индексом достачно выполнить что-то вроде
hg diff -r 0 | grep index.php.
и можно увидеть измененные индекс файлы.

By: andrey

andrey — Mon, 16 Mar 2009 15:47:20 +0000

Ну вот узнали вы что этот файлик изменен и что дальше?
Как вы узнаете какие файлы изменил злоумышленник? Ведь совсем не факт, что в остальных файлах он сделал точно такие же изменения как в подставном index.php. Время модификации файла тоже можно изменить.

ЗЫ. А ежедневное изменение миллинов файлов это, все-таки, очень частный и редкий случай.

By: alexf

alexf — Mon, 16 Mar 2009 15:16:17 +0000

Насчёт считания хешей: люди добрые, я даю универсальное ненапряжное решение, которое будет работать независимо от того сколько у вас файлов, 1 или 10 миллионов и сколько из них модифицирются. У меня сервер где крутится блог, создаёт пару миллионов новых файлов в день, считать для них мд5 накладно и абсюлютно ненужно, индикация взлома будет работать и так как я написал.
Готовый и отлаженный софт это конечно замечательно, но мне абсолютно не нужны каждодневные отчёты о изменении миллионов файлов. Мне нужно решить совершенно чёткую задачу – узнать что сервер хакнут и желательне не на следующий день, а через 5 минут.

By: andrey

andrey — Sat, 14 Mar 2009 10:01:39 +0000

Вообще то это все называется Integrity monitoring и давно существует в виде готового и отлаженного софта. Хороший пример под NIX-системы это Tripwire. Ставится и настраивается довольно просто. В результате получаешь на мыло каждый день отчеты о изменениях в файловой системе сервера.
Вот небольшой мануальчин http://unix-notes.ru/2009/03/11/ustanovka-i-nastrojjka-tripware/

By: Dector

Dector — Thu, 12 Mar 2009 21:31:59 +0000

Стремное это дело, еще свежи воспоминания, связываться с индусами. Последние домены регаю по 10$ но у незапятнанных контоор

By: Aidan

Aidan — Thu, 12 Mar 2009 19:35:56 +0000

вообще, то, о чем Вы писали – индикатор взлома САЙТА, а не сервера в целом. Большая часть таких вредоносных скриптов проникает с зараженного пользовательского компьютера по ftp. Реже – через remote inclusion
Уверяю Вас, для этих действий root на сервер не нужен

По прочтении Вашей заметки становится понятно, откуда берутся пользователи, кричащие, что взломали сервер у хостера
учите матчасть