0.00
3 читателя, 24 топика

Статьи по безопасности и защите сайтов от "Ревизиум"



Экспертная компания в области информационной безопасности, разработчик сканера вредоносного кода ai-bolit «Ревизиум» делится опытом. Наиболее любопытные статьи представлены ниже:
Читать дальше →

Проверка сайта антивирусом Manul


В этом обзоре мы хотим познакомить Вас с замечательным сканером Manul. Вкратце, Manul это совместный проект Яндекса и Revisium(сканер Ai-bolit).
Читать дальше →

Почему требуется сканирование файлов несколькими антивирусами в случае взлома сайта и внедрения вредоносного кода?



Вредоносные скрипты, как биологические вирусы, постоянно эволюционируют, совершенствуются и перестают быть видимыми для антивирусных программ. Поэтому рекомендуется производить сканирование и выявнение вредоносных скриптов различными сканерами.

В данной статье приводятся отчеты сканирования одного из зараженных сайтов с помощью бесплатных утилит: Linux Malware Detect (R-fx Networks) и Ai-bolit (Revisium)
Читать дальше →

FAQ по защите сайтов



Сайты зачастую становятся объектами для атак злоумышленников. В данной статье рассмотрены решения по наиболее часто поступающим вопросам в техподдержку от клиентов.
Читать дальше →

Еще раз о Malware

Еще раз о Malware.

Жалобы за несколько дней

В последнее время участились вопросы пользователей хостинга об установке прав 555(чтение и исполнение) на их папку www.

Отчего же это происходит?
Дело в том, что на серверах хостинга установлен защитный скрипт, который работает так:
Если обнаружено множественного подключение к внешним SMTP серверам на порт 25/tcp от имени пользователя, то:
1. Запускается антивирусный сканер Clamav/Maldet для поиска вирусов в папке пользователя.
2. Устанавливаются права 555 для того, чтобы предотвратить последующее заражение через различные уязвимости сайтов, в частности старых версий Joomla, Wordpress, DLE и тому подобных.

Другие хостинг провайдеры просто блокируют сайт пользователя при получении уведомления о рассылаемом спаме, мы же стараемся, чтобы сайты клиентов продолжали работать бесперебойно, несмотря на их заражение. Дело в том, что при правильно настроенной CMS вполне достаточно прав 555 (чтение и исполнение) для её работы.

Каким же образом отправлять письма?

Вы можете пользоваться нашими серверами для отправки до 50 писем в час(используя явную авторизацию на сервере) или другими почтовыми службами, подключаясь к ним на защищенные порты(любой кроме 25/tcp). Google, например, использует порт 465(требуется SSL) и порт 587(требуется TLS). Здесь нет никаких ограничений.

Зачем мы вообще пользуемся антивирусами?
Если ими не пользоваться, то сайты уязвимых CMS наполняются вирусами, которые рассылают спам, собирают пароли, работают в ботнетах.

Например, на одном из сайтов было недавно обнаружено 179 различных вредоносных скриптов(сайт не обновлялся с 2011 года, Joomla 1.5). Подобные сайты часто вызывают до 1000 одновременных подключений на внешние серверы для прямой доставки спама.

Помимо дополнительной нагрузки на серверы, наши диапазоны IP попадют в черные списки, что ведет к запрету на отправку писем обычными пользователями, блокировке в поисковых системах и другим подобным вещам. Мы стараемся максимально быстро вытаскивать IP из черных списков. И на данный момент ни один из наших адресов в них не находится.

Очень желательно своевременно устанавливать обновления CMS и не выставлять права, разрещающие запись файлов на сайт(кроме отдельных директорий). Приносим извинения за возможные неудобства.

Оплата услуг: QIWI


Для осуществления оплаты по средствам платежной системы QIWI необходимо выполнить следуюшие действия:

Читать дальше →

Оплата услуг: Сбербанк ОнЛ@йн



Для проведения on-line оплаты с карты Cбербанка необходимо выполнить следующие шаги.

Читать дальше →

Базы данных InnoDB vs MyISAM

Наш опыт подсказывает, что лучше использовать таблицы InnoDB. Таблицы MyISAM часто блокируются при нагруженном одновременном чтении и записи. Ну если на сайт Joomla одновременно зашли примерно 1000 пользователей, то ситуация выглядит так:

Вывод mytop:

Id      User    Host    db      Command Time    State   Info    Progress
108751  user_main  localhost       user_j15   Query   146980  closing tables  SELECT * FROM jos_session WHERE session_id = 'dfeodu7tv41tbgg4pts44s2kk6'       0.000
108753  user_main  localhost       user_j15   Query   146980  updating        DELETE FROM jos_session WHERE ( time < '1405526121' )   0.000
108774  user_main  localhost       user_j15   Query   146978  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'g2j9kt3stbtkg75tct5r2dvkb6'       0.000
108829  user_main  localhost       user_j15   Query   146977  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'et6833daba2v5t6hptk4e72jr4'       0.000
108834  user_main  localhost       user_j15   Query   146976  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'r35kp3balnt1kt9qnrdclf1k30'       0.000
108930  user_main  localhost       user_j15   Query   146975  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = '8fssht7k44uiq5kdellgtfe6o7'       0.000
108936  user_main  localhost       user_j15   Query   146969  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'qfvubpisihl1p10k3gkd6tg1v4'       0.000
109030  user_main  localhost       user_j15   Query   146964  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = '250oati4c74eac3fth5lcpf696'       0.000
109038  user_main  localhost       user_j15   Query   146964  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'f910sn4upaijefoehb546b66h7'       0.000
109121  user_main  localhost       user_j15   Query   146959  Waiting for table level lock    SELECT * FROM jos_session WHERE session_id = 'mo6c9pg63l7m693bpeomas7j60'       0.000


Была попытка одновременного удаления строк из таблицы с сессиями Joomla 1.5 и чтения записей. Такое происходит нечасто, но бывает.
Можно обратить внимание, что запросы исполняются уже 146980 секунд, что препятствует нормальной работе сайта. Если бы таблица jos_session была не MyISAM, а InnoDB, такого бы не произошло. Находя при помощи диагностики подобные ситуации мы конвертируем таблицу MyISAM -> InnoDB самостоятельно, после этого сайт работает без проблем.

Об отправке почты

У нас нельзя отправлять почту просто функцией PHP mail, потому что спамеры, регулярно взламывающие незащищенные Joomla и Wordpress сайты используют домены клиентов для своих рассылок и затем уже почта добросовестных клиентов совершенно не доходит получателям.

Рекомендуем следующие скрипты для отправки почты:

Библиотека smtp-func.php

<?php

function smtpmail($mail_to, $subject, $message, $headers='') {

        //Настройки почты
        $config['smtp_username'] = '[email protected]';  //Смените на имя своего почтового ящика из ISPManager.
        $config['smtp_password'] = 'Пароль от почтового ящика из панели ISPManager';  //Измените пароль.
        $config['smtp_from']     = 'Test Mailbox'; //Ваше имя - или имя Вашего сайта. Будет показывать при прочтении в поле "От кого".
        //Обычно эти настройки менять не стоит
        $config['smtp_host']     = 'localhost';  //Сервер для отправки почты (для наших клиентов менять не требуется).
        $config['smtp_port']     = '25'; // Порт работы. Не меняйте, если не уверены.
        $config['smtp_debug']    = false;  //Если Вы хотите видеть сообщения ошибок, укажите true вместо false.
        $config['smtp_charset']  = 'UTF-8';   //Кодировка сообщений.

        $SEND =   "Date: ".date("D, d M Y H:i:s") . " +0300\r\n";
        $SEND .=   'Subject: =?'.$config['smtp_charset'].'?B?'.base64_encode($subject)."=?=\r\n";
        if ($headers) $SEND .= $headers."\r\n\r\n";
        else
        {
                $SEND .= "Reply-To: ".$config['smtp_username']."\r\n";
                $SEND .= "MIME-Version: 1.0\r\n";
                $SEND .= "Content-Type: text/plain; charset=\"".$config['smtp_charset']."\"\r\n";
                $SEND .= "Content-Transfer-Encoding: 8bit\r\n";
                $SEND .= "From: \"".$config['smtp_from']."\" <".$config['smtp_username'].">\r\n";
                $SEND .= "To: $mail_to <$mail_to>\r\n";
                $SEND .= "X-Priority: 3\r\n\r\n";
        }
        $SEND .=  $message."\r\n";
         if( !$socket = fsockopen($config['smtp_host'], $config['smtp_port'], $errno, $errstr, 30) ) {
            if ($config['smtp_debug']) echo $errno."<br>".$errstr;
            return false;
         }

            if (!server_parse($socket, "220", __LINE__)) return false;

            fputs($socket, "EHLO " . $config['smtp_host'] . "\r\n");
            if (!server_parse($socket, "250", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу отправить EHLO!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, "AUTH LOGIN\r\n");
            if (!server_parse($socket, "334", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу найти ответ на запрос авторизации!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, base64_encode($config['smtp_username']) . "\r\n");
            if (!server_parse($socket, "334", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Логин авторизации не был принят сервером!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, base64_encode($config['smtp_password']) . "\r\n");
            if (!server_parse($socket, "235", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Пароль не был принят сервером как верный! Ошибка авторизации!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, "MAIL FROM: <".$config['smtp_username'].">\r\n");
            if (!server_parse($socket, "250", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу отправить команду MAIL FROM:</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, "RCPT TO: <" . $mail_to . ">\r\n");

            if (!server_parse($socket, "250", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу отправить команду RCPT TO:</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, "DATA\r\n");

            if (!server_parse($socket, "354", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу отправить команду DATA!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, $SEND."\r\n.\r\n");

            if (!server_parse($socket, "250", __LINE__)) {
               if ($config['smtp_debug']) echo '<p>Не могу отправить тело письма. Письмо не было отправлено!</p>';
               fclose($socket);
               return false;
            }
            fputs($socket, "QUIT\r\n");
            fclose($socket);
            return TRUE;
}
function server_parse($socket, $response, $line = __LINE__) {
        global $config;
        $server_response="";
    while (substr($server_response, 3, 1) != ' ') {
        if (!($server_response = fgets($socket, 256))) {
                   if ($config['smtp_debug']) echo "<p>Проблемы с отправкой почты!</p>$response
$line
";
                   return false;
                }
    }
    if (!(substr($server_response, 0, 3) == $response)) {
           if ($config['smtp_debug']) echo "<p>Проблемы с отправкой почты!</p>$response
$line
";
           return false;
        }
    return true;
}

//Отправить почту сразу нескольким получателям, ящики получателей пишем через запятую.

function smtpmassmail($mail_to, $subject, $message, $headers='')
{
$mailaddresses=explode(",",$mail_to);
foreach ($mailaddresses as $mailaddress) smtpmail($mailaddress,$subject,$message,$headers);
}

?>


и сам файл отправки mailer.php

<?php
//Замените настройки на нужные.
$mail_to = '[email protected]'; //Вам потребуется указать здесь Ваш настоящий почтовый ящик, куда должно будет прийти письмо.
$type = 'plain'; //Можно поменять на html; plain означает: будет присылаться чистый текст.
$charset = 'UTF-8';

include('smtp-func.php');
if ($_REQUEST['message'])
{
   $name = $_REQUEST['name'];
   $phone = $_REQUEST['phone'];
   $message = $_REQUEST['message'];
   $replyto = '[email protected]';
   $headers = "To: \"Administrator\" <$mail_to>\r\n".
              "From: \"$replyto\" <$mail_from>\r\n".
              "Reply-To: $replyto\r\n".
              "Content-Type: text/$type; charset=\"$charset\"\r\n";
   $sended = smtpmail($mail_to, $name, $message, $headers);
   
   echo '<html>
        <head>
        <meta http-equiv="content-type" content="text/html; charset='.$charset.'">
        </head>
              <body>';
   if (!$sended) echo 'Письмо не удалось отправить. Пожалуйста свяжитесь с администратором сайта по адресу: '.$mail_to;
   else echo 'Письмо было успешно отправлено.';
   echo '</body>';
   exit;
}
?>

PHP Fatal error: Call-time pass-by-reference has been removed in /var/www/user

При обновлении PHP с 5.3 на 5.4 некоторые клиенты, использующие старые версии популярных CMS столкнулись с подобной ошибкой. Подобный вызов функции с версии PHP 5.3 вызывал предупреждение на странице, а в версии 5.4 передача переменной по ссылке стала невозможна. Рассмотрим решение данной проблемы на примере одного из сайтов клиента:

Смотрим в журнал ошибок:

[Thu Apr 03 10:48:17 2014] [error] [client XXX.XXX.XXX.XXX] PHP Fatal error:  Call-time pass-by-reference has been removed in /var/www/userXXXXX/data/www/xx-xxx.org/phpshop/class/core.class.php on line 541, referer: http://xx-xxx.org/


Или включаем вывод ошибок php в браузере:


Загружаем файл core.class.php на ПК, открываем текстовым редактором и находим в нем 541 строку:


537       function setHook($class_name, $function_name, $data = false, $rout = false) {
538       if ((phpversion() * 1) >= '5.0')
539       return $this->PHPShopModules->setHookHandler($class_name, $function_name, $this, $data, $rout);
540       else
541       return $this->PHPShopModules->setHookHandler($class_name, $function_name, &$this, $data, $rout);
542       }


Нам нужно убрать & из строки №541. Такой вызов функции более не поддерживается.

В итоге получается так:


537       function setHook($class_name, $function_name, $data = false, $rout = false) {
538       if ((phpversion() * 1) >= '5.0')
539       return $this->PHPShopModules->setHookHandler($class_name, $function_name, $this, $data, $rout);
540       else
541       return $this->PHPShopModules->setHookHandler($class_name, $function_name, $this, $data, $rout);
542       }


Сайт снова работает! :)