Комментарии к записи: Китайская защита сайта от вирусов

Автор: Артур

Артур — Sun, 28 Jun 2009 22:39:38 +0000

а кто помешает злоумышленнику дописать в файл index.php «?>»
ведь если он добудет доступ к фтп, это делается элементарно.
и инфермы я видел цепляют вверху страницы.

Автор: shr

shr — Sat, 04 Apr 2009 07:23:14 +0000

интересная мысль ;)

но имхо лучше сделать список своих файлов с чек-суммой и в скрипте, подключаемом через auto_prepend_file сверять, в случае чего завершаться или слать репорт на мыло\асю

с другой стороны – есть тот же siteguard

Автор: kate

kate — Tue, 31 Mar 2009 19:24:11 +0000

>а что мешает злоумышленнику написать echo “…”; ?
ну я так понимаю, у них стандартный скрипт, который ищет index.php и index.html (и в папках тоже), и вставляет в конец iframe. на одном сделанном мной сайте этот код был засунут вообще во все файлы .html (там клиент наловил вирусов и лазил по фтп на сайт). правда, толку от этого никакого не было, за исключением того, что сайт перестал работать, но не от отсутствия закрывающих тэгов, а от того, что в мой index.php не стоит ничего постороннего пихать. еще было смешно, что он напихал в .html, потому что html файлы, как таковые, у меня тоже не используются (у меня .tpl), он же засунул свои iframe в папку с версткой :lol:

судя по всему, они не проверяют зараженные сайты, значит, работают по более общему алгоритму (запихать везде, где можно, невзирая на результат), так как в целом это более эффективно и быстро. или, может просто руки кривые :razz:

насчет закрывающих тэгов – скорей это не от хакеров сделано. на некоторых хостингах, если у вас после закрывающего пхп-тэга будет хотя бы пробел, из-за этого возникнет ошибка при использовании header(‘Location: ….’) – «headers already sent». поэтому я тоже стараюсь закрывающие тэги везде убирать, после того, как это обнаружила. возможно, это и настройками можно убрать, но лень искать.

Автор: haz

haz — Mon, 30 Mar 2009 19:21:27 +0000

в предыдущем коменте теги порезались, я имел ввиду ифрейм вывести через echo

Автор: haz

haz — Mon, 30 Mar 2009 19:19:55 +0000

а что мешает злоумышленнику написать echo «…»; ? :)

Автор: DimoninG

DimoninG — Sun, 29 Mar 2009 11:51:30 +0000

vikeng, нет, друпальщики даже и не думали об этом. Просто в конце файла можно опускать закрывающий тег и все. А защита… Это скорее интересное наблюдение.

Автор: DimoninG

DimoninG — Sun, 29 Mar 2009 09:54:57 +0000

Спасибо за комментарии :) Я запостил это решение скорее из-за его оригинальности, а не из-за того, что оно очень хорошее, поэтому и «китайское». Конечно, для реальной борьбы с вирусом лучше использовать какой-нибудь скрипт, отслеживающий время изменения файла или еще что-то.

Автор: AngelOfFate

AngelOfFate — Sun, 29 Mar 2009 08:54:42 +0000

вообще для этого есть плагин, который отслеживает изменения файлов и на «доске объявлений» выводит если кто-то в них покопался

Автор: Heromant

Heromant — Sun, 29 Mar 2009 08:29:30 +0000

Все гиниальное просто.

Автор: vikeng

vikeng — Sun, 29 Mar 2009 08:27:21 +0000

Однажды пришлось лечить от вирусов, работающих по этому принципу, сайт на Джумла.
Через некоторое время начал изучать Drupal. В нём как раз и реализовано это решение. Как говорится из коробки. Все php-файлы без закрывающего тега.
Помнится никак не мог понять почему у разработчиков такая забывчивость, пока на форуме не нашёл объяснение. :roll:

Автор: Секрет

Секрет — Sun, 29 Mar 2009 07:51:33 +0000

Хз-хз, по-моему, это даст иллюзию защиты. Код, который универсально всё вставит не такой сложный. Плюс не забывай mod_rewrite, auto_append_file и кучу других возможностей поюзать взломанный сайт.

Кстати, можно за компанию время изменения файлов чекать, если не лень. Изменилось – значит хакнули.

Автор: Амирханов Ленар

Амирханов Ленар — Sun, 29 Mar 2009 06:10:59 +0000

Если уж китайская, то хитро:)))

Автор: cleverbrain

cleverbrain — Sun, 29 Mar 2009 06:05:40 +0000

Если честно, никогда не сталкивался с вирусами на своих сайтах. Но статья превосходна! Спасибо, возьму на заметку :)

З.Ы. Что закрывающий тег можно опустить, я не знал..

Автор: sham

sham — Sun, 29 Mar 2009 05:12:43 +0000

очень грубо, но оригинально =)

помойму лучше написать скрипт на проверку последнего изменения файлов или на проверку iframe. А лучше и то и другое. При обнаружении сделать пару функций – удалить/оповестить админа. Получиться такой миниантивирус.

Есть маленький недочет конечно, пользователи все равно подцепят эту хрень, но зато владелец сразу поймет, что к чему.
Конечно можно запускать эту проверку каждый час/два, но нагрузка при сканировании будет большая и вряд ли хостер обрадуется =)

ps
имхо отключение сайта не выход, да причем еще и светить недочеты. Большинство пользователей после этого и не придет больше.

psps
а чтобы не ловить ифреймы, нефиг пользоваться ie =)

Автор: нуб PHP

нуб PHP — Sat, 28 Mar 2009 19:07:20 +0000

изящно!