jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - když přebíráme cizí projekt kde se nedodržují Drupal standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, např. přes ty příkazy, co jsem poslal.
On 25.8.2016 9:41, Lukas Vana wrote:
Ahoj,
na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
-- Lukáš Váňa (fabian)
http://www.fabian.cz http://www.fabian.cz/
On 25 August 2016 at 07:26:45, Michal Pazderský (michal@squelle.com mailto:michal@squelle.com) wrote:
Ahoj,
u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se na nej) existuje modul Hacked, ktery ti udela diff oproti contrib modulum. Na WP bude urcite neco podobneho. Jinak obcas najde neco i clamav clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE
dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
find NAZEVADRESARE -iname "*.exe" prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a gzinflate a ideálně také na preg_replace s /e
"find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""eval *("" --color find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep -l ""base64_decode *("" --color ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu ** find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs grep ""gzinflate *("" --color
find . -type f ( -name '*.php' -o -name '*.module' -o -name '*.inc' ) | xargs egrep -i ""preg_replace *((['|""])(.).*\2[a-z]*e[^\1]*\1 *,"" --color "
manuálně projít databázi na retezce
<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(, include(, include_once(, require(, require_once(, preg_replace(, create_function(
On 25.8.2016 7:14, Jozef Sroka wrote:
Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či volal tvoju ip. Ak nie tak je to jasné
Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z access logu ti spraví štatistiku ktorá url sa ako často volá, aké statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala vec, budeš posielať e-maily alebo iné veci.
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Michal Pazdersky (jednatel/CEO)
Squelle Group, s.r.o. Nad Palatou 2801/48, 150 00 Praha Smichov
GSM: +420 733 326 468 EMAIL: michal@squelle.com mailto:michal@squelle.com WEB: www.squelle.com http://www.squelle.com
.................................................... CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal. EN: Drupal web development, consulting and training. .................................................... _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list