[vpsFree.cz: community-list] prosim pomoc zeby hacknuty server alebo web

Thu Aug 25 09:41:00 CEST 2016

Ahoj,

na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat
tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.

-- 
Lukáš Váňa (fabian)

http://www.fabian.cz

On 25 August 2016 at 07:26:45, Michal Pazderský (michal at squelle.com) wrote:

Ahoj,

u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se
na nej) existuje modul Hacked, ktery ti udela diff oproti contrib
modulum. Na WP bude urcite neco podobneho.
Jinak obcas najde neco i clamav
clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2 NAZEVADRESARE

dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho

find NAZEVADRESARE -iname "*.exe"
prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a
gzinflate a ideálně také na preg_replace s /e

"find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep ""eval *("" --color
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep -l ""base64_decode *("" --color
** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **
find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs grep ""gzinflate *("" --color

find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
| xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,""
--color "

manuálně projít databázi na retezce

<?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,
include(, include_once(, require(, require_once(, preg_replace(,
create_function(

On 25.8.2016 7:14, Jozef Sroka wrote:
> Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či
> volal tvoju ip. Ak nie tak je to jasné
>
> Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne
> to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni
> zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne
> nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a
> použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z
> access logu ti spraví štatistiku ktorá url sa ako často volá, aké
> statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som
> začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala
> vec, budeš posielať e-maily alebo iné veci.
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-- 
Michal Pazdersky (jednatel/CEO)

Squelle Group, s.r.o.
Nad Palatou 2801/48, 150 00 Praha Smichov

GSM: +420 733 326 468
EMAIL: michal at squelle.com
WEB: www.squelle.com

....................................................
CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
EN: Drupal web development, consulting and training.
....................................................
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20160825/d3f5b740/attachment-0002.html>