[vpsFree.cz: community-list] prosim pomoc zeby hacknuty server alebo web

Michal Pazderský michal at squelle.com
Thu Aug 25 09:58:13 CEST 2016


jasný, tak ona je to taková easy pomůcka, ale spíš se to hodí právě tam, 
kde někdo prasí contrib moduly a nepoužívá hooky v custom modulech - 
když přebíráme cizí projekt kde se nedodržují Drupal 
standardy/doporučení. Ale z hlediska bezpečnosti/napadení bývají 
většinou nové soubory a ty to už neodhalí a je potřeba bližší inspekce, 
např. přes ty příkazy, co jsem poslal.


On 25.8.2016 9:41, Lukas Vana wrote:
> Ahoj,
>
> na WP treba plugin https://wordpress.org/plugins/wordfence/ umi porovnat
> tvoje zdrojaky s originalni verzi. Dokonce i u nainstalovanych pluginu.
>
> --
> Lukáš Váňa (fabian)
>
> http://www.fabian.cz <http://www.fabian.cz/>
>
> On 25 August 2016 at 07:26:45, Michal Pazderský (michal at squelle.com
> <mailto:michal at squelle.com>) wrote:
>
>> Ahoj,
>>
>> u nas kdyz se dela zbezny audit kodu, tak v Drupalu (specializujeme se
>> na nej) existuje modul Hacked, ktery ti udela diff oproti contrib
>> modulum. Na WP bude urcite neco podobneho.
>> Jinak obcas najde neco i clamav
>> clamscan -irz --follow-dir-symlinks=2 --follow-file-symlinks=2
>> NAZEVADRESARE
>>
>> dal nejake hinty, ktere pouzivam, ale neni to nic superinteligentniho
>>
>> find NAZEVADRESARE -iname "*.exe"
>> prohlidnout vsechny php a inc soubory na skodlive fce eval, base64 a
>> gzinflate a ideálně také na preg_replace s /e
>>
>> "find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>> | xargs grep ""eval *("" --color
>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>> | xargs grep -l ""base64_decode *("" --color
>> ** pokud najde tak spustit bez přepínač -l aby ukázal detail v kodu **
>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>> | xargs grep ""gzinflate *("" --color
>>
>> find . -type f \( -name '*.php' -o -name '*.module' -o -name '*.inc' \)
>> | xargs egrep -i ""preg_replace *\((['|\""])(.).*\2[a-z]*e[^\1]*\1 *,""
>> --color "
>>
>> manuálně projít databázi na retezce
>>
>> <?php, base64, $_POST, $_GET, eval(, assert(, file_put_contents(,
>> include(, include_once(, require(, require_once(, preg_replace(,
>> create_function(
>>
>>
>> On 25.8.2016 7:14, Jozef Sroka wrote:
>> > Nazaciako by som skontroloval či ten klient naozaj volal tvoj server, či
>> > volal tvoju ip. Ak nie tak je to jasné
>> >
>> > Ak by bol hacknuty tak niekde v súboroch budú zažite čudné kódy. Zvykne
>> > to by na začiatku súboru ale dávajú tam kopec medzier, tak si zapni
>> > zálohovanie riadkov v editore. Grepovat čínsky bordel pravdepodobne
>> > nepomôže lebo zvyknú používať kód v base64 ten sa rozhoduje desifruje a
>> > použije eval. Ťažko sa to hľadá, ale celkom dobrá pomôcka je goaccess, z
>> > access logu ti spraví štatistiku ktorá url sa ako často volá, aké
>> > statusy dáva server ..., Bude tam vyčnievať jeden súbor a tam by som
>> > začal. Ak si hacknuty tak presmerovanie na čínsky bordel je len mala
>> > vec, budeš posielať e-maily alebo iné veci.
>> >
>> >
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> > http://lists.vpsfree.cz/listinfo/community-list
>>
>> --
>> Michal Pazdersky (jednatel/CEO)
>>
>> Squelle Group, s.r.o.
>> Nad Palatou 2801/48, 150 00 Praha Smichov
>>
>> GSM: +420 733 326 468
>> EMAIL: michal at squelle.com <mailto:michal at squelle.com>
>> WEB: www.squelle.com <http://www.squelle.com>
>>
>> ....................................................
>> CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
>> EN: Drupal web development, consulting and training.
>> ....................................................
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-- 
Michal Pazdersky (jednatel/CEO)

Squelle Group, s.r.o.
Nad Palatou 2801/48, 150 00 Praha Smichov

GSM:	+420 733 326 468
EMAIL:  michal at squelle.com
WEB:	www.squelle.com

....................................................
CZ: Vyvoj, konzultace a skoleni vyhradne pro Drupal.
EN: Drupal web development, consulting and training.
....................................................



More information about the Community-list mailing list