"Zeos Antivirus" sukuria visų sistemai priklausančių failų atvaizdą, tad jei įsilaužėlis per kokią nors saugumo spragą įkelia į Jūsų svetainę shell failą, antivirusas el. paštu Jums atsiųs pranešimą, kuriame bus parašyta, kad tam tikroje svetainėje nurodytu adresu atsirado naujas failas. Po to Jūs galite prisijungti prie Jūsų serverio ir jį ištrinti. Šis sprendimas aktualus tiems svetainių savininkams, laiku neįdiegiantiems reguliariai išleidžiamų saugumo pataisų ar besinaudojantiems Nulled paketais. Žinoma, pastaruoju atveju dėl skripte dar prieš antiviruso diegimą jau esančių backdoor funkcijų jis veiks tik dalinai - šiuo atveju Jūs gaunate būtent tai, už ką mokate.
Kodėl laužiamasi į svetaines?
Pagrindiniai įsilaužimo motyvai:
01) Sužinoti duombazės slaptažodį ir ją pavogti.
02) Patalpinti svetainėje kenkėjišką kodą ir taip jį platinti.
03) Patalpinti svetainėje Sape ir kt. kontekstinės reklamos sistemų kodus, taip uždirbant iš svetimos svetainės.
04) Įsilaužti į svetainę, kad ją būtų galima panaudoti spamo siuntimui duombazėje jau esančiais el. pašto adresais.
05) Įsilaužti į svetainę, kad per šalutinį PHP skriptą ji būtų paversta Anonimaizeriu naršymui iš kitų IP adresų (proxy).
06) Įsilaužti į svetainę tam, kad vėliau ją būtų galima kam nors parduoti apgaulės būdu, patiems nesant jos savininkais.
07) Tam, kad būtų galima "nupylinėti" svetainės trafiką ir jį pardavinėti.
08) Tam, kad būtų pašalinti konkurentai ir pakenkta jų turimam imidžui.
09) Defeiso atlikimui (parašant "Čia buvo mega hackerisz Gondzo. Muhaha xD")
10) Šiaip sau, norint "įgelti" svetainės savininkui.
11) Doorway įdiegimui.
12) Nuorodos į savo svetaines ar jų "satelitus" patalpinimui šablone.
13) Grynai juoko dėlei.
ir taip toliau: dėl hobio/pomėgių, ideologijos/tikėjimo..
Pagrindiniai įsilaužimo motyvai:
01) Sužinoti duombazės slaptažodį ir ją pavogti.
02) Patalpinti svetainėje kenkėjišką kodą ir taip jį platinti.
03) Patalpinti svetainėje Sape ir kt. kontekstinės reklamos sistemų kodus, taip uždirbant iš svetimos svetainės.
04) Įsilaužti į svetainę, kad ją būtų galima panaudoti spamo siuntimui duombazėje jau esančiais el. pašto adresais.
05) Įsilaužti į svetainę, kad per šalutinį PHP skriptą ji būtų paversta Anonimaizeriu naršymui iš kitų IP adresų (proxy).
06) Įsilaužti į svetainę tam, kad vėliau ją būtų galima kam nors parduoti apgaulės būdu, patiems nesant jos savininkais.
07) Tam, kad būtų galima "nupylinėti" svetainės trafiką ir jį pardavinėti.
08) Tam, kad būtų pašalinti konkurentai ir pakenkta jų turimam imidžui.
09) Defeiso atlikimui (parašant "Čia buvo mega hackerisz Gondzo. Muhaha xD")
10) Šiaip sau, norint "įgelti" svetainės savininkui.
11) Doorway įdiegimui.
12) Nuorodos į savo svetaines ar jų "satelitus" patalpinimui šablone.
13) Grynai juoko dėlei.
ir taip toliau: dėl hobio/pomėgių, ideologijos/tikėjimo..
Taigi, kaip apsisaugoti arba žalą savo svetainei sumažinti iki minimumo?
Šiam tikslui ir buvo sukurtas "Zeos Antivirus" skriptas. Jis sukurs visų sistemos failų atvaizdą, todėl įsilaužimo metu per "skylę" į Jūsų svetainę įkišus shell'ą, apie tai bus gautas pranešimas el. paštu, kuriame aiškiai nurodytas kelias iki naujo svetainės failo. Po to Jums net nereiks jo ieškoti, tad trynimas užims daugiausiai minutę.
Šiam tikslui ir buvo sukurtas "Zeos Antivirus" skriptas. Jis sukurs visų sistemos failų atvaizdą, todėl įsilaužimo metu per "skylę" į Jūsų svetainę įkišus shell'ą, apie tai bus gautas pranešimas el. paštu, kuriame aiškiai nurodytas kelias iki naujo svetainės failo. Po to Jums net nereiks jo ieškoti, tad trynimas užims daugiausiai minutę.
Nufilmavo ir rusiškai įgarsino: ИскушениЕ
Kokiais atvejais skriptas Jums bus naudingas?
1) Jūsų svetainėje tarsi iš niekur atsirado naujas failas.
2) Kas nors sužinojo svetainės FTP prieigos slapyvardį/slaptažodį ir pakeitė failus. Pavyzdžiui, index.php failo pradžioje/pabaigoje buvo įterptas užkoduotas Java skriptas.
3) Įsilaužėlis ištrynė kokius nors failus iš Jūsų svetainės.
1) Jūsų svetainėje tarsi iš niekur atsirado naujas failas.
2) Kas nors sužinojo svetainės FTP prieigos slapyvardį/slaptažodį ir pakeitė failus. Pavyzdžiui, index.php failo pradžioje/pabaigoje buvo įterptas užkoduotas Java skriptas.
3) Įsilaužėlis ištrynė kokius nors failus iš Jūsų svetainės.
Kada reikia (su)kurti sistemos atvaizdą?
Sistemos atvaizdas kuriamas "švarioje" svetainėje, t.y., iškart po jos įdiegimo ar atlikus numatytus darbus, kurių metu keičiamas failų kodas, ir t.t. - tada, kai Jūs esate tikrai įsitikinęs, kad svetainėje nėra kenkėjiškų failų.
Sistemos atvaizdas kuriamas "švarioje" svetainėje, t.y., iškart po jos įdiegimo ar atlikus numatytus darbus, kurių metu keičiamas failų kodas, ir t.t. - tada, kai Jūs esate tikrai įsitikinęs, kad svetainėje nėra kenkėjiškų failų.
Kaip veikia antivirusas?
Antivirusas "2"-u režimu serveryje sukuria sistemos failų sąrašą. Po to jis reguliariai paleidžiamas per Cronjobs funkciją nurodytu laiko intervalu ir sutikrinamas su šiuo sąrašu. Jei svetainėje atsiranda koks nors naujas failas ar kuris iš ankstesnių buvo pakeistas ar ištrintas, tai Jūsų el. paštu bus gautas pranešimas. Dėmesio! Dalyje "pigių" hostingų CRON funkcija pagal nutylėjimą gali būti išjungta - nepamirškite apie tai pasiklausti savo hostingo paslaugų teikėjo.
Antivirusas "2"-u režimu serveryje sukuria sistemos failų sąrašą. Po to jis reguliariai paleidžiamas per Cronjobs funkciją nurodytu laiko intervalu ir sutikrinamas su šiuo sąrašu. Jei svetainėje atsiranda koks nors naujas failas ar kuris iš ankstesnių buvo pakeistas ar ištrintas, tai Jūsų el. paštu bus gautas pranešimas. Dėmesio! Dalyje "pigių" hostingų CRON funkcija pagal nutylėjimą gali būti išjungta - nepamirškite apie tai pasiklausti savo hostingo paslaugų teikėjo.
Ar galima gauti SMS žinutes?
Galima, jei Jūsų mobiliojo ryšio operatorius palaiko "email2sms" paslaugą.
Pavyzdžiui, "Киевстар" operatoriui pakanka nurodyti savo mobiliojo tel.
Galima, jei Jūsų mobiliojo ryšio operatorius palaiko "email2sms" paslaugą.
Pavyzdžiui, "Киевстар" operatoriui pakanka nurodyti savo mobiliojo tel.
numerį ir svetainės operatoriaus adresą: 380671234567@sms.kievstar.net
Kas būtina optimaliam antiviruso veikimui?
Geram antiviruso veikimui pageidautina turėti kaip galima daugiau operatyvinės atminties ir laiko PHP skripto atlikimui (šis limitas t.p. nurodomas serverio php.ini failiuke). Antivirusas buvo testuojamas su tokiu kompiuteriu: 1 GHZ CPU, 512 MB RAM (ne VPS). PHP išskirta 16 MB atmintinės. HDD: 1 TB, 7500 rpm.
Bendras serveryje esančių failų skaičius testavimo metu: 50.000 vnt., kartu jie sudaro 55.324.652.520 baitų (51.53 gigabaitų).
Geram antiviruso veikimui pageidautina turėti kaip galima daugiau operatyvinės atminties ir laiko PHP skripto atlikimui (šis limitas t.p. nurodomas serverio php.ini failiuke). Antivirusas buvo testuojamas su tokiu kompiuteriu: 1 GHZ CPU, 512 MB RAM (ne VPS). PHP išskirta 16 MB atmintinės. HDD: 1 TB, 7500 rpm.
Bendras serveryje esančių failų skaičius testavimo metu: 50.000 vnt., kartu jie sudaro 55.324.652.520 baitų (51.53 gigabaitų).
1) Sutikrinti viską, netaikant išimčių: 24 minutės 45 sekundės.
2) Sutikrinti tiktai: php|cgi|pl|perl|php3|php4|php5|php6|tpl|htaccess - 1 minutė 8 sekundės.
3) Sutikrinti viską, išskyrus išimčių sąrašą:
jpg|jpeg|gif|bmp|png|rar|zip|tmp|gz|txt|xml|flv|exe|doc|pdf|avi|mp3|mp4|swf|wmv|m4v|m4a|mov|3gp|f4v|3gp|mpg|mpeg - 1 minutė 11 sekundžių.
Kuo daugiau failų tikrinama, tuo didesnis serveryje esančių failų skaičius apskritai, ir kuo didesnė failų apimtis, tuo lėčiau vyks darbas ir skripto atlikimui reikės daugiau laiko.
2) Sutikrinti tiktai: php|cgi|pl|perl|php3|php4|php5|php6|tpl|htaccess - 1 minutė 8 sekundės.
3) Sutikrinti viską, išskyrus išimčių sąrašą:
jpg|jpeg|gif|bmp|png|rar|zip|tmp|gz|txt|xml|flv|exe|doc|pdf|avi|mp3|mp4|swf|wmv|m4v|m4a|mov|3gp|f4v|3gp|mpg|mpeg - 1 minutė 11 sekundžių.
Kuo daugiau failų tikrinama, tuo didesnis serveryje esančių failų skaičius apskritai, ir kuo didesnė failų apimtis, tuo lėčiau vyks darbas ir skripto atlikimui reikės daugiau laiko.
Skripto diegimo ir derinimo niuansai:
"zeos_antivirus.php" failą būtina įkelti į Jūsų serverį kuo giliau ir toliau nuo pagrindinės svetainės direktorijos, nes pagrindinė užduotis - paslėpti šį skriptą nuo įsilaužėlių. Failą pravartu pervadinti bet kuriuo kitu vardu, kad įsilaužėliui nebūtų lengva suprasti, kad tai - antivirusas. Pavyzdžiui, vardas: "flash-splash.php" arba "topnews.php" ir t.t. Po to reikia atidaryti antiviruso failą redagavimui, pvz., PHP redaktoriuje.
"zeos_antivirus.php" failą būtina įkelti į Jūsų serverį kuo giliau ir toliau nuo pagrindinės svetainės direktorijos, nes pagrindinė užduotis - paslėpti šį skriptą nuo įsilaužėlių. Failą pravartu pervadinti bet kuriuo kitu vardu, kad įsilaužėliui nebūtų lengva suprasti, kad tai - antivirusas. Pavyzdžiui, vardas: "flash-splash.php" arba "topnews.php" ir t.t. Po to reikia atidaryti antiviruso failą redagavimui, pvz., PHP redaktoriuje.
$mode = 1;
Tai - funkcija antivirusui išjungti. Skaičius 0 - Išjungti. Skaičius 1 - Įjungti.
Tai - funkcija antivirusui išjungti. Skaičius 0 - Išjungti. Skaičius 1 - Įjungti.
$docroot = "/var/www/forum/data/www/";
Čia reikia nurodyti kelią iki Jūsų svetainės šaknies. Šį kelią jūs galite sužinoti iš savo hosterio arba galite įkelti į savo svetainę "temp.php" skriptą ir jį paleisti per naršyklę. Pirmoji puslapyje rodoma eilutė ir bus kelias iki svetainės šaknies.
$script_filename = "/engine/ajax/topnews.php";
Čia reikia nurodyti kelią nuo šaknies iki vietos, kurion įkeltas Jūsų antivirusas.
Čia reikia nurodyti kelią nuo šaknies iki vietos, kurion įkeltas Jūsų antivirusas.
$sitename = "Svetainė";
Jūsų svetainės pavadinimas. Šis pavadinimas bus rašomas laiške, siuntėją nurodančioje eilutėje.
Pavyzdys - Nuo: Adminas » support@svetaine.lt
Jūsų svetainės pavadinimas. Šis pavadinimas bus rašomas laiške, siuntėją nurodančioje eilutėje.
Pavyzdys - Nuo: Adminas » support@svetaine.lt
$path = "/";
Čia reikia nurodyti, kas būtent numatyta skanavimui. Jei nurodytas "/" simbolis, tai skriptas skanuos visą svetainę nuo šaknies, o jei Jūsų serveryje, pavyzdžiui, yra forumas ir dar kokia nors atskira direktorija, kurios skanuoti nereikia, tai ją galima nurodyti taip: $path = "/forum"; tokiu atveju bus skanuojama tik "forum" direktorija ir viskas, kas yra jos viduje.
Čia reikia nurodyti, kas būtent numatyta skanavimui. Jei nurodytas "/" simbolis, tai skriptas skanuos visą svetainę nuo šaknies, o jei Jūsų serveryje, pavyzdžiui, yra forumas ir dar kokia nors atskira direktorija, kurios skanuoti nereikia, tai ją galima nurodyti taip: $path = "/forum"; tokiu atveju bus skanuojama tik "forum" direktorija ir viskas, kas yra jos viduje.
$snapfile = "/uploads/posts/thumbs/bottom_468x60.jpg";
Čia nurodomas kelias iki vietos, kurioje bus kuriamas sistemos atvaizdas. Tai turi būti kita vieta, skirtinga nuo tos, kurioje yra pats antivirusas. Direktorijai, į kurią bus įrašomas sistemos atvaizdas, turi būti suteiktos CHMOD 777 prieigos teisės. Labai svarbu gerai paslėpti šį failą tarp kitų Jūsų serverio direktorijų ir failų, kad įsilaužėlis negalėtų jo rasti ir pakeisti. Failo plėtinys gali būti bet koks, kad ir *.jpg. Šis failas nebus piešinėliu, tačiau jo išeitiniame kode bus galima pamatyti sistemos failų atvaizdą.
Čia nurodomas kelias iki vietos, kurioje bus kuriamas sistemos atvaizdas. Tai turi būti kita vieta, skirtinga nuo tos, kurioje yra pats antivirusas. Direktorijai, į kurią bus įrašomas sistemos atvaizdas, turi būti suteiktos CHMOD 777 prieigos teisės. Labai svarbu gerai paslėpti šį failą tarp kitų Jūsų serverio direktorijų ir failų, kad įsilaužėlis negalėtų jo rasti ir pakeisti. Failo plėtinys gali būti bet koks, kad ir *.jpg. Šis failas nebus piešinėliu, tačiau jo išeitiniame kode bus galima pamatyti sistemos failų atvaizdą.
$snapfile = "/uploads/posts/thumbs/bottom_468x60.jpg";
Šiame pavyzdyje "thumbs" direktorijai suteiktos 777 prieigos teisės ir failas pavadintas taip, kad įsilaužėlis negalėtų iškart susigaudyti, kad tai - sistemos atvaizdas ir failo plėtinys toks pats, kaip ir piešinėlio.
Šiame pavyzdyje "thumbs" direktorijai suteiktos 777 prieigos teisės ir failas pavadintas taip, kad įsilaužėlis negalėtų iškart susigaudyti, kad tai - sistemos atvaizdas ir failo plėtinys toks pats, kaip ir piešinėlio.
$ext = "*";
Čia nurodomas failų plėtinių sąrašas, kuriuos būtina patikrinti. "*" arba "" - reiškia bet kuriuos (visus) plėtinius. Plėtiniai nurodomi be taškų ir vienas nuo kito skiriami šiuo simboliu: |
Čia nurodomas failų plėtinių sąrašas, kuriuos būtina patikrinti. "*" arba "" - reiškia bet kuriuos (visus) plėtinius. Plėtiniai nurodomi be taškų ir vienas nuo kito skiriami šiuo simboliu: |
Pavyzdžiui, $ext = "php|cgi|pl|perl|php3|php4|php5|php6|tpl|js|htaccess|htm|html|css|swf|txt|db|lng";
$exclfiles = "jpg|jpeg|gif|bmp|png|rar|zip|tmp|gz|xml|flv|exe|doc|pdf|avi|mp3|mp4|wmv|m4v|m4a|mov|3gp|f4v|3gp|mpg|mpeg";
Failų plėtinių sąrašas, kurių tikrinti nereikia. Plėtiniai nurodomi be taškų ir skiriami šiuo simboliu: |
Taip pat galima nurodyti failų, kurių taip pat nereikės tikrinti, vardus. Pavyzdžiui, $exclfiles = "index.php|jpg"; - šiuo atveju nebus tikrinami failai su tokiais vardais, kaip: "index.php" ir visi failai su JPG plėtiniu.
Failų plėtinių sąrašas, kurių tikrinti nereikia. Plėtiniai nurodomi be taškų ir skiriami šiuo simboliu: |
Taip pat galima nurodyti failų, kurių taip pat nereikės tikrinti, vardus. Pavyzdžiui, $exclfiles = "index.php|jpg"; - šiuo atveju nebus tikrinami failai su tokiais vardais, kaip: "index.php" ir visi failai su JPG plėtiniu.
$excldirs = "/engine/cache/system";
Direktorijų, kurių tikrinti nereikia, sąrašas. Kelias nurodomas "$path" kintamojo reikšmės atžvilgiu (kurią Jūs nustatėte aukščiau esančiose skripto nuostatose). Direktorijų skirtuko simbolis: |
Pavyzdžiui, $excldirs = "/folder|/files/web"; - šiuo atveju http://www.svetaine.lt/folder ir http://www.svetaine.lt/files/web direktorijas skaneris praleis.
Direktorijų, kurių tikrinti nereikia, sąrašas. Kelias nurodomas "$path" kintamojo reikšmės atžvilgiu (kurią Jūs nustatėte aukščiau esančiose skripto nuostatose). Direktorijų skirtuko simbolis: |
Pavyzdžiui, $excldirs = "/folder|/files/web"; - šiuo atveju http://www.svetaine.lt/folder ir http://www.svetaine.lt/files/web direktorijas skaneris praleis.
$yourmail = support@svetaine.lt
Čia nurodomi el. pašto adresai, kuriais būtina išsiųsti pranešimą. Galima nurodyti kelis adresus, vienas nuo kito atskirtus šiuo skirtuku: |
Pavyzdys: $yourmail = "support@svetaine.lt|warnings@site.com";
Čia nurodomi el. pašto adresai, kuriais būtina išsiųsti pranešimą. Galima nurodyti kelis adresus, vienas nuo kito atskirtus šiuo skirtuku: |
Pavyzdys: $yourmail = "support@svetaine.lt|warnings@site.com";
$password = "1234567";
Slaptažodis sistemos atvaizdo kūrimui. Jei Jūs norite uždrausti paleisti antivirusą per nuorodą:
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php?mode=2&pass=1234567
tai užkomentuokite šią eilutę, prieš ją įrašę du simbolius: //
$mt = 3000;
Čia nurodomas PHP skriptų atlikimo laikas. Šią reikšmę pasitikslinkite pas savo hosterį. Įrašyti didesnę ar mažesnę reikšmę, negu nustatyta hostingui, nėra jokios prasmės, nes paprastai vartotojai neturi prieigos prieš šios nuostatos keitimo, tad būtų klaidų.
Taip pat Jūs galite įkelti į Jūsų svetainę "temp.php" failą, paleisti jį naršyklėje ir antroje jo eilutėje bus nurodytas skaičius, kurį hostingui nustatė serverio administratorius.
Čia nurodomas PHP skriptų atlikimo laikas. Šią reikšmę pasitikslinkite pas savo hosterį. Įrašyti didesnę ar mažesnę reikšmę, negu nustatyta hostingui, nėra jokios prasmės, nes paprastai vartotojai neturi prieigos prieš šios nuostatos keitimo, tad būtų klaidų.
Taip pat Jūs galite įkelti į Jūsų svetainę "temp.php" failą, paleisti jį naršyklėje ir antroje jo eilutėje bus nurodytas skaičius, kurį hostingui nustatė serverio administratorius.
Kaip sukurti sistemos atvaizdą?
Tam, kad būtų sukurtas sistemos atvaizdas, naršyklėje reikia paleisti antiviruso skriptą "2"-u režimu.
Tam, kad būtų sukurtas sistemos atvaizdas, naršyklėje reikia paleisti antiviruso skriptą "2"-u režimu.
Tai atlikti galima taip:
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php?mode=2 ir įrašyti savo slaptažodį
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php?mode=2 ir įrašyti savo slaptažodį
arba greituoju būdu:
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php?mode=2&pass=slaptazodis
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php?mode=2&pass=slaptazodis
Po to antivirusą bet kuriuo metu galima bus paleisti naršyklėje šia eilute:
http://svetaines.vardas/kelias_iki_antiviruso/antiviruso_failo_vardas.php
ir tada svetainė bus skanuojama. Po to reikia antivirusą suderinti su CRON, pvz., paleidimui kas 30 minučių. Kuo dažniau bus paleidžiamas antivirusas, tuo greičiau Jūs sužinosite apie pakitimus Jūsų serveryje. Kuo rečiau, tuo vėliau.
Teisingai suderintas antivirusas laiškus el. paštu siųs tik tada, kai koks nors failas ar jų grupė iš tiesų buvo pridėta, pakeista ar ištrinta.
Внимание! У вас нет прав для просмотра скрытого текста.
