mincao: (Default)
mincao ([personal profile] mincao) wrote2017-01-04 09:36 pm
  • Add Memory
  • Share This Entry

техническое

Полгода назад какой-то умник воспользовался текущими уязвимостями вордпрессовского сайта и нагадил.
Погадку я ликвидировал, все обновил, потер следы. Но хостинг затаил. И потребовал, чтобы я "проверить существующие скрипты на предмет посторонних включений", не считая прочих, очевидных штук, которые я сделал сразу.

Когда я ремонтировал сайт, я просто поднял из архива бэкап, апдейтил вордпресс и плагины - но я _ничего_ не понимаю в скриптах! Мне кажется, что тупая замена файлА на предыдущее состояние - достаточное подтверждение - и именно так я собираюсь ответить саппорту, который, по итогам года, решил закрыть тикет и немножко поклевать мой череп.
Но, чисто из вежливости, если - может быть, существует некий _инструмент_ проверки скриптов, кроме человеческого мозга? А то намеки саппорта на 25 баксов мне не нравятся.
Threaded | Top-Level Comments Only

[identity profile] ilyak.livejournal.com 2017-01-04 07:09 pm (UTC)(link)
Ai-bolit

https://www.revisium.com/ai/

И еще несколько, в том числе от яндекса
teak: (novoros)

[personal profile] teak 2017-01-04 07:14 pm (UTC)(link)
К сожалению, это ручная работа. Сканеры есть, но они ВСЕ требуют квалифицированного специалиста (они только показывают на места, похожие на уязвимость, но во-первых что-то они могут пропустить, а во-вторых что-то с этим делать всё равно надо вручную).

Восстановление из бэкапа в большинстве случаев НЕ ЯВЛЯЕТСЯ решением проблемы. Обычно сайт заражён уже несколько лет, просто это не сразу проявилось настолько сильно, что кто-то заметил.

Я сам лично этим занимаюсь как подработкой, типично лечу за 4000 рублей. Если Вам предлагают 25 баксов и реально нормально почистят -- то это очень хорошее предложение. Я бы даже сказал неправдоподобно хорошее. Другое дело, что может нифига они и не будут толком чистить, просто денег возьмут.
teak: (novoros)

[personal profile] teak 2017-01-04 07:16 pm (UTC)(link)
ЗЫ: самый хороший сканер -- таки да, Айболит, собственно сам им пользуюсь для первого, самого грубого прохода (дальше уже применяя ум и смекалку приходится, но он мало оставляет).

Яндексовский плохой.

[identity profile] mincao.livejournal.com 2017-01-04 07:34 pm (UTC)(link)
Илья? Неужели - это ты? Рад тебя видеть, надеюсь, у тебя и у твоих - все хорошо.

Айболитом хостеры по сайту прошлись - полгода как - в корне лежат файлы. И - я не знаю, как трактовать результаты. Да, я почитал отчет и мало что понял.
Но посмотрю еще.

[identity profile] mincao.livejournal.com 2017-01-04 07:37 pm (UTC)(link)
Ага, ясно. То есть, лучше отдаться самому хостеру, наверно. Я понял, хотя и грущу :)
Не то, чтобы так денег жалко - просто не в состоянии осознать угрозы, уровень их и потери от них :)

Спасибо.
teak: (novoros)

[personal profile] teak 2017-01-04 07:46 pm (UTC)(link)
А что за сайт? Если прям реально хороший сайт, то я иногда бесплатно делаю. Ну как бесплатно, за ссылку.

[identity profile] mincao.livejournal.com 2017-01-04 07:49 pm (UTC)(link)
Да если бы! Чисто техническая фигота под раскрутку торговой площадки... Стыдно ссылку давать :)
teak: (novoros)

[personal profile] teak 2017-01-04 07:50 pm (UTC)(link)
Ок. :)

[identity profile] ilyak.livejournal.com 2017-01-04 07:52 pm (UTC)(link)
там обычно вполне характерные файлы (или вставки в обычные файлы). Они содержат в себе, визуально, "мусор" - зашифрованный код.
teak: (novoros)

[personal profile] teak 2017-01-04 07:56 pm (UTC)(link)
Это только то, что чаще всего. Бывают и вставки обычного, нормально форматированного кода, который ещё надо прочитать и понять (хорошо что большинство файлов можно отсеять сравнением с официальными исходниками CMS, иначе это было бы вообще нереально). Бывают очень небольшие вставки, разбросанные по комментариям. Бывают просто однострочники, которые никак себя не шифруют, но в общем массиве кода никак не выделяются. Бывает PHP-код в базе (всякие сниппеты, плагины, особенно это сплошь и рядом в modx, но и в нормальных CMS тоже такое есть). Очень разное бывает.

[identity profile] mincao.livejournal.com 2017-01-04 08:07 pm (UTC)(link)
А, это я осознАю, спасибо.

[identity profile] qkowlew.livejournal.com 2017-01-04 09:07 pm (UTC)(link)
aibolit - это лучшее из бесплатного, что мне известно.

[identity profile] qkowlew.livejournal.com 2017-01-04 09:08 pm (UTC)(link)
Ну дай мне в личку ссылку на отчёты.
Но ЛУЧШЕ сделать заново, так как выходит свежая дрянь, и уязвимостей в том же вордпрессе находят постоянно и немеряно.

[identity profile] qkowlew.livejournal.com 2017-01-04 09:10 pm (UTC)(link)
Ага, стандартно-сеошное, ибо под вордпресс куча именно сеошного всего...
Ужас в том, что именно в ентом сеошном плагинстве развиты такие мерзкие закладки, что "заколебёшься искать пишется через три восклицательных знака".

Самая тонкая фишка - это плагины, в которых в код заложена возможность XSS атаки. То есть В КОДЕ ничего вредоносного нету и найдено никакими сканерами быть не может. Но если сайт добавлен в Яндекс Вебмастер - то в какой-то момент по нему начинает приходить от Яндекса диагностика о том, что вот тут с вашего сайта через XSS полно ссылок, проверьте.
Edited 2017-01-04 21:13 (UTC)

[identity profile] qkowlew.livejournal.com 2017-01-04 09:15 pm (UTC)(link)
В качестве оплаты за труды приму проставление на подконтрольных тебе площадках нескольких ссылок на мои сайты, обязательно навсегда, обязательно - контекстных из текста страницы с подходящих по смыслу и тематике слов. :)
teak: (novoros)

[personal profile] teak 2017-01-04 10:42 pm (UTC)(link)
О, прикольно, вот с таким кстати не сталкивался.

[identity profile] mincao.livejournal.com 2017-01-05 09:00 am (UTC)(link)
Спасибо за предложение, посмотрю по ходу, сейчас пока сам поковыряюсь на доступном уровне +гугль.
Threaded | Top-Level Comments Only