держал бы код от глаз программиста + предусмотрел бы запасной план в случае удаление строк для запуска зло кода, чтоб резерв файлик потихому восстановил строку, или рандомно выбрал бы другой файл --- Добавлено --- не употреблял слово eval в открытую
нашли похоже откуда.. клиент поставил на WP тему оформления скаченную откуда то.. а там был пхп файловый менеджер.. а скажите мне пожалуйста.. вот когда то был антивирус adinf он отслеживал изменения файлов, показывал какие новые файлы появились, а какие удалены.. есть что то такое для сервера?? что бы отслеживать что где появилось и где что поменялось?
можно самому что - то подобное написать. Хеш сумма пхп файлов запомнить всех, и раз в неделю проверять. Если обнаружил хеш другой то даем сигнал чего либо как фантазия разыграется. Весь антивирус
можно)) даже начал гуглить как писать на пхп консольные приложения)) а потом решил что зачем изобретать велосипед)) нашел такую штуку https://github.com/rfxn/linux-malware-detect
Соглашусь с @MouseZver о-моему если знаешь язык, то тупо проще самому класс запилить, хэши файлов сделать и чекать изменения даже каждый день по крону. Если есть изменения - сигнал какой. Сразу все понятно будет, если сам ничего не менял... кода мало, а эффективность может быть повыше, какого-то универсального malvare detector Его развить можно по удобству своему как хочешь, например строки сравнить и изменения выводить.
как это что даст?? отслеживает изменения размеров файлов.. удалить файлы, залить заново с нуля движки - не очень эта идея понравилась клиенту 1. Я просканировал все айболитом.. 2. Нашел много файлов которые были изменены.. в конец или в начало что то было дописано.. в том числе и eval.. 3. Просмотрел все директории - нашел несколько файловых менеджеров.. 4. Поменял пароли.. 5. Обновил все движки до актуальных версий. 6. Избавился от темы оформления купленной где то не там для WP 7. Поставил тот скрипт - он раз в сутки сканирует веб директории и в лог выдает все что появилось новое или изменилось старое.. 8. Поскольку у нас пхп ограничен доменом на котором он выполняется - то если в веб директории обнаружу какие то изменения - значит не все вычистил.. Что не так? Какие будут Ваши предложения(с)
я не понимаю)) поясните, пожалуйста)) ну поставил тему с шеллом.. ну залили фигню всякую... ну удалили ее.. а что осознать то надо?))
конец это осознать что если твоя защита защищает файлы от изменения, а у тебя УЖЕ залита тема с дырой, то твоя защита не сработает. и для защиты нужно не файлы защищать какой-то программой, а делать по науке и мыть руки перед едой.
1. Тема удалена 2. Скрипт контроллирует изменения файлов, по моему очень логично.. поменяется размер файла - надо обратить внимание на него.. 3. На а то что залили тему с шеллом.. ну всякое бывает.. мы сейчас боремся не с тем что бы не заливали темы с шеллом.. а стем что еще сделать что бы последствия убрать..
это для начала =) если хотите результат с другой стороны, если он тебе платит по часам, и пока ты ловишь малварь то тебе капает бабло - то пусть хоть весь пайратбей зальёт
главное подозрение на WP тему которая была куплена на каком то левом сайте.. на сервере один веб пользователь и под ним крутится несколько сайтов.. те на которых был WP были замусорены сильно.. и htaccess и мобильными редиректами.. и js включения с теми же мобильными редиректами.. и пхп файловые менеджеры.. и eбal($_POST['c']).. в общем все что можно было.. open_basedir включен... то есть по сути пхп скрипты не имеют доступа к соседним веб директориям.. единственное что меня немного напрягло и я не понимаю почему так получилось.. там есть проект на yii2 и в одном js файле было включение левое.. как его добавили я не представляю просто..
Я использую один файл создает хеш контрольных сумм всех файлов. Другой файл чекает (CRON) хеши, сравнивает. Если не сходится (добавили/удалили с файла), то ALARM. На почту письмо с именем файла или СМС на мобилу )) Один из вариантов защиты. Потом писал пост и гет запросы в txt, для себя чисто.
вариант с опкешером и единократным прочтениме файлов мне нравится больше. --- Добавлено --- какого черта вообще у вас пхп может писать в папку с пхп-скриптами?