июнь 28 2010

ZEOS ANTIVIRUS

ZEOS ANTIVIRUS
ZEOS ANTIVIRUS
Зачем взламывают сайты?
Варианты:
1) Узнать пароль от базы данных и украсть ее.
2) Разместить на сайте вредоносный код и распространять его.
3) Разместить на сайте код от систем Sape и подобных, чтобы заработать на чужом сайте.
4) Взломать сайт, чтобы использовать его для рассылки спама по емейл.
5) Взломать сайт, чтобы через какой-то php скрипт сделать из него анонимайзер и лазить под другими IP.
6) Взломать сайт для того, чтобы перепродать его кому-то и получить за это деньги.
7) Для того, чтобы сливать трафик и продавать его.
8) Для того, чтобы убрать конкурентов.
9) Сделать дефейс (написать "Тута был кулхацкер Вася Пупкин")
10) Просто так, насолить.
11) Залить дорвеи.
12) Разместить ссылку на свои сайты или сателлиты.
13) Ради шутки.
и так далее: хобби, увлечение, идеология...

Так как же от этого защититься или хотя бы свести ущерб для своего сайта к минимуму?
Для этих целей был разработан скрипт "ZEOS ANTIVIRUS". Этот скрипт создает снимок всех файлов системы и когда злоумышленник через какие-то уязвимости Вашего сайта заливает на Ваш сервер shell, то антивирус присылает Вам на емейл уведомление, в котором указано, что по конкретному адресу появился новый файл. После чего Вы заходите на Ваш сервер и удаляете его.


Отснято и озвучено пользователем: ИскушениЕ

Для каких случаев скрипт может быть полезен?
1) На Вашем сайте появился новый файл.
2) Кто-то узнал логин и пароль от Вашего FTP и были изменены файлы. Например, в index.php прописали какой-то вредоносный яваскрипт.
3) Злоумышленник удалил какие-то файлы с Вашего сайта.

Когда надо создавать снимок системы?
Снимок системы надо создавать на чистом сайте. То-есть, когда Вы уверены, что на Вашем сайте нет вредоносных файлов.

Как работает антивирус?
Антивирус в режиме "2" создает список файлов на сервере. После чего антивирус запускается через CRON в указанный интервал времени и сверяется по сделанному снимку. Если появляется какой-то новый файл или какой-то файл измененен или удален, то на Ваш емейл будет отослано уведомление.

Можно ли получать смс уведомления?
Можно, если Ваш оператор мобильной связи поддерживает "email2sms"
Например, у оператора "Киевстар" достаточно указать свой мобильный номер и адрес сайта оператора: 380671234567@sms.kievstar.net

Что надо для правильной работы антивируса?
Для правильной работы антивируса желательно как можно больше оперативной памяти и времени выполнения php скрипта. Антивирус тестировался на компьютере: 1 ГГц, 512 Mb RAM (не VPS). Под PHP выделенно 16 Mb. HDD: 1 Tb, 7500 RPM

Общее количество файлов на сервере: 50.000 шт. общим весом 55.324.652.520 байт (55 гигабайт)

1) Учитывать все, исключений нет - 24 минуты 45 секунд.
2) Учитывать только: php|cgi|pl|perl|php3|php4|php5|php6|tpl|htaccess - 1 минута 8 секунд.
3) Учитывать все, кроме списка исключений:
jpg|jpeg|gif|bmp|png|rar|zip|tmp|gz|txt|xml|flv|exe|doc|pdf|avi|mp3|mp4|swf|wmv|m4v|m4a|mov|3gp|f4v|3gp|mpg|mpeg - 1 минута 11 секунд.
Чем больше файлов надо учитывать, чем больше файлов на сервере вообще и чем больше файлы по размеру, тем медленнее работа и надо больше времени на выполнение скрипта.

Подробности по установке и настройке антивируса:
Файл "zeos_antivirus.php" необходимо закачать на Ваш сервер и как можно глубже в папки сайта. Основная задача - спрятать этот скрипт от злоумышленника. Файл переименовать в любое название, желательно такое, чтобы злоумышленник не догадался, что это антивирус. Например, назвать: "editnews.php" или "topnews.php" и так далее. После этого надо открыть файл антивируса для редактирования, например, в блокноте.

$mode = 1;
Это функция для выключения антивируса. Цифра 0 - Выключить. Цифра 1 - Включить.

$docroot = "/var/www/forum/data/www/";
Тут надо указать путь к корню Вашего сайта. Этот путь Вы можете узнать у Вашего хостера.
Или Вы можете закачать на Ваш сайт скрипт "temp.php" и запустить его через браузер. И первой строкой будет именно этот путь к корню сайта.

$script_filename = "/engine/ajax/topnews.php";
Тут надо указать путь от корня к месту, где расположен Ваш антивирус.

$sitename = "ZEOS";
Название Вашего сайта. Это название будет писаться в письме в строчке от кого пришло письмо.
Пример - От: ZEOS - support@microsoft.com

$path = "/";
Тут надо указать, что именно надо сканировать. Если указан символ "/" то скрипт будет сканировать весь сайт от корня.
А если на Вашем сервере, например, есть форум и отдельно еще какая-то папка, которую не надо сканировать, то можно указать так: $path = "/forum";
В таком случае будет сканироваться только папка "forum" и все, что есть внутри нее.

$snapfile = "/uploads/posts/thumbs/bluesky.jpg";
Тут указывается путь к тому месту, где будет создаться снимок системы. Это должно быть другое место, отличное от пути, где лежит сам антивирус. На папку, в которую будет писаться файл снимка, должны быть права CHMOD - 777 Очень важно запрятать этот файл очень глубоко среди папок и файлов на Вашем сервере, чтобы злоумышленник не смог найти этот файл и изменять его. Расширение файла может быть любое. Например JPG. Этот файл не будет являться картинкой. Но в исходном коде можно будет увидеть снимок файлов системы.

$snapfile = "/uploads/posts/thumbs/bluesky.jpg";
В этом примере на папку "thumbs" стоят права 777 и файл назван так, чтобы злоумышленник никогда не смог догадаться, что это снимок системы и расширение у файла как картинка.

$ext = "*";
Тут указывается список расширений файлов, которые необходимо проверять. "*" или "" - означает любые расширения. Расширения указывать без точек и через символ: |
Например, $ext = "php|cgi|pl|perl|php3|php4|php5|php6|tpl|js|htaccess|htm|html|css|swf|txt|db|lng";

$exclfiles = "jpg|jpeg|gif|bmp|png|rar|zip|tmp|gz|xml|flv|exe|doc|pdf|avi|mp3|mp4|wmv|m4v|m4a|mov|3gp|f4v|3gp|mpg|mpeg";
Список расширений файлов, которые не учитывать при проверке. Расширения указывать без точек и через символ: |
А также можно указывать имена файлов, которые тоже не надо учитывать. Например, $exclfiles = "index.php|jpg"; - в этом примере не будут учитываться файлы с именами: "index.php" и все файлы с расширением JPG

$excldirs = "/engine/cache/system";
Список папок, которые не надо проверять. Путь указывается относительно значения переменной "$path" (которую Вы задавали выше в скрипте). Разделитель папок символ: |
Например, $excldirs = "/folder|/files/web"; - в этом примере папки: http://site.ru/folder и http://site.ru/files/web сканер будет пропускать.

$yourmail = "email@email.com";
Тут указываются емейл адреса, на которые необходимо высылать уведомление. Можно написать несколько, через разделитель: |
Пример: $yourmail = "support@zeos.in|support@microsoft.com";

$password = "1234567";
Пароль для создания снимка системы.
Если Вы хотите запретить запуск антивируса по ссылке "http://Ваш_домен/путь_к_файлу_антивируса/название_файла_антивируса.php?mode=2&pass=1234567" то закомментируйте строчку, поставив перед ней два символа: //

$mt = 3000;
Тут указывается время выполнения php. Это значение уточняется у хостера. Писать больше или меньше, чем установил хостер, нет никакого смысла. Будут ошибки.
Также Вы можете закачать на Ваш сайт файл "temp.php", запустить его через браузер и второй строчкой будет указана цифра, которую установил администратор сервера.

Как сделать снимок системы?
Для того, чтобы сделать снимок системы, надо в браузере запустить скрипт антивируса в режиме "2"

Для этого можно сделать так:
http://Ваш_домен/путь_к_файлу_антивируса/название_антивируса.php?mode=2 и ввести свой пароль
или сразу:
http://Ваш_домен/путь_к_файлу_антивируса/название_антивируса.php?mode=2&pass=Ваш_пароль

Дальше антивирус можно запускать в любое время через браузер по адресу: http://Ваш_домен/путь_к_файлу_антивируса/название_антивируса.php и будет сканироваться сайт. После этого надо поставить антивирус на CRON, например, на запуск каждые 30 минут. Чем чаще запускается антивирус, тем быстрее Вы узнаете про изменения на Вашем сервере. Чем реже, тем позже.

Правильно настроенный антивирус будет присылать письма на почту только тогда, когда действительно был добавлен, удален или изменен какой-то файл.

Скачать антивирус: http://dle-news.ru/files/zeos_antivirus.rar

Связь с автором: ZEOS

Комментарии

cmzap

cmzap

29 июня 2010 08:24 Клиенты
1
в архиве нет файла temp.php как говорится в видео.
anime-barmen

anime-barmen

29 июня 2010 08:51 Посетители
0
Очень даже неплохо! Автору явный плюс.
Как говорится "На войне все средства хороши".
baxus

baxus

29 июня 2010 09:19 Клиенты
0
Зеос куда то пропал и появится когда не знаю. Вот этот темп кому нужен letitbit.net/download/85367.856119cc52a4525c6ef6700d45adedb15/temp.php.html
ExTreme72

ExTreme72

29 июня 2010 10:00 Посетители
0
В арихиве только оддин файл zeos_antivirus.php
А где temp.php ?
celsoft

celsoft

29 июня 2010 10:55 Администраторы
0
Прошу прощения, это я ошибочно удалил этот файл. Перезалил дистрибутив
DeeMon

DeeMon

29 июня 2010 14:08 Клиенты
0
Кто нибудь тестировал?
baxus

baxus

29 июня 2010 14:49 Клиенты
2
DeeMon, что ты имеешь ввиду тестировал? Я тестировал... в видео обзоре.
На сайтах у меня стоит.

Требует конечно долгой настройки потому что всё не учтёшь. К примеру файлы кеша всяких партнёрок и тому подобное. А после работает как часы.

Сердце правда ёкает когда чего нибудь изменишь забудешь. А на почту заходишь там письмо "На сайте изменились файлы" сразу мысль "И до меня добрались")))))
Drug_4e

Drug_4e

29 июня 2010 18:43 Клиенты
1
Не хочет ли админ что-нибудь такое включить в дистрибутив движка?
baxus

baxus

29 июня 2010 21:00 Клиенты
0
Drug_4е.... ты видео смотрел? Там вначале в самом преимущества скрипта.

И главное преимущество заключаются в том что Админ не включит что то похожее в дистрибутив.
kpravda

kpravda

29 июня 2010 23:41 Посетители
0
Скрипт конечно прикольный :)
Но вот в видео говорится, что крон на 30 минут. ну да... я в течении 2 минут успею залить шелл, найти скрипт, подменить там мыло, и че дальше? :)
Fps-999

Fps-999

30 июня 2010 01:53 Клиенты
0
Да он вполне неплохой
WWW.ZEOS.IN

WWW.ZEOS.IN

30 июня 2010 06:05 Клиенты
1
kpravda,
Но вот в видео говорится, что крон на 30 минут. ну да... я в течении 2 минут успею залить шелл, найти скрипт, подменить там мыло, и че дальше? :)

Во-первых, ты должен будешь попасть именно в тот интервал, когда у тебя будет ровно 30 минут.
Во-вторых, в чистом и оригинальном DLE - 178 php файлов в разных папках и тебе надо будет все их открыть и пересмотреть.
Запрятать можно не только в папку modules, а, например, сюда: /engine/editor/jscripts/tiny_mce/plugins/spellchecker/classes/utils/JSOFF.php
А если на сайте установлен не только DLE, а и еще какие-то скрипты, например, форум, то это еще сотни две php файлов, которые тебе надо будет просматривать.
И в третьих, злоумышленник должен будет знать, что на этом сайте стоит какой-то антивирус.
Имхо, антивирус не является панацеей от всех бед winked
designf

designf

30 июня 2010 09:56 Посетители
0
А как пути правильно прописать, если на денвере попробовать?

У меня не выходит.
eargonx

eargonx

30 июня 2010 17:02 Клиенты
0
антивирус делает какую-либо нагрузку на сервер? а то у меня много сайтов на сервере и все они "объемные", много файлов придется проверять ему.
WWW.ZEOS.IN

WWW.ZEOS.IN

1 июля 2010 08:40 Клиенты
0
designf, пишите мне в аську. Попробуем решить проблему, а потом тут отпишемся в чём была проблема. winked

eargonx,
антивирус делает какую-либо нагрузку на сервер? а то у меня много сайтов на сервере и все они "объемные", много файлов придется проверять ему.
Конечно создаёт. Это же не высчитывание результата 1+1=2.
Я не знаю, какой у Вас по мощностям сервер, сколько всего файлов на нём и как Вы настроили антивирус. Так что ответить, сильно ли будет нагружен сервер, не могу. Лучше попробуйте протестировать. Думаю, нагрузка будет маленькая. smile
edikbirnt

edikbirnt

10 августа 2010 01:51 Клиенты
0
WWW.ZEOS.IN,

Спасибо за модуль, и помощь по установке автору. smile
sharelita.com

sharelita.com

14 августа 2010 16:30 Клиенты
0
при создании снимка файлов получаю "Снимок системы записан в файл:
/uploads/xxx/xxx/xxx.jpg | 23.07.2010 в 13:35:16 | Время
сканирования: 1 сек. | Всего файлов: 0"
и файл снимка остается пустым -что я не так делаю? права на запись
777, пробовал менять настройки - безрезультатно - подскажите плиз как это исправить
WWW.ZEOS.IN

WWW.ZEOS.IN

15 августа 2010 20:36 Клиенты
0
Проверьте, чтобы права на корневую папку были 755
Если у Вас не получится, пишите мне в ICQ winked
sharelita.com

sharelita.com

19 августа 2010 23:30 Клиенты
0
WWW.ZEOS.IN,права на корневую папку 755, в ICQ пару раз писал, автоответчик говорит приходи мол завтра или после завтра ((((((((((
sharelita.com

sharelita.com

19 августа 2010 23:50 Клиенты
0
моя ася 252366
sharelita.com

sharelita.com

22 августа 2010 14:43 Клиенты
0
WWW.ZEOS.IN, спасибо, скрипт отличный и нужный, отдельное спасибо за помощь в установке
MasterEd

MasterEd

6 декабря 2010 03:51 Клиенты
0
Спасибо, замечательный скрипт.

Установил с полпинка и теперь проверяет, кросавчег! ))))
А то я по невнимательности последний баг упустил, и вот на днях залили мне шелл и через него доры. До вашего антизверя мне помогла интуиция, - на следующий день после взлома сайта случайно решил проверить код и узнал об этом. Тут же все подчистил. Теперь к интуиции прибавился такой замечательный помощник, как Ваш антивирус.
LADYX

LADYX

7 февраля 2011 16:09 Посетители
0
Ребята, скажите, пожалуйста, а на 9.2. его можно ставить?
WWW.ZEOS.IN

WWW.ZEOS.IN

11 февраля 2011 11:12 Клиенты
0
LADYX, у антивируса нет привязки к какой-либо версии DLE
Антивирусу вообще не важно какая CMS стоит smile
Alonzo

Alonzo

22 марта 2011 23:36 Посетители
0
Если на почту от Крона стало приходить сообщение /путь/файл антивируса : permission denied - что это значит?
Trell

Trell

20 июня 2011 11:15 Клиенты
0
bully
TrasmaniaBabos

TrasmaniaBabos

6 января 2012 22:01 Клиенты
1
Отличный модуль!!! Автору Спасибо Большое!!! wink
Уведомление на "мыло" за долю сек. приходит мгновенно!!!
sniffyyy

sniffyyy

9 апреля 2012 22:42 Посетители
0
Здравствуйте... как я догадываюсь на 9.5 стоит антивирус но проблема в том что он у меня не работает. Я обновил скрипт, сделал снимок файлов антивирусом и всё, после когда кликою на Антивирус появляется надпись "Подождите, идет проверка файлов скрипта ..." и жди хоть час хоть два, и всё тоже без изменений. Помогите пожалуйста.
olifus

olifus

7 августа 2012 10:45 Клиенты
0
Здравствуйте. Давно пользуюсь Вашим антивирусом, все было нормально в его работе, однако сегодня он "повис" и постоянно выдает такую фразу: Антивирус уже запущен и выполняется, дождитесь окончания работы.
В чем может быть причина?
Raptorspb

Raptorspb

29 октября 2012 21:16 Посетители
0
Установил антивирус, с первого раза не запустился. Обратился к WWW.ZEOS.IN он помог с настройкой. Большое спасибо! smile

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Сентябрь 2016    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
2627282930 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Сентябрь 2016 (2)
Июль 2016 (1)
Июнь 2016 (2)
Март 2016 (2)
Февраль 2016 (2)
Ноябрь 2015 (1)