mSnus Feb 25 2021 at 11:18

Сказ о том, как я с гидрой боролся

6 min

16K

CMS*Website development*Antivirus protection*Programming*1C*

Recovery Mode

+26

Comments 28

amarao Feb 25 2021 at 11:58

Он покопался в ведре с отходами "Б" гнойного отделения хирургии, нашёл там почти целое яблоко, покрытое какой-то слизью и налипшими крошками и песком. Ещё покопавшись в ведре он нашёл относительно чистый бинт, обтёр им яблоко и звучно хрумкнул его.

Другой аналогии я придумать не могу.

mSnus Feb 25 2021 at 12:01

Всё почти так, только это не яблоко, а нога пациента в очень запущенном состоянии. Отпиливать ногу и пересаживать похожую, но новую, пациент отказывается. Дальше вопрос — отказать ему в помощи или попытаться что-то сделать…

iiwabor Feb 25 2021 at 12:11

«любой скрипт спокойно читал любой файл из директорий выше уровнем (логи, бекапы...) и писал что угодно в другие папки» — за такое надо отрывать… нет, не руки, хотя и их тоже можно и нужно.

mSnus Feb 25 2021 at 12:36

дальнейшее общение с техподдержкой:
— ОК, я прописал open_basedir в .htaccess. Как мне теперь защитить сам .htaccess?
— используйте chattr +i
— но у меня не хватает прав…
— значит, вы не можете использовать chattr +i
<The end. Directed by R. Weide>

UFO just landed and posted this here

mSnus Feb 25 2021 at 16:42

Вам будет любопытно узнать, что этот хостинг стоит примерно вдвое дороже… 5.7 евро в месяц при оплате за год )))

UFO just landed and posted this here

evgeniymx Feb 28 2021 at 13:58

А вы сравнивали расход оперативной памяти при размещении сайта на хостинге с условными 2гб лимита, или на виртуалке с теми же 2гб лимита? А 10 сайтов на том же тарифе хостинга и на той же виртуалке, при условии, что сайты посещает больше 1 человека и 10 ботов?

UFO just landed and posted this here

mSnus Feb 25 2021 at 21:21

Рецепт хорош! И теперь, когда сайт чистый, так можно сделать. Осталось объяснить заказчику, сколько времени это займет, сколько будет стоить и зачем ему это… мне кажется, я сдамся на этом этапе))

a1ex322 Feb 25 2021 at 23:32

Следующий вирус дождитесь

TimsTims Feb 26 2021 at 23:52

После этого любая проблема с заражением решается простым git reset --hard HEAD.

Если сервер заразили, то как-то нашли дыру в текущей сборке. Сбросив всё до нуля вы лишь удалите загруженные вирусы, но не залатаете дыру, через которую зашли. А значит зайдут снова.

UFO just landed and posted this here

mSnus Feb 27 2021 at 01:30

Если люди способны на настолько здравые мысли, непонятно, зачем у них сайт на Битриксе. И раньше-то аргументов за эту CMS было немного, а сейчас столько вариантов лучше! Да просто — нормальных

UFO just landed and posted this here

Carburn Mar 16 2021 at 22:15

Какие это варианты?

Carburn Mar 16 2021 at 22:48

А если у вируса инкубационный период будет?

diakin Feb 26 2021 at 06:39

бесплатную программу под Windows для анализа логов — буду рад, платить за http Logs Viewer мне не захотелось

Хм… когда-то писал для себя такую

mSnus Feb 26 2021 at 11:45

выглядит отлично! может, на github? :) а то я тоже собрался писать подобное, но задача себя исчерпала пока, а на пет-проект с нуля времени нет особо

diakin Feb 26 2021 at 15:17

Эм… У меня и гитхаба-то никакого нет ) Могу выложить на яндекс-диск.
зы. omg… Вы не можете комментировать чаще, чем 1 раз в 5 минут (с) Habr

qWici Feb 26 2021 at 16:34

Опишите ещё как вы заказчику рассказали о вирусе и то что он не понятно где и как его удалять. Интересно как этот момент прошел, учитывая что это фриланс.

P.S. "список директорий, обращение к которым через inlclude считается криминальным." — исправьте include

mSnus Feb 26 2021 at 16:58

Спасибо, поправил. А с заказчиком — это тянулось (несмотря на все предупреждения, что сайт может попасть в блеклисты и оттуда его не вытянешь) до момента, когда в увидели, что Гугл проиндексировал уже продажу японских детских курток на главной странице сайта…

Slach Mar 2 2021 at 18:11

Для анализа логов попробуйте
github.com/esrlabs/chipmunk

mSnus Mar 3 2021 at 09:14

Спасибо, попробовал, но что-то вообще не пошло — долго грузит даже маленький файл, ни подсветки синтаксиса, ни группировок/фильтров… то ли он меня не понял, то ли я его

Dionisvl Mar 3 2021 at 15:01

Тоже был опыт лечения битрикса от гидры.
Если коротко, то добавил в php.ini:

disable_functions = "apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, exec, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, shell_exec, syslog, system"

mSnus Mar 3 2021 at 15:56

Отличный список, спасибо! На том хостинге не было доступа к php.ini, но на вооружение стоит взять! Правда, в Битриксе некоторые из этих функций используются...

evgeniymx Mar 4 2021 at 11:54

Это не решение проблемы, а временный фикс.

UFO just landed and posted this here

Show the best of all time