Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB58.7570
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 16.05.2012, 17:50   #1
DimaX
Senior Member
 
Регистрация: 19.04.2007
Сообщений: 2,272
Бабло: $294990
По умолчанию Как проверить сайт на утечки трафа?

Появилось подозрение, что на одном из сайтов должно быть немного больше трафика, чем есть, в связи с чем вопрос, каким образом отыскать 99.9% способов, которыми могут тырить траф?

Пока просто поискал по всем файлам сайта "base64" и "eval", ничего не нашел.

Подскажите, плиз, кто в теме, как и что поискать, чтобы или найти вора или убедиться, что все в порядке

Да, а может такое быть, что ничего не будет непосредственно в файлах сайта, но в ОС сервера, где он лежит, будет внедрена какая-то хрень, которая будет по какому-то признаку редиректить часть трафа с этого сайта? Чтобы найти сложнее было.
DimaX вне форума  
Старый 16.05.2012, 20:43   #2
Xenu
Ебланнед
 
Регистрация: 08.11.2008
Адрес: Les Yebenes
Сообщений: 1,878
Бабло: $261432
По умолчанию

попробуй сам имитировать "нужный" траф, заходя с SE по хорошим запросам с "платежеспособными" IP, при этом смотри куки, тогда сам все увидишь...

для поиска прогони для начала скриптом ai-bolit, может он что и найдет.
Xenu вне форума  
Старый 16.05.2012, 20:53   #3
imgreen
Lion King
 
Аватар для imgreen
 
Регистрация: 15.11.2008
Сообщений: 12,074
Бабло: $247698106
По умолчанию

Цитата:
Да, а может такое быть, что ничего не будет непосредственно в файлах сайта, но в ОС сервера, где он лежит, будет внедрена какая-то хрень, которая будет по какому-то признаку редиректить часть трафа с этого сайта? Чтобы найти сложнее было.
да, такое даже практикуют, только не в ос, а в веб-сервер
imgreen вне форума  
Старый 23.05.2012, 10:57   #4
KongWeiLing
Senior Member
 
Аватар для KongWeiLing
 
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $80935
По умолчанию

лог веб запросов посмотри, бывает уведенный траф ведут на страницу где в айфрейме подгружается твой сайт, и в реферарах в логе увидишь какойто невнятный домен.
если уводят траф значит сломали, опять же пошерсти логи за месяц на UNION и прочую херь.
помимо base64 поищи gzinflate, str_rot13, gzuncompress, urldecode есть и еще, так на вскидку не вспомню=)
поищи всякие последовательности типа \x62\141\x73\145\x36\64\x5f тоже довольно популярны.
поищи все строки с $GLOBALS видел обфускации где в нее писали. Для js редиректов есть ряд популярных сигнатур и скрипт для чистки, правда у меня он не сохранял изменения пока я не переписал его вот ссыль https://gist.github.com/2359497/ . Если еще помочь - в личку.
KongWeiLing вне форума  
Старый 23.05.2012, 11:08   #5
Strikelol
Senior Member
 
Регистрация: 31.03.2011
Сообщений: 3,056
Бабло: $632595
По умолчанию

нужно логи смотреть, начинку сайта. + еще бы глянул конфиг веб сервера. может там действительно прописан редирект с определенной ссылки. Но если серьезный обьем трафа там - то лучше поручить специалисту который посидит и поковыряет сам. Удалённо чтобы найти бэкдоры - нужно научить всему того кто будет искать. Не факт что по всем мерам которые предложил KongWeiLing найдешь. Во-первых - можешь прозевать что-то, во-вторых - это не все способы которыми могут сохранять доступ на твой сайт.
Strikelol вне форума  
Старый 23.05.2012, 19:29   #6
KongWeiLing
Senior Member
 
Аватар для KongWeiLing
 
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $80935
По умолчанию

Цитата:
Сообщение от Strikelol Посмотреть сообщение
нужно логи смотреть, начинку сайта. + еще бы глянул конфиг веб сервера. может там действительно прописан редирект с определенной ссылки. Но если серьезный обьем трафа там - то лучше поручить специалисту который посидит и поковыряет сам. Удалённо чтобы найти бэкдоры - нужно научить всему того кто будет искать. Не факт что по всем мерам которые предложил KongWeiLing найдешь. Во-первых - можешь прозевать что-то, во-вторых - это не все способы которыми могут сохранять доступ на твой сайт.
я перечислил большинство способов редиректа, уже велика вероятность найти. если найдешь то стоит конечно и на предмет бэкдоров пройтись. А если нет то тут конечно тоже верно что не факт что нету.


Кстати ТС!! совсем забыл в шелле сделай поиск по последним измененным файлам!
например find . -mtime -30 -name "*.php" выведет пхпшки измененные за последний месяц
таже проверь js, а потом и вообще все файлы. Но чаще всего php или js достаточно
KongWeiLing вне форума  
Старый 24.05.2012, 01:13   #7
Xenu
Ебланнед
 
Регистрация: 08.11.2008
Адрес: Les Yebenes
Сообщений: 1,878
Бабло: $261432
По умолчанию

Цитата:
Сообщение от KongWeiLing Посмотреть сообщение
Кстати ТС!! совсем забыл в шелле сделай поиск по последним измененным файлам!
например find . -mtime -30 -name "*.php" выведет пхпшки измененные за последний месяц
таже проверь js, а потом и вообще все файлы. Но чаще всего php или js достаточно
touch сделать 3 секунды, этим только школобро пренебрегают, но они бы до состояния "чувствую что где-то наебывают, но где - не пойму" ТС-а не довели...
Xenu вне форума  
Старый 24.05.2012, 10:10   #8
KongWeiLing
Senior Member
 
Аватар для KongWeiLing
 
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $80935
По умолчанию

Цитата:
Сообщение от Xenu Посмотреть сообщение
touch сделать 3 секунды, этим только школобро пренебрегают, но они бы до состояния "чувствую что где-то наебывают, но где - не пойму" ТС-а не довели...
ну хз, пол рунета (incity.ru irr.ru и другие, в том числе моего заказчика на аудит) раздолбил один такой школобро с редиректом на свой домен вида ( domain.ru/X9SA ) где поверх фрейма с сайтом выводилась проcьба подтвердить, что вы не бот путем ввода своего номера телефона. Он тачем пренебрег.
KongWeiLing вне форума