|
| Дата |
|
USD/RUB | 93.4409 | BTC/USD | 64386.0864 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
16.05.2012, 17:50
|
#1
|
Senior Member
Регистрация: 19.04.2007
Сообщений: 2,393
Бабло: $314345
|
Как проверить сайт на утечки трафа?
Появилось подозрение, что на одном из сайтов должно быть немного больше трафика, чем есть, в связи с чем вопрос, каким образом отыскать 99.9% способов, которыми могут тырить траф?
Пока просто поискал по всем файлам сайта "base64" и "eval", ничего не нашел.
Подскажите, плиз, кто в теме, как и что поискать, чтобы или найти вора или убедиться, что все в порядке
Да, а может такое быть, что ничего не будет непосредственно в файлах сайта, но в ОС сервера, где он лежит, будет внедрена какая-то хрень, которая будет по какому-то признаку редиректить часть трафа с этого сайта? Чтобы найти сложнее было.
|
|
|
16.05.2012, 20:43
|
#2
|
Ебланнед
Регистрация: 08.11.2008
Адрес: Les Yebenes
Сообщений: 1,872
Бабло: $261432
|
попробуй сам имитировать "нужный" траф, заходя с SE по хорошим запросам с "платежеспособными" IP, при этом смотри куки, тогда сам все увидишь...
для поиска прогони для начала скриптом ai-bolit, может он что и найдет.
|
|
|
16.05.2012, 20:53
|
#3
|
Senior Member
Регистрация: 15.11.2008
Сообщений: 13,230
Бабло: $247845881
|
Цитата:
Да, а может такое быть, что ничего не будет непосредственно в файлах сайта, но в ОС сервера, где он лежит, будет внедрена какая-то хрень, которая будет по какому-то признаку редиректить часть трафа с этого сайта? Чтобы найти сложнее было.
|
да, такое даже практикуют, только не в ос, а в веб-сервер
|
|
|
23.05.2012, 10:57
|
#4
|
Senior Member
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $81005
|
лог веб запросов посмотри, бывает уведенный траф ведут на страницу где в айфрейме подгружается твой сайт, и в реферарах в логе увидишь какойто невнятный домен.
если уводят траф значит сломали, опять же пошерсти логи за месяц на UNION и прочую херь.
помимо base64 поищи gzinflate, str_rot13, gzuncompress, urldecode есть и еще, так на вскидку не вспомню=)
поищи всякие последовательности типа \x62\141\x73\145\x36\64\x5f тоже довольно популярны.
поищи все строки с $GLOBALS видел обфускации где в нее писали. Для js редиректов есть ряд популярных сигнатур и скрипт для чистки, правда у меня он не сохранял изменения пока я не переписал его вот ссыль https://gist.github.com/2359497/ . Если еще помочь - в личку.
|
|
|
23.05.2012, 11:08
|
#5
|
Senior Member
Регистрация: 31.03.2011
Сообщений: 3,360
Бабло: $669045
|
нужно логи смотреть, начинку сайта. + еще бы глянул конфиг веб сервера. может там действительно прописан редирект с определенной ссылки. Но если серьезный обьем трафа там - то лучше поручить специалисту который посидит и поковыряет сам. Удалённо чтобы найти бэкдоры - нужно научить всему того кто будет искать. Не факт что по всем мерам которые предложил KongWeiLing найдешь. Во-первых - можешь прозевать что-то, во-вторых - это не все способы которыми могут сохранять доступ на твой сайт.
|
|
|
23.05.2012, 19:29
|
#6
|
Senior Member
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $81005
|
Цитата:
Сообщение от Strikelol
нужно логи смотреть, начинку сайта. + еще бы глянул конфиг веб сервера. может там действительно прописан редирект с определенной ссылки. Но если серьезный обьем трафа там - то лучше поручить специалисту который посидит и поковыряет сам. Удалённо чтобы найти бэкдоры - нужно научить всему того кто будет искать. Не факт что по всем мерам которые предложил KongWeiLing найдешь. Во-первых - можешь прозевать что-то, во-вторых - это не все способы которыми могут сохранять доступ на твой сайт.
|
я перечислил большинство способов редиректа, уже велика вероятность найти. если найдешь то стоит конечно и на предмет бэкдоров пройтись. А если нет то тут конечно тоже верно что не факт что нету.
Кстати ТС!! совсем забыл в шелле сделай поиск по последним измененным файлам!
например find . -mtime -30 -name "*.php" выведет пхпшки измененные за последний месяц
таже проверь js, а потом и вообще все файлы. Но чаще всего php или js достаточно
|
|
|
24.05.2012, 01:13
|
#7
|
Ебланнед
Регистрация: 08.11.2008
Адрес: Les Yebenes
Сообщений: 1,872
Бабло: $261432
|
Цитата:
Сообщение от KongWeiLing
Кстати ТС!! совсем забыл в шелле сделай поиск по последним измененным файлам!
например find . -mtime -30 -name "*.php" выведет пхпшки измененные за последний месяц
таже проверь js, а потом и вообще все файлы. Но чаще всего php или js достаточно
|
touch сделать 3 секунды, этим только школобро пренебрегают, но они бы до состояния "чувствую что где-то наебывают, но где - не пойму" ТС-а не довели...
|
|
|
24.05.2012, 10:10
|
#8
|
Senior Member
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $81005
|
Цитата:
Сообщение от Xenu
touch сделать 3 секунды, этим только школобро пренебрегают, но они бы до состояния "чувствую что где-то наебывают, но где - не пойму" ТС-а не довели...
|
ну хз, пол рунета (incity.ru irr.ru и другие, в том числе моего заказчика на аудит) раздолбил один такой школобро с редиректом на свой домен вида ( domain.ru/X9SA ) где поверх фрейма с сайтом выводилась проcьба подтвердить, что вы не бот путем ввода своего номера телефона. Он тачем пренебрег.
|
|
|
|