Иногда возникает необходимость проверить нет ли на вашем сервере залитых шеллов через дырявые скрипты. Естественно, что гарантий тут никто не дает, но хотя бы простые проверки иногда запускать можно. Все нижесказанное относится к PHP шеллам:
Можно так же попробовать поискать файлы по дате создания или изменения. Но, возможно, что злоумышленник специально их поправил.
Для поиска руткитов рекомендую воспользоваться . Но это тоже не дает гарантий. Если есть возможность рекомендуется переустановить систему и восстановить сайты из бэкапов.
SSLv2 уже давно не обеспечивает приемлемого уровня безопасности и поэтому желательно отключить его в mod_ssl. Для этого в виртуалхосте апача надо прописать:
Tripware это система для контроля за целостностью и изменениями файлов. Очень хорошее подспорье для повышения безопасности сервера и обнаружения вторжений. Например поможет определить, что сломали ваше веб-приложение и залили какой-нибудь веб-шелл.
Установка (FreeBSD):
cd /usr/ports/security/tripwire && make install
Там надо будет проскроллить лицензионное соглашение и ввести “accept”.
В процессе установки будет создан файл-ключей и подписан файл политики.
Сам файл с описанием политики проверки /usr/local/etc/tripwire/twpol.txt
Правим его, добавляем свои папки. Обращаем внимание на уровень критичности и рекурсивность проверки $(SEC_CRIT) (recurse = true). В глобальной конфигурации прописываем e-mail для отчетов:
GLOBALEMAIL=admin@domain.com;
Потом обновляем политику (она преобразуется из текстового файла в свой формат) и инициализируем базу:
С помощью использования методов TRACK и TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг. Для отключения метода TRACE в конфиге апача надо указать (начиная с версии 2.0.55):
TraceEnable off
Директивой Limit этот метод ограничить нельзя!
Для отключения TRACK надо поместить в .htaccess:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
