Проверяем, авторизован ли пользователь на сервере, и есть ли запущенные от него процессы

who
sudo ps -u username

Убиваем процессы пользователя, если они есть

sudo killall -9 -u username

Отключаем все задачи планировщика cron этого пользователя

sudo crontab -r -u username

Собственно удаляем пользователя

Если нужно удалить пользователя, но оставить его домашнюю директорию, то выполняем:

sudo deluser username

Если нужно удалить всё, включая и его домашнюю директорию, то выполняем команду:

sudo deluser --remove-home username

Команда grep

grep является одной из наиболее популярных и мощных утилит для поиска текстовых данных в файлах. Команда grep позволяет указать строку или регулярное выражение для поиска и применяется следующим образом:

grep "ключевое_слово" /путь/к/файлу.txt

Для рекурсивного поиска в каталогах вы можете использовать опцию -r, позволяющую искать вложенные файлы и подкаталоги. Пример:

grep -r "искомый_текст" /путь/к/каталогу

find и xargs совместно

Комбинация команд find и xargs позволяет находить файлы с заданными критериями и передавать их в качестве аргументов для других команд. Пример:

find /путь -type f -exec grep "искомый_текст" {} +

В данном примере find находит все файлы (-type f) в указанном пути и передает их в grep, где производится поиск заданного текста.

find и grep совместно

Комбинирование find и grep позволяет более тонко настраивать поиск. Например, поиск в файлах, измененных за последние 7 дней:

find /путь -type f -mtime -7 -exec grep "искомый_текст" {} +

Поиск в файлах по содержимому в Linux может быть выполнен различными способами, и выбор зависит от конкретной задачи. Описанные инструменты предоставляют гибкость и мощь для проведения поиска в текстовых файлах, а их комбинация может быть использована для достижения оптимальных результатов. Учитывайте особенности каждого инструмента и выбирайте подходящий в зависимости от контекста использования.

Что такое cron?

Cron — это стандартный инструмент в Unix-подобных системах, предназначенный для выполнения задач в установленное время или периодически. Он основан на файлах cron, в которых определены задания и их расписание. Эти файлы хранятся в каталоге /etc/cron.d/ или /var/spool/cron/ и обычно недоступны для редактирования напрямую.

Работа с cron

Создание и редактирование cron-задач

Для создания новой задачи, или редактирования существующих, используется команда:

crontab -e

Она открывает текстовый редактор, в котором можно определить расписание и команду для выполнения. Например, чтобы запустить скрипт “myscript.sh” каждый день в 2 часа ночи, добавьте следующую строку:

0 2 * * * /путь/к/скрипту/myscript.sh

Редактировать команды другого пользователя можно так:

sudo crontab -u username -e

Листинг задач

Список текущих cron-задач можно просмотреть с помощью команды:

crontab -l

Это полезно для проверки текущего расписания и быстрого определения того, что уже настроено.

Вывести задачи другого пользователя можно так:

sudo crontab -u username -l

Удаление задач

Эта команда удаляет все cron-задачи пользователя:

crontab -r

Если необходимо удалить конкретную задачу, используйте:

crontab -l

чтобы увидеть ее номер, а затем:

crontab -r номер

Вывод результата в лог-файл

Для записи результатов выполнения задачи в лог-файл, вы можете использовать перенаправление стандартного вывода и стандартной ошибки в файл прямо внутри команды cron. Вот пример:

* * * * * /путь/к/вашему/скрипту.sh >> /путь/к/лог-файлу.log 2>&1

Здесь >> используется для добавления вывода в конец файла, 2>&1 перенаправляет стандартные ошибки в стандартный вывод, чтобы они также попадали в лог-файл.

Указание времени выполнения задач

В планировщике задач cron в Linux время выполнения задач задается в виде пяти полей, каждый из которых представляет собой определенный аспект времени. Эти поля определяют минуты, часы, дни месяца, месяцы и дни недели. Вот структура этих полей:

* * * * *
- - - - -
| | | | |
| | | | +----- День недели (0 - воскресенье, 1 - понедельник, ..., 6 - суббота)
| | | +------- Месяц (1 - январь, 2 - февраль, ..., 12 - декабрь)
| | +--------- День месяца (1 - 31)
| +----------- Час (0 - 23)
+------------- Минуты (0 - 59)

Каждое поле может принимать определенные значения или диапазоны значений, а также знаки “*” (звездочка) и “/” (косая черта).

• *: Означает “каждый”. Например, если в поле минут стоит “*”, это означает, что задача будет выполняться каждую минуту.
• число: Определенное значение. Например, если в поле часов стоит “3”, задача будет выполняться в 3 часа.
• число-число: Диапазон значений. Например, “1-5” в поле дней недели означает с понедельника по пятницу.
• */число: Каждый определенный интервал. Например, “*/15” в поле минут означает каждые 15 минут.

Примеры:

Запуск задачи каждый день в 3 часа утра:

0 3 * * *

Запуск задачи каждый понедельник и среду в 12:30:

30 12 * * 1,3

Запуск задачи каждый час:

0 * * * *

Запуск задачи каждый день в 5 утра и 8 вечера:

0 5,20 * * *

Таким образом, правильное указание времени выполнения задачи в cron позволяет вам гибко управлять ее расписанием, с учетом требований вашего проекта или системы.

Поиск больших файлов с сортировкой по убыванию, с выводом в терминал только 20 больших файлов,  в указанной папке

find /путь/к/каталогу -type f -size +100M -exec du -h {} + | sort -rh | head -n 20

Эта команда ищет файлы размером более 100 мегабайт в указанном каталоге и его подкаталогах, затем сортирует результаты по размеру в убывающем порядке.

Поиск больших файлов с сортировкой по убыванию в текущей папке

find . -type f -size +500M -exec du -h {} + | sort -rh

Эта команда ищет файлы размером более 500 мегабайт в текущем каталоге и его подкаталогах, затем сортирует результаты по размеру в убывающем порядке.

Поиск больших папок с сортировкой по убыванию и выводом в терминал только 20 самых больших папок

du -h --max-depth=1 /путь/к/каталогу | sort -rh | head -n 20

Эта команда выводит размер каждой папки в указанном каталоге (включая подкаталоги) и сортирует результаты по размеру в убывающем порядке.

Поиск папок, содержащих большое количество файлов, с сортировкой по убыванию, и выводом только 20 таких папок

find /путь/к/каталогу -type d -exec sh -c 'echo -n "{} " && find "{}" -maxdepth 1 -type f | wc -l' \; | sort -k2 -nr | head -n 20

Эта команда ищет все подкаталоги в указанном каталоге, выводит каждый подкаталог вместе с количеством файлов в нем, а затем сортирует результаты по количеству файлов в убывающем порядке.

Для проброса приватного ключа используется SSH Агент. Способ одинаково работает в консоли любых операционных систем Linux, macOS и Windows.

Первым делом проверяем, запущен ли агент, и знает ли он что-то о вашем ключе:

ssh-add -l

Если получаем ответ: Could not open a connection to your authentication agent, запускаем агент командой:

eval 'ssh-agent'

Если ответ: The agent has no identities, значит нужно сообщить ему о вашем приватном ключе, выполнив команду:

ssh-add

Если в ответе команды ssh-add -l вы видите путь к своему приватному ключу, значит всё хорошо, и вы можете подключаться к удалённому серверу по ssh, добавив при подключении опцию -A, то есть вот так:

ssh -A user@host:port

Или можно установить опцию ForwardAgent yes в файле ~/.ssh/config на вашем локальном компьютере:

Host *
  ForwardAgent yes

Для проверки, что всё хорошо и ключ проброшен, на удалённом сервере можно выполнить команду:

echo "$SSH_AUTH_SOCK"

Если всё ок, то она должна вернуть что-то похожее на:

/tmp/ssh-DCIux21917/agent.21917

Это дает возможность злоумышленнику включить страницу регистрации (если она была отключена) и установить роль пользователя по умолчанию в качестве администратора, чтобы создать учетную запись с административными привилегиями. Таким образом  злоумышленник получает полный контроль над сайтом, может его редактировать, а так же загружать на сервер абсолютно любые файлы.

Что это за плагин?.

Elementor Pro – это популярный плагин для WordPress, который позволяет создавать профессионально выглядящие страницы и посты на сайте под управлением WordPress без необходимости знания кодирования.

Он предоставляет мощный визуальный редактор, который позволяет вам создавать страницы методом drag-and-drop (перетаскивания элементов), выбирать из более чем 80 встроенных виджетов (включая текстовые блоки, кнопки, формы и графики), а также импортировать готовые шаблоны, которые могут быть адаптированы под ваши нужды.

Elementor Pro также предлагает множество дополнительных функций, таких как создание анимации и интерактивных элементов, интеграция с популярными службами отправки электронной почты и CRM-системами, поддержка полноэкранного просмотра и возможность создавать темы и шаблоны для вашего сайта.

Он предлагает функции, такие как создание областей контента и шаблонов, глобальные виджеты и управление стилями, позволяющие повторно использовать элементы на других страницах вашего сайта.

Elementor Pro предлагает множество функций для создания привлекательного и профессионального контента, что делает его одним из наиболее популярных плагинов для WordPress.

Эксплуатация уязвимости Elementor Pro

В настоящий момент наблюдаются массовые взломы сайтов на WordPress, использующих одновременно плагины WooCommerce и Elementor Pro версии ниже 3.11.7.

После взлома на сервере можно обнаружить новые файлы wp-resortpark.zip, wp-rate.php или lll.zip, однако естественно, могут быть файлы и с другими именами.

Взломанные сайты в данный момент используются для перенаправления посетителей на другие вредоносные сайты, но также могут использоваться и для других целей (атака на другие сайты, рассылка спама, фишинг и т.д).

Плагин используется на 12 миллионах сайтов, из-за чего компания NinTechNet, сообщившая об уязвимости, присвоила рейтинг серьезности уязвимости 8,8 из 10.

Как защитить свой сайт на WordPress

Необходимо обновить плагин Elementor Pro до версии не ниже 3.11.7 (на момент написания этой статьи, актуальная версия 3.12.1). Хочу заметить, что плагин является платным.

Если сайт уже взломан, необходимо найти и удалить на сервере все загруженные злоумышленником файлы, а так же удалить созданных им пользователей.

Если вам необходима помощь в устранении последствий взлома на вашем сайте, под управлением WordPress, с удалением всего вредоносного кода, вы можете обратиться ко мне, по любым, удобным для вас контактам.

Решение проблемы описано в Яндекс Справке. Нам остаётся только внедрить его в настройки nginx на сервере под управлением “1С-Битрикс: Веб-окружение”.

Для начала уберём заголовок X-Frame-Options из файла /etc/nginx/bx/conf/general-add_header.conf. Можно просто его закомментировать:

add_header "X-Content-Type-Options" "nosniff";
#add_header X-Frame-Options SAMEORIGIN;

А теперь снова добавим его, но исключим Яндекс Метрику. Для этого в конец файла /etc/nginx/bx/conf/bitrix_general.conf добавим:

# yandex webvisor fix
set $frame_options '';
if ($http_referer !~ '^https?:\/\/([^\/]+\.)?(yourdomain\.com|webvisor\.com|metri[ck]a\.yandex\.(com|ru|by|com\.tr))\/'){
   set $frame_options 'SAMEORIGIN';
}
add_header X-Frame-Options $frame_options;

Где yourdomain\.com нужно заменить на домен вашего сайта.

Далее проверяем корректность синтаксиса конфигурационных файлов Nginx, выполнив в консоли команду:

nginx -t

И если всё ок, перезапускаем Nginx:

service nginx reload

Таким образом мы оставили заголовок X-Frame-Options для всех, за исключением Яндекс Метрики. Вебвизор должен корректно заработать.

Об уязвимости стало известно ещё в середине 2022 года, тогда была первая волна массовых взломов. Сейчас же наблюдается вторая волна – страдают практически все сайты с неактуальной версией Битрикс.

Разработчики уязвимость признали, однако судя по всему уязвим не только модуль vote. Так как взламывают и те сайты, где его никогда не было. Единственное решение, которое они предложили – это обновление Битрикс до последней версии.

Как определить, что ваш сайт уже взломали

В админке Битрикса загляните в Агенты. Если видите там что-то подобное, значит 100%, что ваш сат подвергся взлому.

Однако, как показала практика, “левый” агент бывает не всегда.

Посмотрите файлы сайта. Обычно прямо в корне могут появиться файлы с рандомными буквенно-циферными именами. Очень часто такой файл находится в папке /bitrix/admin/.

В нескольких случаях в каждой папке сайта на CMS Битрикс был создан файл .htaccess. На одном из сайтов я насчитал их 15000 штук

Могут быть модифицированы .php и .js файлы сайта, в них дописан вредоносный код.

В нескольких случаях вредоносный код был дописан в index.php сайта, причём если удалить его оттуда, или даже удалить полностью сам файл, он тут же автоматически появлялся снова.

Во всех случаях на сайтах были найдены десятки вредоносных .php файлов в абсолютно рандомных папках, с рандомными именами, кодом и датой модификации.

Как почистить сайт от вредоносного кода и устранить последствия взлома

Если контент на вашем сайте редко обновляется, известна дата взлома и у вас есть заведомо чистая резервная копия – самый простой способ, это удалить все файлы и базу сайта, и далее восстановить их из резервной копии. Нужно делать именно так, а не восстанавливать бэкап поверх существующих файлов, так как при распаковке поверх, вредоносные файлы никуда не денутся.

Если же бэкапа нет, или контент сайта постоянно обновляется, то нужно:

• Удалить Агент в админке, если он есть.
• Найти и удалить все вредоносные файлы, а также восстановить те, которые были модифицированы.

Здесь я не могу дать общего совета как искать, так как каждый раз случай уникален. Пользуйтесь командой find, ищите по дате модификации, правам, пробуйте искать .php файлы в тех папках, где их вообще не должно быть. Используйте антивирусы типа ImunifyAV, и т.д. Однако все способы нужно обязательно комбинировать. Например, тот же антивирус обычно не находит и половины вредоносных файлов.

ВАЖНО! Восстанавливать сайт из резервной копии можно лишь в том случае, если вам достоверно известна дата первоначального взлома, и вы на 100% уверены, что имеющаяся резервная копия абсолютно чиста.  Тоже самое касается и обновлений – обновлять систему нужно только после того, как будет удалён весь вредоносный код. В противном случае взломы продолжатся, но при этом вы в несколько раз усложните себе, или специалисту, работу по поиску вредоносных файлов.

Если вам нужна помощь с полной проверкой вашего сайта на Битрикс под ключ, с удалением всего вредоносного кода, можно обратиться ко мне, по любым удобным контактам.

Стоимость услуги составит 100 BYN (≈3000 RUB или $35 USD). 

Как закрыть уязвимость и предотвратить взлом сайтов на Битрикс в дальнейшем

Правильный способ только один – это обновить Битрикс до последней, актуальной версии. Другого способа разработчики не предоставили. И да, для этого потребуется активная лицензия.

Существует и временное решение, запретить POST запросы к тем файлам сайта, через которые и происходит взлом. Этот список был вычислен при исследовании логов запросов к пострадавшим сайтам. Однако повторюсь – решение временное, оно не даёт 100% гарантии, и к тому же “ломает” часть функционала админки сайта.

Использовать его следует только тогда, когда прямо сейчас обновиться нет возможности. Для этого в файлы:

• /bitrix/tools/upload.php
• /bitrix/tools/mail_entry.php
• /bitrix/modules/main/include/virtual_file_system.php
• /bitrix/components/bitrix/sender.mail.editor/ajax.php
• /bitrix/tools/vote/uf.php
• /bitrix/tools/html_editor_action.php
• /bitrix/admin/site_checker.php

(у вас могут присутствовать не все из них) в начало, перед required добавьте следующий код код:

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    header("Status: 404 Not Found");
    die();
}

После обновления Битрикс, этот код из файлов нужно будет удалить.

UPD 26.05.2023 – массовый взлом от лица IT ARMY of Ukraine.

Сегодня снова было взломано огромное количество сайтов, на Битрикс. Была заменена главная страница сайтов, вместо неё можно было наблюдать следующее:

Также при этом полностью были удалены папки bitrix и upload. Взломаны были сайты на абсолютно разных версиях битрикс, даже на актуальный.

Однако анализ логов показал, что взлом был осуществлён через бэкдоры, оставленные ранее. То есть, например, хотя битрикс и был обновлён до новой версии, однако перед этим не были найдены все бэкдоры, оставленные на сайте. Через них и произошёл взлом.

В данном конкретном случае единственная возможность восстановить сайт – это восстановить его из резервной копии. А затем, обязательно найти бэкдоры, которые были заранее размещены на нём. В противном случае сайт будет взломан повторно.

Если вам необходима помощь, вы по прежнему можете обратиться за ней ко мне по любым контактам с этой страницы.

В сети не мало примеров скриптов, которые копируют бэкапы, созданные Битриксом, или Веб-окружением на удалённый сервер. Но не во всех случаях такой метод уместен, так как, эти бэкапы всё равно создаются и хранятся изначально на самом сервере с сайтом, занимая там место, которого может категорически не хватать.

Можно конечно написать свой собственный скрипт резервного копирования сайта сразу на удалённый FTP, но зачем изобретать велосипед, когда функционал резервного копирования уже есть в Битрикс: Веб-окружении.

Итак, задача: имеем сайт на Битрикс, работающий на VDS под управлением “1С-Битрикс: Веб-окружение”. Сайт большой, свободного места на сервере мало, его не достаточно для создания и хранения даже одной резервной копии. Нужно чтобы бэкапы создавались сразу на удалённый FTP сервер и хранились там же.

Решить эту задачу я предлагаю максимально просто. Используя стандартный механизм резервного копирования “1С-Битрикс: Веб-окружение” в стандартную папку, в которую мы смонтируем удалённый FTP сервер.

Монтируем удалённый ftp сервер, как локальную папку.

Устанавливаем curlftpfs:

yum install curlftpfs

Узнаём id пользователя bitrix в системе. Обычно это 600:

id -u bitrix

В файл /etc/fstab добавляем строку:

curlftpfs#ftp://USER:PASSWORD@SERVER/ /home/bitrix/backup/archive fuse rw,uid=600,allow_other,user 0 1

Где:

• USER:PASSWORD@SERVER – данные удалённого FTP сервера.
• /home/bitrix/backup/archive – стандартная папка, в которую Веб-окружение делает резервные копии.
• 600 – id пользователя bitrix, который мы узнали выше.

Монтируем:

mount -a

Проверяем, что всё примонтировалось корректно:

df -h

На этом этапе, у нас получилось так, что всё, что попадает в папку /home/bitrix/backup/archive хранится уже не на локальном сервере, а на удалённом FTP. И на локальном сервере не занимает абсолютно никакого места. Можете проверить этот момент, загружая в эту папку какие-нибудь файлы на сервере с сайтом. Они должны сразу же быть видны на удалённом FTP сервере. И наоборот.

Настраиваем резервное копирование средствами “1С-Битрикс: Веб-окружение”

Здесь всё просто и стандартно.

В меню “1С-Битрикс: Веб-окружение” выбираем пункт 6. Configure pool sites:

Затем снова пункт 6. Change backup settings on site:

А дальше включаем резервное копирование сайта, настраиваем расписание, и т.д. Всё стандартно и в стандартную папку. Подробнее о настройке резервного копирования можно почитать на сайте Битрикса.

На этом наша задача полностью решена. Теперь “1С-Битрикс: Веб-окружение” будет создавать резервные копии по заданному расписанию, эти резервные копии будут храниться на удалённом FTP сервере, и не будут занимать никакого места на сервере с сайтом.

Аналогично можно настроить резервные копии и любых других систем, которые умеют создавать бэкапы только локально.

Если вы в поисках, где взять удалённый FTP сервер, для хранения резервных копий за адекватную стоимость – обращайтесь, подберу для вас варианты практически любого объёма.

Как использовать команду find

Команда “find” имеет следующий синтаксис:

find [path] [expression]

где “path” – это путь к каталогу, в котором вы хотите искать файлы, а “expression” – это выражение, которое определяет критерии поиска.

Поиск по типу

Параметр -type позволяет искать файлы по типу, которые бывают следующих видов:

• f – простые файлы.
• d – каталоги.
• l – символические ссылки.
• b – блочные устройства (dev).
• c – символьные устройства (dev).
• p – именованные каналы.
• s – сокеты.

Например, вот так, будут найдены только каталоги внутри текущего:

find . -type d

Поиск по имени

Для поиска по имени используется параметр -name. Например, команда для поиска всех файлов с расширением .txt в каталоге /home/ будет выглядеть так:

find /home/ -type f -name "*.txt"

Найти все папки с именем my_folder в текущем каталоге можно так:

find . -type d -name "my_folder"

Поиск по размеру файла

Для поиска по размеру используется параметр -size.

• + – Поиск файлов больше заданного размера
• – – Поиск файлов меньше заданного размера
• Отсутствие знака означает, что размер файлов в поиске должен полностью совпадать.

Единицы измерения указываются так:

• c — Байт
• k — Кбайт
• M — Мбайт
• G — Гбайт

Например, найти все файлы, в каталоге /home/ с размером больше 100 Мбайт можно так:

find /home/ -size +100M

Поиск пустых файлов и каталогов

Для поиска пустых папок и файлов используется параметр -empty. Например, найдём все пустые файлы и папки в каталоге /home/:

find /home/ -empty

Поиск файлов по дате

Доступны следующие параметры:

• -mtime – Время изменения файла. Указывается в днях.
• -mmin – Время изменения в минутах.
• -atime – Время последнего обращения к объекту в днях.
• -amin – Время последнего обращения в минутах.
• -ctime – Последнее изменение владельца или прав на объект в днях.
• -cmin – Последнее изменение владельца или прав в минутах.

Например, найдём все файлы, изменённые в каталоге /home/ за последние 60 минут:

find /home/ -cmin -60

А если мы наоборот, хотим найти все файлы, изменённые раньше, чем час назад, то в команде минус меняем на плюс:

find /home/ -cmin +60

Можно также вывести список файлов с сортировкой по дате модификации.

Например, вот эта команда выведет все файлы из каталога /home/ с сортировкой по дате модификации. Файлы изменённые недавно, окажутся в начале списка:

find /home/ -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

А вот так, мы изменим сортировку, то есть последние изменённые файлы окажутся в конце списка:

find /home/ -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -n

А так, мы можем ограничить количество выводимых результатов. Например вывести только 50:

find /home/ -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -n | head -n 50

Поиск по пользователю или группе

Для поиска файлов принадлежащих определённому пользователю, или группе, используются параметры -user и -group. Например, найдём в каталоге /home/ все файлы, принадлежащие пользователю admin:

find /home/ -user admin

Поиск по правам доступа

Для поиска по правам доступа используется параметр -perm. Например, найдём все файлы с правами 777 в каталоге /home/:

find /home/ -perm 777

Поиск с использованием логических операторов

При поиске можно использовать логические операторы:

• -a – Логическое И. Объединяет несколько критериев поиска.
• -o – Логическое ИЛИ. Ищем на основе одного из критериев поиска.
• -not или ! – Логическое НЕ.

Например, найдём в каталоге /home/ все файлы начинающиеся на sess_ или заканчивающиеся на tmp:

find /home/ -type f -name "sess_*" -o -name "*tmp"

Исключить из поиска определённые папки

При поиске с помощью команды find, можно исключать определённые каталоги. Например мы хотим найти все файлы с расширением .php, изменённые за последние 2 дня во всех папках сайта, за исключением папок /bitrix/managed_cache/ и /bitrix/cache/:

find /home/www/ -type f -name "*.php" -mtime -1 -not -path "*/bitrix/managed_cache/*" -not -path "*/bitrix/cache/*"

Как удалить найденные файлы

Для удаления найденных файлов можно использовать параметр -delete, дописав его в конце команды поиска.

Например, удалим из папки /tmp/ все файлы старше 10 дней:

find /tmp/ -type f -mtime +10 -delete