С нами с 18.11.99
Сообщения: 14226
|
 Добавлено: 10/12/12 в 21:35 |
У нас похачили один сайт, и поставили туда вирус.
Каким то образом залили на сервер php скрипт и затем сишный код. Использовали какую то дырку в FreeBSD получили полные права. Что сделали на сервере не понятно. Все скрипты и шаблоны весь сайт был перезалит. При этом Гугль ругается на вредоносное ПО. Фаербагом ничего не обнаружил. После тестов сами поймали винлокер.
Помогите пожалуйста советом, кто был в аналогиных ситуациях, куда нужно смотреть?
|
|
|
|
| |
С нами с 06.11.02
Сообщения: 24551
Рейтинг: 5315
|
| Добавлено: 10/12/12 в 22:03 |
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 10/12/12 в 22:30 |
Полные права - проще реинсталл. Весьма может быть там сидит руткит, которого хер найдешь.
|
|
|
|
| |
+ + + + + +
С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809
|
| Добавлено: 10/12/12 в 22:39 |
Фряху порутать это уже интересно. Суть действий брать бекап сайта за период до взлома, смотреть в логах как влезли - латать это место в скрипте. Реинсталлить фряху до версии на которую нету сплоита на багтраках. Заливать скрипт. По поводу сами поймали винлокер - Нужно обновлять браузер(лучше и операционную систему) постоянно и ставить плагин noscript на фаерфокс.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 10/12/12 в 22:42 |
Интересно, как с носкриптом ходить по нынешнему вебу вообще?
|
|
|
|
| |
С нами с 08.02.03
Сообщения: 10564
Рейтинг: 5962
 
|
| Добавлено: 10/12/12 в 23:03 |
Pentarh: намана  можно привыкнуть
|
|
|
|
| |
Добрых Дел Мастер
С нами с 03.05.08
Сообщения: 3143
Рейтинг: 1227
|
| Добавлено: 10/12/12 в 23:09 |
| Pentarh писал: | | Интересно, как с носкриптом ходить по нынешнему вебу вообще? |
да нормально вроде. только есть плагины еще проще чем носкрипт. к примеру QuickJava или Quick Javascript Switcher (для хрома). на тулбар просто кнопку "выключить js" из настроек выносит да и все. бегаешь везде с выключенным, там где надо - включаешь. обычно надо мало где 
|
|
|
|
пришел к победе коммунистического труда
|
8
|
|
| |
+ + + + + +
С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809
|
| Добавлено: 10/12/12 в 23:09 |
| Pentarh писал: | | Интересно, как с носкриптом ходить по нынешнему вебу вообще? |
Нормально ходится что нужно можно разрешить для выполнения.
|
|
|
|
| |
С нами с 11.10.12
Сообщения: 428
Рейтинг: 1032
|
| Добавлено: 10/12/12 в 23:30 |
| Pentarh писал: | | Интересно, как с носкриптом ходить по нынешнему вебу вообще? |
В опере есть стандартная возможность проставлять посайтовые настройки. Можно глобально выключить (F12 + uncheck "Enable Javascript"), а включать только на конкретных сайтах (на сайте вызываешь контекстное меню и в нем "Edit site preferences", вкладка "Scripting" - всё там). То же самое можно проделать для флеша и прочей плаги.
Для серфинга заведи себе openbsd-виртуалку и сиди в ней с включенными скриптами.
|
|
|
|
apache, bash, css, elasticsearch, ffmpeg, html, js, mysql, mongo, nginx, php; *nix only
|
9
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 10/12/12 в 23:35 |
На Линуксе сижу, проблем не знаю.
|
|
|
|
| |
С нами с 11.10.12
Сообщения: 428
Рейтинг: 1032
|
| Добавлено: 10/12/12 в 23:50 |
| kit писал: | У нас похачили один сайт, и поставили туда вирус.
Каким то образом залили на сервер php скрипт и затем сишный код. Использовали какую то дырку в FreeBSD получили полные права. Что сделали на сервере не понятно. Все скрипты и шаблоны весь сайт был перезалит. При этом Гугль ругается на вредоносное ПО. Фаербагом ничего не обнаружил. После тестов сами поймали винлокер.
Помогите пожалуйста советом, кто был в аналогиных ситуациях, куда нужно смотреть? |
Intel в режиме 64bit? Тогда может быть это http://www.freebsd.org/security/advisories/FreeBSD-SA-12:04.sysret.asc
|
|
|
|
apache, bash, css, elasticsearch, ffmpeg, html, js, mysql, mongo, nginx, php; *nix only
|
9
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 10/12/12 в 23:53 |
Как повысили привилегии - не важно. Важно - как залили скрипт для повышения привилегий.
|
|
|
|
| |
С нами с 11.10.12
Сообщения: 428
Рейтинг: 1032
|
| Добавлено: 11/12/12 в 00:00 |
Pentarh, думал, что это kit написал
Ты же никаких подробностей не раскрыл, разговор ни о чем. Обычно скрипты (и файлы вообще) заливают через дыру на сайте. Посмотри, вдруг логи веб-сервера сохранились. Ну вдруг.
Если жизненно важно узнать способ, восстанови сервер и сделай из него honeypot. Авось второй раз ломалка прийдет
|
|
|
|
apache, bash, css, elasticsearch, ffmpeg, html, js, mysql, mongo, nginx, php; *nix only
|
7
|
|
| |
С нами с 19.02.10
Сообщения: 251
Рейтинг: 276
|
| Добавлено: 11/12/12 в 00:05 |
Какая сборка?
Что за сервер? Билд?
| johndoe2 писал: | | Ты же никаких подробностей не раскрыл, разговор ни о чем |
Конечно
|
|
|
|
| |
+ + + + + +
С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809
|
| Добавлено: 11/12/12 в 00:05 |
| Pentarh писал: | | На Линуксе сижу, проблем не знаю. |
Я тоже на линуксе. Это конечно железный вариант от сплоитов, но не всем подойдет.
Еше полезно крон задачи посмотреть, бывает ставят задачу закачивать и ставить шелкод раз в сутки на сервере, и получается чистишь чистишь а он как новенький опять там. Если не сохранили логи нужно настроить и сново ждать взлома, потом опять читать латать в бекапе и сново заливать и так до победного конца. Чтобы найти в каких файлах висит ненужный код нужно смотреть еще на дату изменения файлов, также полезно выкаченный сайт просканировать антивирусом(аваст вроде палит вебшеллы).
|
|
|
|
| |
С нами с 10.04.04
Сообщения: 2526
Рейтинг: 1447
|
| Добавлено: 11/12/12 в 10:32 |
Наймите специОлиста.
|
|
|
|
| |
С нами с 12.08.04
Сообщения: 613
Рейтинг: 128
|
| Добавлено: 11/12/12 в 13:44 |
и на будущее мониторь целостность файлов сервисом ifube.com
|
|
|
|
| |
+ + + + + +
С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809
|
| Добавлено: 11/12/12 в 14:36 |
| Cosinus писал: | | и на будущее мониторь целостность файлов сервисом ifube.com |
Не нужно ничего лишними прибамбасами мониторить. Нужно подписаться на все багтраки по тому софту что используешь, и просто лататься после нахождения уязвимости, тут уж кто успеет первым или ты или хакер.  Обычно пишется червь под какуюто уязвимость закидывается на сервер и он шарится по инету и хакает все что найдет, потом из него пекут выпечку и продают драги или льют на вирусы.
|
|
|
|
| |
С нами с 17.03.12
Сообщения: 335
Рейтинг: 790
|
| Добавлено: 11/12/12 в 14:51 |
Для проверки на наличие руткитов и бекдоров
cd /usr/ports/security/lynis && make install clean
cd /usr/ports/security/chkrootkit && make install clean
Смотреть на дату заливки пхп скрипта и смотреть логи за это время чтобы найти через что заливали.
|
|
|
|
| |
С нами с 14.08.04
Сообщения: 1688
Рейтинг: 505
|
| Добавлено: 12/12/12 в 17:00 |
нужно просто поднять рядом сервер новый и перенести на новые айпи проекты - скрипты взять с заведомо чистых бекапов и восстановить базы данных с текущих - а вобще да - выгнать спецов может толькол спец хакерского уровня - по времени куда быстрее будет просто изменить айпи в днс
|
|
|
|
| |
С нами с 27.09.07
Сообщения: 1002
Рейтинг: 151
|
| Добавлено: 14/12/12 в 10:15 |
Блин, серьёзные люди и до сих пор сидят на винде под админом...... 
Хулеж не словить виря ?
Точно так же могли до локера словить троя и получить рутовый пасс от сервака.......  и ломать не надо.
Если интересно и не хочется нового опыта, напиши в личку, расскажу как не словить ничего на винде, а по поводу сервака, только реинсталл
|
|
|
|
Выделенные серверы в РБ: Dell R610 2xX5570; 32GB; 2*143Gb SAS15К; iDRAC; 4IP; 100Mbps - 70$
|
3
|
|
| |
С нами с 09.06.06
Сообщения: 716
Рейтинг: 559
|
| Добавлено: 14/12/12 в 14:49 |
...
Последний раз редактировалось: Tcumber (26/12/12 в 09:37), всего редактировалось 1 раз
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 14/12/12 в 14:51 |
Fedora 17 x86_64 KDE
OpenSUSE кстати тоже кавайная.
Бубунту фтопку
|
|
|
|
| |
С нами с 27.09.07
Сообщения: 1002
Рейтинг: 151
|
| Добавлено: 14/12/12 в 15:05 |
Линукс, для людей его никогда не использовавших - адский песдетс, так что совет несерьёзен 
|
|
|
|
Выделенные серверы в РБ: Dell R610 2xX5570; 32GB; 2*143Gb SAS15К; iDRAC; 4IP; 100Mbps - 70$
|
2
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 14/12/12 в 15:07 |
Этот шаблон скоро будет уже неактуален
|
|
|
|
| |
