aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 22/05/13 в 14:59 |
Соратники, нужна инфа.
Сегодня прихожу в контору (напоминаю, я работаю админом в школе для детей-инвалидов) и нахожу в почте мэйл от одного из сотрудников. Он сообщает, что случайо увидел на нашем фирменном сайте на одной из страниц внизу чужой текст -- одна строчка на английском с линком куда-то (не нажимал), предлагающая fake watch online. Попутно со странички исчезли все умляуты, т.е. понятно, что страничку редактировали. Я полез разбираться и обнаружил кроме этой единственной взломаной странички еще два неизвестные мне php-файла, один крохотный с командой GET и закриптованой md5 строчкой, другой большой, 136 кб. с кучей всего внутри. Положено два дня назад, т.е. обнаружено было на другой же день, хотя и случайно. Понятное дело, я файлы снёс, страничку восстановил, пароль FTP поменял, единственный нужный в работе свой php-скрипт поставил "только для чтения". Ну, и сообщил хостеру -- они там забегали.
Но хочется узнать: это что, вирус, что ли? Что-то мне не кажется, что это ручками положено. Могло такое войти через контактную php-форму, довольно простую, которая только мэйл отправляет, а на диск не пишет?
|
|
|
|
С нами с 15.03.05
Сообщения: 683
Рейтинг: 617
|
Добавлено: 22/05/13 в 16:16 |
вирус? запросто
либо детки балуются
а так конечно секьюрность серва твоя прямая обязанность (админа)
учиться, читать, закрывать дырки
|
|
Идет медведь по лесу... Видит машина горит.. Сел в нее и сгорел... karateam.com
|
0
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 22/05/13 в 16:17 |
Sven Karsten: скинь сюда код, 2 могли взломать соседа по хостингу и тебе залили подарочек.
|
|
|
|
aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 22/05/13 в 18:24 |
kara: видел бы ты наших деток, они в массе своей зад вытереть не в состоянии... Но очень милые, как и все дети.
Дартаньян: код скинул в личку, спасибо!
|
|
|
|
Считаю до трех
С нами с 23.03.05
Сообщения: 12353
Рейтинг: 2918
|
Добавлено: 22/05/13 в 20:01 |
Цитата: | Могло такое войти через контактную php-форму, довольно простую, которая только мэйл отправляет, а на диск не пишет? |
Если файл создавался средствами php, то овнер скорее всего будет Apache и удалить такой файл по ФТП сходу не выйдет. Так что наверное по ФТП заливали, в логах же должно быть - кто и как имел доступ к этому файлу.
Больше всего похоже на то что пароли к ФТП сперли.
Фильтр по IP на ФТП стоит?
|
|
|
|
+ + + + + +
С нами с 05.11.12
Сообщения: 1938
Рейтинг: 809
|
Добавлено: 22/05/13 в 22:25 |
Вроде у тебя большой парк машин а логи читать не умеешь.
Жди еще взломов, если ресурс трастовый.
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 22/05/13 в 22:33 |
Sven Karsten: прогони вот этим скриптом http://www.revisium.com/ai/
а так инфы мало, что за скрипт юзаешь для сайта, PHP + MySQL ?
может гдето с chmod налажал
|
|
|
|
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 23/05/13 в 05:05 |
Херовый знач из тебя админ.
Причин может быть масса, зависит от огромного числа факторов. Начиная от кейлоггера, который спиздил твой пароль фтп, заканчивая изощренной связкой remote code execution в скриптах с последующим повышением привилегий (красивый недавний эксплойт).
Ни одну из этих причин установить на форуме не представляется возможным. Только личный осмотр тела.
|
|
|
|
aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 23/05/13 в 08:50 |
Улики: http://zalil.ru/34523300
Пароль архива: 12345
Доступ к телу -- только для плачущих родственников усопшего. (Собственно, усопший вполне себе жив)
andreich: Спасибо за линк. Учиться -- оно всегда пригодится.
|
|
|
|
aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 23/05/13 в 09:27 |
60.176.109.196 3 3 150808 20130515055837
115.197.110.43 1 1 94 20130520091342
END_VISITOR
То есть, наши узкоглазые братья...
Ну, пасс я поменял на большой и хороший. (Предвидя вопросы, отвечаю сразу: нет, он не был 12345)
|
|
|
|
С нами с 01.04.11
Сообщения: 131
Рейтинг: 41
|
Добавлено: 23/05/13 в 13:20 |
варианта 2
1.сломали тебя, т.е. твой комп. И если ты не почистишь - жди повторения
2. Как писали, сосед по хостингу залил ремвьювер (или аналог) и шалит
по пункту 1 - поставь авиру, она параноидальная, снесет все за любые подозрения. ФТП прогу ставить надо портейбл и не в програмфайл, а то все трои настроены искать их именно там.
по пункту 2 - запретить запись по всем файлам, если не свой сервак конечно, там другие фишки есть
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 23/05/13 в 13:56 |
google писал: | поставь авиру |
зачем советовать ставить какоето говно, предложи еще Аваст поствить
почемуто на 90% уверен что взломан был именно скрипт, а не FTP увели
|
|
|
|
aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 23/05/13 в 14:32 |
google: Про запрет записи -- это хорошая мысль, спасибо. Компы я тоже просканирую.
andreich: заходы были по FTP из Китая. Если через скрипт можно украсть пароль FTP -- то я прям в затруднении...
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 23/05/13 в 14:36 |
Sven Karsten: я не кибер приступник, и ХЗ ка там все дела обстоят, но через взлом скрипта получают какимто образом root доступ, что собственно позволяет рулить FTP паролями
|
|
|
|
С нами с 01.04.11
Сообщения: 131
Рейтинг: 41
|
Добавлено: 23/05/13 в 14:53 |
andreich писал: | через взлом скрипта получают какимто образом root доступ |
ерунда ! вначале ставят шелл, далее, если, для чтения открыт /etc/shadow , из хэша достается пароль рута
фсе, ви работате на другова
закрывается просто - разрешение на вход только с определеных IP, на вход по фтп и ssh достаточно
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 23/05/13 в 15:03 |
google писал: | вначале ставят шелл |
ставят по FTP?
|
|
|
|
С нами с 01.04.11
Сообщения: 131
Рейтинг: 41
|
Добавлено: 23/05/13 в 15:13 |
andreich писал: | ставят по FTP? |
шелл ставится и по фтп и при помощи любой CMS и просто купив хостинг можно поставить и получить доступ рута (если админы лохи)
для проверки - если на компе есть PHP поставь ремвьювер и посмотри
к чести многих хостеров хочу сказать - мало где работает, но подобных скриптов много, и не все палятся
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 23/05/13 в 15:36 |
google: ну я не кул хацкер, но думаю все же у ТС проблема со скриптом а не с FTP
|
|
|
|
С нами с 05.11.10
Сообщения: 581
Рейтинг: 59
|
Добавлено: 24/05/13 в 06:38 |
хостера твоего пеоимели, поясню ....
берем html страницу из архива кот ты выложил.
по этой странице накходим сайт, смотрим на каком ip лежит сайт.
Идем в бинг, вбиваем
ip:212.223.130.33
видим, что, на этом ip еще полно сайтов.
продолжим..
В бинг вбиваем
ip:212.223.130.33 viagra
опа, есть, вот еще потерпевший с этого ip.
убедимся через гугл
https://www.google.com/search?q=site:tsv-dagersheim.de+viagra
так и есть.
ну и ради любопытства посмотрим беки jomafake.com так и есть, полно лома.
Кароче, поимели какой-то сайт, через него залили шел, скорее всего получили рут (скрипт в архиве очень интересный).
ну и дальше скриптом, позалиавали везде где только можно и сайты на этом серваке вошли в чью то локальную сапу, те проставляют линки удаленно.
|
|
|
|
С нами с 22.05.09
Сообщения: 639
Рейтинг: 1087
|
Добавлено: 24/05/13 в 17:57 |
вот твои хакеры и шелл http://code.blackbap.org/?p=news&id=3
Зачетный шелл, в один файл уместили целую панель управления. Причем и под вин и под линукс.
Если по фтп были заходы, а не просто попытки, то вполне могли через фтп залить. Залил этот шелл, набрал урл в браузере и рули уже дальше как хочешь.
А вот если фтп-входов не было - надо хостера дрючить. Не дело, когда взломав один акк на хостинге можно похерить и все остальное.
Последний раз редактировалось: st01en (24/05/13 в 18:31), всего редактировалось 1 раз
|
|
|
|
aka Slava_O
С нами с 14.05.13
Сообщения: 847
Рейтинг: 46
|
Добавлено: 24/05/13 в 18:25 |
Andy123gfb, st01en, очень интересно, спасибо.
И как защититься от этой заразы? Как я понимаю, смена FTP-пароля в случае похищения рута не очень помогает?
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55148
Рейтинг: 7770
|
Добавлено: 24/05/13 в 18:29 |
Sven Karsten писал: | смена FTP-пароля в случае похищения рута не очень помогает? |
нет, root, сам может менять FTP пароли
съезжать с Виртуального хостинга, на VDS/VPS, а лучше на дедик, стоит это сейчас уж копейки
|
|
|
|
С нами с 22.05.09
Сообщения: 639
Рейтинг: 1087
|
Добавлено: 24/05/13 в 18:59 |
слегка просмотрел шелл...
1.проверь базу на новые таблицы и пользователей.
2.поищи файлы yoco_bc.c или yoco_bc.pl, в них тоже бэкдор
|
|
|
|