Новая тема   Ответить

 kit
У нас похачили один сайт, и поставили туда вирус.

Каким то образом залили на сервер php скрипт и затем сишный код. Использовали какую то дырку в FreeBSD получили полные права. Что сделали на сервере не понятно. Все скрипты и шаблоны весь сайт был перезалит. При этом Гугль ругается на вредоносное ПО. Фаербагом ничего не обнаружил. После тестов сами поймали винлокер.

Помогите пожалуйста советом, кто был в аналогиных ситуациях, куда нужно смотреть?

 LOVE
можно просканить http://revisium.com/ai/

 Pentarh
Полные права - проще реинсталл. Весьма может быть там сидит руткит, которого хер найдешь.

 awm5433224455
Фряху порутать это уже интересно. Суть действий брать бекап сайта за период до взлома, смотреть в логах как влезли - латать это место в скрипте. Реинсталлить фряху до версии на которую нету сплоита на багтраках. Заливать скрипт. По поводу сами поймали винлокер - Нужно обновлять браузер(лучше и операционную систему) постоянно и ставить плагин noscript на фаерфокс.

 Pentarh
Интересно, как с носкриптом ходить по нынешнему вебу вообще?

 JM
Pentarh: намана можно привыкнуть

 FXIX
Pentarh писал:
да нормально вроде. только есть плагины еще проще чем носкрипт. к примеру QuickJava или Quick Javascript Switcher (для хрома). на тулбар просто кнопку "выключить js" из настроек выносит да и все. бегаешь везде с выключенным, там где надо - включаешь. обычно надо мало где

 awm5433224455
Pentarh писал:
Нормально ходится что нужно можно разрешить для выполнения.

 johndoe2
Pentarh писал:

В опере есть стандартная возможность проставлять посайтовые настройки. Можно глобально выключить (F12 + uncheck "Enable Javascript"), а включать только на конкретных сайтах (на сайте вызываешь контекстное меню и в нем "Edit site preferences", вкладка "Scripting" - всё там). То же самое можно проделать для флеша и прочей плаги.

Для серфинга заведи себе openbsd-виртуалку и сиди в ней с включенными скриптами.

 Pentarh
На Линуксе сижу, проблем не знаю.

 johndoe2
kit писал:

Intel в режиме 64bit? Тогда может быть это http://www.freebsd.org/security/advisories/FreeBSD-SA-12:04.sysret.asc

 Pentarh
Как повысили привилегии - не важно. Важно - как залили скрипт для повышения привилегий.

 johndoe2
Pentarh, думал, что это kit написал

Ты же никаких подробностей не раскрыл, разговор ни о чем. Обычно скрипты (и файлы вообще) заливают через дыру на сайте. Посмотри, вдруг логи веб-сервера сохранились. Ну вдруг.

Если жизненно важно узнать способ, восстанови сервер и сделай из него honeypot. Авось второй раз ломалка прийдет

 RiverVanRain
Какая сборка?
Что за сервер? Билд?
johndoe2 писал:
Конечно

 awm5433224455
Pentarh писал:
Я тоже на линуксе. Это конечно железный вариант от сплоитов, но не всем подойдет.
Еше полезно крон задачи посмотреть, бывает ставят задачу закачивать и ставить шелкод раз в сутки на сервере, и получается чистишь чистишь а он как новенький опять там. Если не сохранили логи нужно настроить и сново ждать взлома, потом опять читать латать в бекапе и сново заливать и так до победного конца. Чтобы найти в каких файлах висит ненужный код нужно смотреть еще на дату изменения файлов, также полезно выкаченный сайт просканировать антивирусом(аваст вроде палит вебшеллы).

 Stup
Наймите специОлиста.

 Cosinus
и на будущее мониторь целостность файлов сервисом ifube.com

 awm5433224455
Cosinus писал:
Не нужно ничего лишними прибамбасами мониторить. Нужно подписаться на все багтраки по тому софту что используешь, и просто лататься после нахождения уязвимости, тут уж кто успеет первым или ты или хакер. Обычно пишется червь под какуюто уязвимость закидывается на сервер и он шарится по инету и хакает все что найдет, потом из него пекут выпечку и продают драги или льют на вирусы.

 Evial
Для проверки на наличие руткитов и бекдоров
cd /usr/ports/security/lynis && make install clean
cd /usr/ports/security/chkrootkit && make install clean

Смотреть на дату заливки пхп скрипта и смотреть логи за это время чтобы найти через что заливали.

 fish_ka
нужно просто поднять рядом сервер новый и перенести на новые айпи проекты - скрипты взять с заведомо чистых бекапов и восстановить базы данных с текущих - а вобще да - выгнать спецов может толькол спец хакерского уровня - по времени куда быстрее будет просто изменить айпи в днс

 vx6
Блин, серьёзные люди и до сих пор сидят на винде под админом......
Хулеж не словить виря ?
Точно так же могли до локера словить троя и получить рутовый пасс от сервака....... и ломать не надо.
Если интересно и не хочется нового опыта, напиши в личку, расскажу как не словить ничего на винде, а по поводу сервака, только реинсталл

 Tcumber
...

Последний раз редактировалось: Tcumber (26/12/12 в 09:37), всего редактировалось 1 раз

 Pentarh
Fedora 17 x86_64 KDE

OpenSUSE кстати тоже кавайная.

Бубунту фтопку

 vx6
Линукс, для людей его никогда не использовавших - адский песдетс, так что совет несерьёзен

 Pentarh
Этот шаблон скоро будет уже неактуален