Новая тема   Ответить

 Sven Karsten
Соратники, нужна инфа.

Сегодня прихожу в контору (напоминаю, я работаю админом в школе для детей-инвалидов) и нахожу в почте мэйл от одного из сотрудников. Он сообщает, что случайо увидел на нашем фирменном сайте на одной из страниц внизу чужой текст -- одна строчка на английском с линком куда-то (не нажимал), предлагающая fake watch online. Попутно со странички исчезли все умляуты, т.е. понятно, что страничку редактировали. Я полез разбираться и обнаружил кроме этой единственной взломаной странички еще два неизвестные мне php-файла, один крохотный с командой GET и закриптованой md5 строчкой, другой большой, 136 кб. с кучей всего внутри. Положено два дня назад, т.е. обнаружено было на другой же день, хотя и случайно. Понятное дело, я файлы снёс, страничку восстановил, пароль FTP поменял, единственный нужный в работе свой php-скрипт поставил "только для чтения". Ну, и сообщил хостеру -- они там забегали.

Но хочется узнать: это что, вирус, что ли? Что-то мне не кажется, что это ручками положено. Могло такое войти через контактную php-форму, довольно простую, которая только мэйл отправляет, а на диск не пишет?

 kara
вирус? запросто
либо детки балуются

а так конечно секьюрность серва твоя прямая обязанность (админа)
учиться, читать, закрывать дырки

 Дартаньян
Sven Karsten: скинь сюда код, 2 могли взломать соседа по хостингу и тебе залили подарочек.

 Sven Karsten
kara: видел бы ты наших деток, они в массе своей зад вытереть не в состоянии... Но очень милые, как и все дети.

Дартаньян: код скинул в личку, спасибо!

 EagleOwl
Цитата:
Если файл создавался средствами php, то овнер скорее всего будет Apache и удалить такой файл по ФТП сходу не выйдет. Так что наверное по ФТП заливали, в логах же должно быть - кто и как имел доступ к этому файлу.
Больше всего похоже на то что пароли к ФТП сперли.
Фильтр по IP на ФТП стоит?

 awm5433224455
Вроде у тебя большой парк машин а логи читать не умеешь.
Жди еще взломов, если ресурс трастовый.

 andreich
Sven Karsten: прогони вот этим скриптом http://www.revisium.com/ai/

а так инфы мало, что за скрипт юзаешь для сайта, PHP + MySQL ?
может гдето с chmod налажал

 Pentarh
Херовый знач из тебя админ.

Причин может быть масса, зависит от огромного числа факторов. Начиная от кейлоггера, который спиздил твой пароль фтп, заканчивая изощренной связкой remote code execution в скриптах с последующим повышением привилегий (красивый недавний эксплойт).

Ни одну из этих причин установить на форуме не представляется возможным. Только личный осмотр тела.

 Sven Karsten
Улики: http://zalil.ru/34523300
Пароль архива: 12345

Доступ к телу -- только для плачущих родственников усопшего. (Собственно, усопший вполне себе жив)

andreich: Спасибо за линк. Учиться -- оно всегда пригодится.

 Sven Karsten
60.176.109.196 3 3 150808 20130515055837
115.197.110.43 1 1 94 20130520091342
END_VISITOR

То есть, наши узкоглазые братья...
Ну, пасс я поменял на большой и хороший. (Предвидя вопросы, отвечаю сразу: нет, он не был 12345)

 google
варианта 2
1.сломали тебя, т.е. твой комп. И если ты не почистишь - жди повторения
2. Как писали, сосед по хостингу залил ремвьювер (или аналог) и шалит
по пункту 1 - поставь авиру, она параноидальная, снесет все за любые подозрения. ФТП прогу ставить надо портейбл и не в програмфайл, а то все трои настроены искать их именно там.
по пункту 2 - запретить запись по всем файлам, если не свой сервак конечно, там другие фишки есть

 andreich
google писал:
зачем советовать ставить какоето говно, предложи еще Аваст поствить

почемуто на 90% уверен что взломан был именно скрипт, а не FTP увели

 Sven Karsten
google: Про запрет записи -- это хорошая мысль, спасибо. Компы я тоже просканирую.

andreich: заходы были по FTP из Китая. Если через скрипт можно украсть пароль FTP -- то я прям в затруднении...

 andreich
Sven Karsten: я не кибер приступник, и ХЗ ка там все дела обстоят, но через взлом скрипта получают какимто образом root доступ, что собственно позволяет рулить FTP паролями

 google
andreich писал:
ерунда ! вначале ставят шелл, далее, если, для чтения открыт /etc/shadow , из хэша достается пароль рута
фсе, ви работате на другова
закрывается просто - разрешение на вход только с определеных IP, на вход по фтп и ssh достаточно

 andreich
google писал:
ставят по FTP?

 google
andreich писал:
шелл ставится и по фтп и при помощи любой CMS и просто купив хостинг можно поставить и получить доступ рута (если админы лохи)
для проверки - если на компе есть PHP поставь ремвьювер и посмотри
к чести многих хостеров хочу сказать - мало где работает, но подобных скриптов много, и не все палятся

 andreich
google: ну я не кул хацкер, но думаю все же у ТС проблема со скриптом а не с FTP

 Andy123gfb
хостера твоего пеоимели, поясню ....


берем html страницу из архива кот ты выложил.
по этой странице накходим сайт, смотрим на каком ip лежит сайт.

Идем в бинг, вбиваем

ip:212.223.130.33

видим, что, на этом ip еще полно сайтов.

продолжим..

В бинг вбиваем

ip:212.223.130.33 viagra

опа, есть, вот еще потерпевший с этого ip.

убедимся через гугл

https://www.google.com/search?q=site:tsv-dagersheim.de+viagra

так и есть.

ну и ради любопытства посмотрим беки jomafake.com так и есть, полно лома.

Кароче, поимели какой-то сайт, через него залили шел, скорее всего получили рут (скрипт в архиве очень интересный).

ну и дальше скриптом, позалиавали везде где только можно и сайты на этом серваке вошли в чью то локальную сапу, те проставляют линки удаленно.

 st01en
вот твои хакеры и шелл http://code.blackbap.org/?p=news&id=3
Зачетный шелл, в один файл уместили целую панель управления. Причем и под вин и под линукс.
Если по фтп были заходы, а не просто попытки, то вполне могли через фтп залить. Залил этот шелл, набрал урл в браузере и рули уже дальше как хочешь.
А вот если фтп-входов не было - надо хостера дрючить. Не дело, когда взломав один акк на хостинге можно похерить и все остальное.

Последний раз редактировалось: st01en (24/05/13 в 18:31), всего редактировалось 1 раз

 Sven Karsten
Andy123gfb, st01en, очень интересно, спасибо.

И как защититься от этой заразы? Как я понимаю, смена FTP-пароля в случае похищения рута не очень помогает?

 andreich
Sven Karsten писал:
нет, root, сам может менять FTP пароли
съезжать с Виртуального хостинга, на VDS/VPS, а лучше на дедик, стоит это сейчас уж копейки

 st01en
слегка просмотрел шелл...
1.проверь базу на новые таблицы и пользователей.
2.поищи файлы yoco_bc.c или yoco_bc.pl, в них тоже бэкдор