Опять ломают...
Пятница, 10 Фев 2012 12:30Заебали уже... Каким-то хером судя по всему через блог заливается .php файлик, к которому с разной периодичностью с разных ip идет обращение. Этот файлик подменяет .htaccess'ы ВСЕМ-ВСЕМ сайтам на хостинге. Если .htaccess'а нет, то создает его в соответствующей папке сайта. В htaccess'е прописано перенаправление всех посетителей из указанных поисковиков (google, bing, yahoo и т.д.) на какой-то несуществующий сайт...
В общем, все симптомы идентичны прошлому разу (см. «Ломают гады…»), и скрипт заливают почти тот же, НО на этот раз к нему прилагался еще и скрипт рассылки спам-писем с моего сайта и .txt-файлик с 6032 mail-адресами для рассылки этого самого спама...
Что примечательно, скрипт модифицирует даже .htaccess с правами 444. Я пока что не могу врубиться, как это. Кто знает?
Есть лог-файл за предположительный день взлома, но, честно говоря, не сильно шарю и самостоятельно разобраться не могу. Первый запуск этого скрипта был в 7 утра. Надо просмотреть и разобраться с обращениями до этого времени. Их там до 50 штук. Кто может помочь?
Подозрение есть, что файл заливают через какой-то дырявый плагин блога. На прошлом хостинге мне хостер любезно сообщил, что меня «взломали по HTTP протоколу». Кто знает, как это?
WP и все плагины были последних версий.
Почему грешу именно на плагины? Потому что есть другие сайты на WP, но ламают почему-то каждый раз именно через блог. Возможно это просто совпадение в связи с тем, что злоумышленник каким-то образом мой недоброжелатель, но, честно говоря, мало вероятно, т.к. вредоносный скрипт довольно универсальный и больше подходит для создания массового бот-нета с целью рассылки спама, перенаправления и другой лабуды.
Как установил, что через блог? Потому что и на старом и на новом хостах вредоносный скрипт заливался именно в папку блога.
В комментах накидайте, плз, свои соображения и контакты людей, которые могут помочь подлатать дырку.
10 Фев 2012 в 13:09
1В своё время такая же хрень была, что я только не делал, убил кучу времени — пофиг. Всё прошло, как сменил хостинг на VPS, т.е. без «соседей» ... решил, что дырка у хостера и «сифонит» от соседей по серверу. Возможно, что повлияли и дыры у хостера и дыры в WP. Вообще WP — самая дырявая CMS. Меняй CMS, этот случай должен тебя сподвигнуть на это )
10 Фев 2012 в 13:20
2@Сергей, любая бесплатная (и большинство платных) CMS по определению дырявые. Вообще всё дырявое, ибо там, где одним человеком написано, другим может быть поломано. Я не очень далек от программирования, и понял сию банальную истину довольно давно, а потому нормально к этому отношусь. Я разрабам CMS ничего не заплатил, и они мне ничего не должны. Ламали у меня и Joomla, и DLE... Предлагаешь до скончания жизни перебирать CMS-ки вместо того, чтобы самостоятельно или с чьей-то помощью применять адекватные меры защиты? По-моему, это неправильно...
А WP тебе кажется самым дырявым, т.к. он самый популярный в народе, и от того усилия хакеров на него в основном направлены. Будет популярным другой двиг — переключаются. Как видишь, замкнутый круг от которого вариант с заменой CMS теряет всяческий смысл.
10 Фев 2012 в 16:36
3А в лог файлах нет IP-шника этих пиздюков? Интересно из какой страны (города) эти товарищи атаки производят.
11 Фев 2012 в 19:27
4@SeoDuck: Думаю таки люди додумаются подменить айпишник, или вообще через какой-то хакнутый серв творить свои дела.
Паршива ситуация, потому-что кому-то придеться доверить доступ к своиму аккаунту... Поэтому я бы для начала с техподдержкой подольше поговорил, это и в их интересах тоже. Думаю у них и есть мозговитые парни, которые по логам смогут что-то сделать. И вообще в таких случаях небольшая затравка в виде нескольких долларов может помочь.
Обрати внимание на коды партнерок, иногда через них тоже можно пробиться. Ну и плагины можно сменить, альтернатив популярным плагинам на wordpress — море.
11 Фев 2012 в 23:51
5Да, я ж написал, что обращение каждый раз с разных ip идет — либо прокси, либо ботнет, либо еще что.
За совет спасибо. Наверное в конце концов с поддержкой и порешим вопрос.
15 Фев 2012 в 23:41
6По HTTP-протоколу — полагаю, имелось ввиду то, что взлом был возможен благодаря разрешённому методу «POST». В этом сообщении столько же смысла, как в сообщении «У меня есть машина»
Про права 444 на файл .htaccess... Если каким-то образом изменяется содержимое файла, то это может означать лишь одно: в деле задействован root. Либо администратора сервера с потрахами взломали, либо хостинг-провайдер сам занимается тёмными делишками. В любом случае, логи веб-сервера ничего необычного не зафиксируют, а потому высматривать в них IP-адреса бессмысленно.
Раз уж всё настолько плохо, что даже файлы с правами 444 изменяются, то — мой вам совет — смело меняйте хостинг-провайдера. Один раз перенести файлы и базы данных на другой хостинг гораздо легче, чем ежедневно отслеживать работоспособность сайта...
16 Фев 2012 в 0:48
7@Филя, совершенно верно, ломали именно через POST-запрос на ряду с различными методами поиска дырок (перебирают тупо поиском по всему хостингу файлики типа timthumb.php и аналогичные, в которых есть известные дырки). Судя по количеству обращений, в работе какие-то автоскрипты. Подбор дырок шел и идет по сей день с большого числа ip (я только сегодня 50 забанил). Определяются такие запросы поиском обращений к 404-ым страницам в логах вебсервера. У меня их там просто дохуя... Чего эти гавнохакеры только не ищут. Через post запрос, видимо, сделали mysql-инъекцию и шелл залили. Но через какой точно, я так и не понял. Там столько запросов, что ручками разобраться нереально уже.
По поводу 444 я так и не понял, как это вообще стало возможным. Есть только идея, мол, удаляли htaccess и создавали новый. Так можно поступить при правах 444? Админы свою причастность отрицают и грешат на плагины WP. В принципе, судя по запросам, так оно и есть. На данный момент удалось защититься, приняв более жесткие методы защиты .htaccess и сервера в общем, вплоть до отключения опасных функций php, настройки basedir и т.д. и т.п. Но сканирование хостинга на дырки хакерами идет до сих пор. Один раз даже пытались подобрать пароль к админке и были успешно забанены.
Съезжать с хоста причин пока не вижу, парни адекватные и по минимуму помогают. От дешевого шареда я бы больше и не ждал. Так что пока своими силами учу сетевую безопасность
. Уже реально многое разобрал, и в будущем не лишним будет. А хакеры пусть сосут!
19 Мар 2012 в 19:35
8nikolas_ sharp, а можно поподробнее, что сделали, чтобы защититься? Аналогичная полностью проблема, что делать, пока не знаю, до выходных времени еще много, а проблему решать надо сейчас.
Заранее спасибо за ответ!
19 Мар 2012 в 19:44
9@Александр, стучите на почту пока что. Ну, и в идеале как-то доказать конечно, что вы владелец сайта, и я не хакеру дам полную инфу о том, как защитился, чтобы упростить ему жизнь
.