Опять ломают...

Пятница, 10 Фев 2012 12:30

Заебали уже... Каким-то хером судя по всему через блог заливается .php файлик, к которому с разной периодичностью с разных ip идет обращение. Этот файлик подменяет .htaccess'ы ВСЕМ-ВСЕМ сайтам на хостинге. Если .htaccess'а нет, то создает его в соответствующей папке сайта. В htaccess'е прописано перенаправление всех посетителей из указанных поисковиков (google, bing, yahoo и т.д.) на какой-то несуществующий сайт...

В общем, все симптомы идентичны прошлому разу (см. «Ломают гады…»), и скрипт заливают почти тот же, НО на этот раз к нему прилагался еще и скрипт рассылки спам-писем с моего сайта и .txt-файлик с 6032 mail-адресами для рассылки этого самого спама...

Что примечательно, скрипт модифицирует даже .htaccess с правами 444. Я пока что не могу врубиться, как это. Кто знает?

Есть лог-файл за предположительный день взлома, но, честно говоря, не сильно шарю и самостоятельно разобраться не могу. Первый запуск этого скрипта был в 7 утра. Надо просмотреть и разобраться с обращениями до этого времени. Их там до 50 штук. Кто может помочь?

Подозрение есть, что файл заливают через какой-то дырявый плагин блога. На прошлом хостинге мне хостер любезно сообщил, что меня «взломали по HTTP протоколу». Кто знает, как это?

WP и все плагины были последних версий.

Почему грешу именно на плагины? Потому что есть другие сайты на WP, но ламают почему-то каждый раз именно через блог. Возможно это просто совпадение в связи с тем, что злоумышленник каким-то образом мой недоброжелатель, но, честно говоря, мало вероятно, т.к. вредоносный скрипт довольно универсальный и больше подходит для создания массового бот-нета с целью рассылки спама, перенаправления и другой лабуды.

Как установил, что через блог? Потому что и на старом и на новом хостах вредоносный скрипт заливался именно в папку блога.

В комментах накидайте, плз, свои соображения и контакты людей, которые могут помочь подлатать дырку.

http://blogto4ka.ru

RSS комментариев

9 комментариев Комментировать

  1. Сергей пишет:

    10 Фев 2012 в 13:09 Reply to this comment

    1

    В своё время такая же хрень была, что я только не делал, убил кучу времени — пофиг. Всё прошло, как сменил хостинг на VPS, т.е. без «соседей» ... решил, что дырка у хостера и «сифонит» от соседей по серверу. Возможно, что повлияли и дыры у хостера и дыры в WP. Вообще WP — самая дырявая CMS. Меняй CMS, этот случай должен тебя сподвигнуть на это )

  2. nikolas_ sharp пишет:

    10 Фев 2012 в 13:20 Reply to this comment

    2

    @Сергей, любая бесплатная (и большинство платных) CMS по определению дырявые. Вообще всё дырявое, ибо там, где одним человеком написано, другим может быть поломано. Я не очень далек от программирования, и понял сию банальную истину довольно давно, а потому нормально к этому отношусь. Я разрабам CMS ничего не заплатил, и они мне ничего не должны. Ламали у меня и Joomla, и DLE... Предлагаешь до скончания жизни перебирать CMS-ки вместо того, чтобы самостоятельно или с чьей-то помощью применять адекватные меры защиты? По-моему, это неправильно...

    А WP тебе кажется самым дырявым, т.к. он самый популярный в народе, и от того усилия хакеров на него в основном направлены. Будет популярным другой двиг — переключаются. Как видишь, замкнутый круг от которого вариант с заменой CMS теряет всяческий смысл.

  3. SeoDuck пишет:

    10 Фев 2012 в 16:36 Reply to this comment

    3

    А в лог файлах нет IP-шника этих пиздюков? Интересно из какой страны (города) эти товарищи атаки производят.

  4. Elyshev пишет:

    11 Фев 2012 в 19:27 Reply to this comment

    4

    @SeoDuck: Думаю таки люди додумаются подменить айпишник, или вообще через какой-то хакнутый серв творить свои дела.

    Паршива ситуация, потому-что кому-то придеться доверить доступ к своиму аккаунту... Поэтому я бы для начала с техподдержкой подольше поговорил, это и в их интересах тоже. Думаю у них и есть мозговитые парни, которые по логам смогут что-то сделать. И вообще в таких случаях небольшая затравка в виде нескольких долларов может помочь.

    Обрати внимание на коды партнерок, иногда через них тоже можно пробиться. Ну  и плагины можно сменить, альтернатив популярным плагинам на wordpress — море.

  5. nikolas_ sharp пишет:

    11 Фев 2012 в 23:51 Reply to this comment

    5

    Да, я ж написал, что обращение каждый раз с разных ip идет — либо прокси, либо ботнет, либо еще что.

    За совет спасибо. Наверное в конце концов с поддержкой и порешим вопрос.

  6. Филя пишет:

    15 Фев 2012 в 23:41 Reply to this comment

    6

    По HTTP-протоколу — полагаю, имелось ввиду то, что взлом был возможен благодаря разрешённому методу «POST». В этом сообщении столько же смысла, как в сообщении «У меня есть машина» :)

    Про права 444 на файл .htaccess... Если каким-то образом изменяется содержимое файла, то это может означать лишь одно: в деле задействован root. Либо администратора сервера с потрахами взломали, либо хостинг-провайдер сам занимается тёмными делишками. В любом случае, логи веб-сервера ничего необычного не зафиксируют, а потому высматривать в них IP-адреса бессмысленно.

    Раз уж всё настолько плохо, что даже файлы с правами 444 изменяются, то — мой вам совет — смело меняйте хостинг-провайдера. Один раз перенести файлы и базы данных на другой хостинг гораздо легче, чем ежедневно отслеживать работоспособность сайта...

  7. nikolas_ sharp пишет:

    16 Фев 2012 в 0:48 Reply to this comment

    7

    @Филя, совершенно верно, ломали именно через POST-запрос на ряду с различными методами поиска дырок (перебирают тупо поиском по всему хостингу файлики типа timthumb.php и аналогичные, в которых есть известные дырки). Судя по количеству обращений, в работе какие-то автоскрипты. Подбор дырок шел и идет по сей день с большого числа ip (я только сегодня 50 забанил). Определяются такие запросы поиском обращений к 404-ым страницам в логах вебсервера. У меня их там просто дохуя... Чего эти гавнохакеры только не ищут. Через post запрос, видимо, сделали mysql-инъекцию и шелл залили. Но через какой точно, я так и не понял. Там столько запросов, что ручками разобраться нереально уже.

    По поводу 444 я так и не понял, как это вообще стало возможным. Есть только идея, мол, удаляли htaccess и создавали новый. Так можно поступить при правах 444? Админы свою причастность отрицают и грешат на плагины WP. В принципе, судя по запросам, так оно и есть. На данный момент удалось защититься, приняв более жесткие методы защиты .htaccess и сервера в общем, вплоть до отключения опасных функций php, настройки basedir и т.д. и т.п. Но сканирование хостинга на дырки хакерами идет до сих пор. Один раз даже пытались подобрать пароль к админке и были успешно забанены.

    Съезжать с хоста причин пока не вижу, парни адекватные и по минимуму помогают. От дешевого шареда я бы больше и не ждал. Так что пока своими силами учу сетевую безопасность :) . Уже реально многое разобрал, и в будущем не лишним будет. А хакеры пусть сосут!

  8. Александр пишет:

    19 Мар 2012 в 19:35 Reply to this comment

    8

    nikolas_ sharp, а можно поподробнее, что сделали, чтобы защититься? Аналогичная полностью проблема, что делать, пока не знаю, до выходных времени еще много, а проблему решать надо сейчас.

    Заранее спасибо за ответ!

  9. nikolas_ sharp пишет:

    19 Мар 2012 в 19:44 Reply to this comment

    9

    @Александр, стучите на почту пока что. Ну, и в идеале как-то доказать конечно, что вы владелец сайта, и я не хакеру дам полную инфу о том, как защитился, чтобы упростить ему жизнь :) .

Оставьте свой комментарий о материале
(Комментарии со ссылками попадают на модерацию. Остальные не попадают, но я могу удалять те, которые посчитаю бесполезными, не несущими смысловой нагрузки)