Ломают гады...
Четверг, 08 Дек 2011 14:21На хостинге стоят 2 сайта: 1 на WordPress, другой на Joomla!. Помимо них есть еще 2 тестовых поддоменов, где тоже залит WordPress.
Третий день ломают сайты: в корневую папку хостинга, а также в корневую папку каждого сайта заливается модифицированный .htaccess, где прописано правило, что, если посетитель приходит с любого стороннего источника (будь то google, yandex, yahoo) или попадает на любую 4хх страницу на сайте, перенаправлять его на _http://azondsondex.ru/adsong/index.php, которого и в помине-то не существует...
Прикол в том, что если набрать адрес в строке адреса напрямую, то на сайт обязательно попадешь, а вот если это переход откуда-то — хренушки... Из-за этого сайты пролежали почти сутки, а я об этом даже не догадывался.
Как происходит взлом, определить пока не могу. С ходу попробовал попросту удалить из корневой папки хостинга лишний .htaccess и перезалить его для 2х сайтов на WordPress и Joomla!. Также еще раз проверил права на этот файл — везде стояли 444. Поменял владельца данного файла на себя с помощью админ-панели хостера еще раз... В итоге трабла пропадает на время, переходы из поиска становятся возможными, .htaccess сам или при вызове страниц сайта не модифицируется. Для пущей уверенности я еще попробовал восстановить сайты из бэкапа за день до того, как были модифицированы .htaccess'ы. На время помогло. Но вот сегодня с утра заметил, что опять, блять, хакнули, поменяли .htaccess'ы везде, и ппц... Сайты лежат, клиенты не попадают, прибыль сливается в горшок 
.
Есть подозрение на уязвимость какого-нибудь из модулей какого-нибудь из движков (либо Joomla!, либо WordPress), и периодическое обращение к этой уязвимости злоумышленника вручную либо своим каким-нибудь скриптом, короче, надо от неё по-любому избавляться. Поддержка freehost'a, к сожалению, морозится, помогать не хочет, говорят, мол, мы не занимаемся поддержкой и консультацией, а только хостинг предоставляем .
Чё делать-то, товарищи? Вручную перезаливать задалбывает )))
Update 8.12.2011. Файл с зашифрованным скриптом выложил по ссылке: fileshare.in.ua/5362517. Кто шарит, расшифруйте, плз, как он на самом деле работает, и вышлите мне на nikolas_sharp[caba4k@]bigmir.net
пишет:
08 Дек 2011 в 17:51
1Думаю обычная инъекция.
1. Посмотреть все файлы, созданные за последние 2 недели. если есть php, это подозрительно
2. Смотреть логи апачи, не подсовывают ли в get или post подозрительное значение
пишет:
08 Дек 2011 в 18:03
2nikolas_sharp у меня была такая же ситуация с сайтами на WordPress'e. Я своего хостера тогда за долбал и в этоги они мне предложили заблокировать .htaccess на изменение в нем кода. Сейчас даже сам не могу самостоятельно что то изменить в нем приходиться писать хостера что бы он мне дал права доступа. Но после блокировки .htaccess файла не чего подобного не происходила. Правда хостер еще предложил изменить пароли везде начиная с хостинга, ftp-клиента, и самих сайтах. Вот так я смог закрыть доступ на взлом
пишет:
08 Дек 2011 в 18:20
3тематика сайтов какая?
пишет:
08 Дек 2011 в 18:24
4Потихоньку разбираюсь. .htaccess'ы менялись вызовом скрипта
, а надо было предложить кому-нить расшифровать сперва, чтобы точно знать, что за скрипт там был зашит 
. Запросил у хостера бэкапы, по идее в них еще будет этот файл, порасшифровываем вместе.
w2027413547137648.php, залитого в корень папки блога, либо каждые 2 часа (вижу вызов по логам апача), либо как-то в ответ на мои действия (есть некоторые вызовы не попадающие в эту периодичность), либо ручками. В файле был зашифрован код вредоносного скрипта, начинающийся наpreg_replace. Расшифровать аргумент функции через простой base64 dencode почему-то не вышло, выдаются каракули. Затем я по глупости файл просто снесВопрос к зрителям. Как файл
w2027413547137648.phpбыл залит в корень моего блога?@Kras, я эту тему уже тоже штудировал. На htaccess ставятся права 444, то есть только чтение r-r-r для всех пользователей, скриптов, и тебя в том числе. И это крайне правильный подход, т.к. если каком-либо из плагинов есть дырка, позволяющая злоумышленнику выполнить скрипт, а на htaccess при этом стоят права 644, то есть rw-r-r, что означает read-write для скрипта, то тебя ломают на ура (судя по всему это со мной и происходило). Казалось бы, куда проще, поставить 444 на htaccess и менять когда нужно на 777 для редактирования. Но тут есть одна фигня — по фтп права 444 выставить невозможно, и они автоматом преобразуются в 644 в таком случае... То есть 1 раз тебе хостер это поставит, а дальше, если ты попробуешь заменить права на 777 и вернуть 444, то получишь уже 644, а это, опять же, то, с чего начинали. Выхода 2: 1) каждый раз затрахивать хостера (явно некорректно); 2) менять права по ssh. Из второго опять же вытекает проблема: хостеры далеко не на все пакеты хостинга дают ssh-доступ. Я вот выяснил, что у меня есть, и уже запросил доступ по ssh. Сегодня буду разбираться что там к чему, да менять права на 444 самостоятельно, причем не только на htaccess, а и на всякие там configurations.php и т.п., чего и вам советую.
пишет:
08 Дек 2011 в 18:27
5@IAD, как смотреть созданные за последнее время файлы? Бэкап качать? Из панели вроде бы никак...
@иван, какая разница?
пишет:
08 Дек 2011 в 22:27
6Выкладываю файл с зашифрованным вредоносным скриптом: fileshare.in.ua/5362517.
Качаем, расшифровываем, отсылаем мне на nikolas_sharp[cab@4ka]bigmir.net или отписываемся здесь в комментах, как же он на самом деле работает и как его могли залить ко мне в корень блога.
пишет:
09 Дек 2011 в 9:07
7Файл можно попробовать расшифровать на моём сервисе _http://uneval.com/ru
Залит был скорей всего инъекцией.
пишет:
09 Дек 2011 в 9:16
8Кому интересно, вот разъеваливалка файла _http://uneval.com/ru/5443494ac33bef28201cde3080e33e6c/show_files_full_show/file.php
пишет:
09 Дек 2011 в 12:48
9На самом деле проблема в 99% в тебе — ты пароли хранишь на своем компе? Ну типа тотала или файлзиллы какой-нить? Вот троян у тебя поселился, тырит пароль, заходит и все заливает что ему нужно. Уязвимость движков в данном случае ни при чем. Говорю так потому что более 1000 клеинтов на шареде имею и подобные «взломы» каждый месяц случаются. Есть еще вариант с серверным взломом, но тут админ совсем лох должен быть и тогда нужно точно бежать оттуда...
пишет:
09 Дек 2011 в 12:50
10первое — смени пароли везде. даже на почту и аську. Второе — убей все сохраненные пароли со всех софтин на компе. Не можешь запомнить? Запиши на бумажку. А лучше запомни. Память потренируешь заодно.
пишет:
09 Дек 2011 в 16:35
11@IAD, и как ею пользоваться? Как мне понять, что зашифровано в том наборе символов? Я хочу видеть нормальный код php-скрипта, чтобы вдуплиться, как он работает вообще...
@maks, еще со времен первого взлома с уводом мыла давно не храню значимых паролей в браузере. На бумажку идет любой более-менее значимый пароль. Браузер настроен «не сохранять» пароли, а для частых, но не особо важных паролей стоит приложение LastPass для Chrome, которое хранит их на удаленном сервере в зашифрованном виде. В фтп-софтинах пароль везде запрашивается. Важные пароли все помню и ручками вбиваю всегда. Более того для пущей безопасности мыла стоят везде двойные авторизации от Гугла с генерацией пароля в приложение на iPhone. Так что это не вариант...
пишет:
09 Дек 2011 в 16:39
12@maks, серверный взлом вроде как тоже не вариант. Хостингу freehost уже много лет, моё мнение о нем довольно высокое, у админов на мой взгляд руки там в норме. С огромной долей вероятности это именно инъекция через дыру в каком-либо скрипте.
пишет:
09 Дек 2011 в 17:35
13недавно и мой сайт взломали, но увидел буквально в ту же минуту. Поменял все пароли, восстановил из бэкапа файл, вроде все нормально сейчас.
пишет:
09 Дек 2011 в 20:31
14а какой у тебя антивирус? просто для интереса.
пишет:
09 Дек 2011 в 20:53
15@Василий, ну, пока не принять меры, такое может повторяться бесконечное число раз... Я сам начитался различных факов: в принципе есть ряд обязательных весьма несложных процедур, которые с большой долей вероятности обезопасят если не от взлома, то от его последствий. Например, то же правильное выставление прав: 444 на все файлы, которые не должны редактироваться даже скриптами или же совсем простенькое — htaccess сделать hidden
и т.д. в таком же духе. Ну, а если уж совсем по правде, то надо выискивать, через что сделали инъекцию и устранять эту программную дырку...
@wlad2, NOD4. К делу такой интерес никакого отношения не имеют. Говорю же, кража паролей тут не причем. В логах фтп-активности никаких заходов с айпишников кроме моего собственного не числится.
пишет:
13 Дек 2011 в 11:42
16По теме взлома могу сказать, что уже давно(с полгода это точно) твой блог у меня на старом компе не открывается. Подписан на rss feed в браузере, так feed читается, а ссылки с него не открываются. И через поиск или напрямую через адресную строчку я зайти не могу. Браузеры разные пробывал — не открывается блог. Подписан на 50+ блогов все открываются. Сайты тоже вроде все, которые посещаю нормально открываются, кроме 2ip.ru, с ним вообще проблемы несколько лет назад начались.
Сейчас вот пишу коммент на компьютере из другого города, интернет от другого провайдера, этот блог и сайт 2ip.ru открываются нормально. В чём проблема мне не понятно.
пишет:
13 Дек 2011 в 13:18
17@Seorubl, так не бывает. Если доступ к фиду есть, то доступ к блогу есть однозначно. Возможно с браузером чертовщина какая-то творится. Попробуй поменять. Я других логичных объяснений не вижу. Да и ладно бы мой блог, но 2ip.ru доступен всегда и везде по жизни ) . Точно что-то с твоим компом. Если бы рсс тоже читать не мог, можно было бы еще провайдера заподозрить, а так...
пишет:
20 Дек 2011 в 18:05
18Недавно у меня была та же проблема. 2 сайта, один wordpress, другой ДЛЕ. Вылечил следующим образом: нашел несколько файлов php, со странным названием и которые находились в тех местах, где находится не должны. Удалил, сменил пароли. Эти файлы постоянно меняли htaccess и меняли chmod, дабы мне было сложнее вернуть все обратно. Файлы были в папках ДЛЕ.
пишет:
20 Дек 2011 в 18:09
19@alexnjoy, ну, вот. Тоже самое. Тут либо htaccess в 444 вгонять, либо искать, через какую дыру закидывают эти самые подозрительные файлики. Однозначно какой-то WP плагин.
пишет:
27 Фев 2012 в 9:05
20Привет!
Ну что разобрался через какую дыру к тебе шелл заливают?
Все перечисленные тобой махинации не дадут никакого толку.
Нужно было сразу этот самый файл самому вызвать через браузер, можно было переименовать и посмотреть что это.
WSO 2.5.1 (шелл)
Авторизация на cookies
Информация о сервере
Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
Просмотр, hexview, редактирование, скачивание, загрузка файлов
Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz
Консоль
SQL менеджер (MySql, PostgreSql)
Выполнение PHP кода
Работа со строками + поиск хеша в онлайн базах
Биндпорт и бек-коннект (Perl)
Bruteforce FTP, MySQL, PgSQL
Поиск файлов, поиск текста в файлах
Поддержка *nix-like и Windows систем
Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)
Можно использовать AJAX
Небольшой размер. Упакованная версия занимает 22.8 Kb
То есть, злоумышленник может делать с твоим хостом что угодно.
Залей файл и сам попробуй.
Кстати прикольная штука, если так со стороны посмотреть.
Если проблема не актуальна, напиши, пожалуйста решение.
Была ли найдена уязвимость?
У меня 7 сайтов на хосте, все WordPress.
Если все еще в процессе, могу поделится своим опытом.
пишет:
28 Мар 2012 в 17:38
21У меня та же ерунда была на одном из хостингов, где сидело 4 сайта. Тоже боролся с изменением атрибутов на запись htaccess, потом надоело, и я решил все 4 сайта снести до последнего файла и восстановить, с помощью RSS импорта (в вордпрессе есть такая штука по умолчанию), предварительно скачав папку UPLOADS.
Какое то время все было нормально, и уже на другом хосте другие сайты начали ерундить. Причину нашел в получении парлей от FTP. Запретил на хостинге полностью пользование ФТП и включаю когда есть крайняя необходимость, и о чудо ни одного все разрешилось.
У меня пара статей на сайте посвящено этой неприятной теме.
пишет:
28 Мар 2012 в 17:48
22@NoFrost, ну, у меня по фтп нигде пароли не хранятся, и проблема была именно в http взломах через плагины. То есть это немножко другое. Не хранить пароль от фтп в менеджерах и на компе вообще — это уж совсем элементарная рекомендация. Впрочем, и её можно не придерживаться, если лочить фпт-доступ только на разрешенные айпи, как я и делаю.
пишет:
06 Сен 2012 в 6:00
23Скинь мне плиз на мыло файл который ты нашел у себя, может это поможет мне найти у себя такой же...
пишет:
06 Сен 2012 в 8:37
24@wemarus.ru, уже давно удалил...