Ломают гады...

Четверг, 08 Дек 2011 14:21

На хостинге стоят 2 сайта: 1 на WordPress, другой на Joomla!. Помимо них есть еще 2 тестовых поддоменов, где тоже залит WordPress.

Третий день ломают сайты: в корневую папку хостинга, а также в корневую папку каждого сайта заливается модифицированный .htaccess, где прописано правило, что, если посетитель приходит с любого стороннего источника (будь то google, yandex, yahoo) или попадает на любую 4хх страницу на сайте, перенаправлять его на _http://azondsondex.ru/adsong/index.php, которого и в помине-то не существует...

Прикол в том, что если набрать адрес в строке адреса напрямую, то на сайт обязательно попадешь, а вот если это переход откуда-то — хренушки... Из-за этого сайты пролежали почти сутки, а я об этом даже не догадывался.

Как происходит взлом, определить пока не могу. С ходу попробовал попросту удалить из корневой папки хостинга лишний .htaccess и перезалить его для 2х сайтов на WordPress и Joomla!. Также еще раз проверил права на этот файл — везде стояли 444. Поменял владельца данного файла на себя с помощью админ-панели хостера еще раз... В итоге трабла пропадает на время, переходы из поиска становятся возможными, .htaccess сам или при вызове страниц сайта не модифицируется. Для пущей уверенности я еще попробовал восстановить сайты из бэкапа за день до того, как были модифицированы .htaccess'ы. На время помогло. Но вот сегодня с утра заметил, что опять, блять, хакнули, поменяли .htaccess'ы везде, и ппц... Сайты лежат, клиенты не попадают, прибыль сливается в горшок :) .

Есть подозрение на уязвимость какого-нибудь из модулей какого-нибудь из движков (либо Joomla!, либо WordPress), и периодическое обращение к этой уязвимости злоумышленника вручную либо своим каким-нибудь скриптом, короче, надо от неё по-любому избавляться. Поддержка freehost'a, к сожалению, морозится, помогать не хочет, говорят, мол, мы не занимаемся поддержкой и консультацией, а только хостинг предоставляем :) .

Чё делать-то, товарищи? Вручную перезаливать задалбывает )))

Update 8.12.2011. Файл с зашифрованным скриптом выложил по ссылке: fileshare.in.ua/5362517. Кто шарит, расшифруйте, плз, как он на самом деле работает, и вышлите мне на nikolas_sharp[caba4k@]bigmir.net

http://blogto4ka.ru

RSS комментариев

24 комментария Упоминаний: 1 Комментировать

  1. IAD пишет:

    08 Дек 2011 в 17:51 Reply to this comment

    1

    Думаю обычная инъекция.

    1. Посмотреть все файлы, созданные за последние 2 недели. если есть php, это подозрительно

    2. Смотреть логи апачи, не подсовывают ли в get или post подозрительное значение

  2. Kras пишет:

    08 Дек 2011 в 18:03 Reply to this comment

    2

    nikolas_sharp у меня была такая же ситуация с сайтами на WordPress'e. Я своего хостера тогда за долбал и в этоги они мне предложили заблокировать .htaccess на изменение в нем кода. Сейчас даже сам не могу самостоятельно что то изменить в нем приходиться писать хостера что бы он мне дал права доступа. Но после блокировки .htaccess файла не чего подобного не происходила. Правда хостер еще предложил изменить пароли везде начиная с хостинга, ftp-клиента, и самих сайтах. Вот так я смог закрыть доступ на взлом

  3. иван пишет:

    08 Дек 2011 в 18:20 Reply to this comment

    3

    тематика сайтов какая?

  4. nikolas_sharp пишет:

    08 Дек 2011 в 18:24 Reply to this comment

    4

    Потихоньку разбираюсь. .htaccess'ы менялись вызовом скрипта w2027413547137648.php, залитого в корень папки блога, либо каждые 2 часа (вижу вызов по логам апача), либо как-то в ответ на мои действия (есть некоторые вызовы не попадающие в эту периодичность), либо ручками. В файле был зашифрован код вредоносного скрипта, начинающийся на preg_replace. Расшифровать аргумент функции через простой base64 dencode почему-то не вышло, выдаются каракули. Затем я по глупости файл просто снес :( , а надо было предложить кому-нить расшифровать сперва, чтобы точно знать, что за скрипт там был зашит :( . Запросил у хостера бэкапы, по идее в них еще будет этот файл, порасшифровываем вместе.

    Вопрос к зрителям. Как файл w2027413547137648.php был залит в корень моего блога?

    @Kras, я эту тему уже тоже штудировал. На htaccess ставятся права 444, то есть только чтение r-r-r для всех пользователей, скриптов, и тебя в том числе. И это крайне правильный подход, т.к. если каком-либо из плагинов есть дырка, позволяющая злоумышленнику выполнить скрипт, а на htaccess при этом стоят права 644, то есть rw-r-r, что означает read-write для скрипта, то тебя ломают на ура (судя по всему это со мной и происходило). Казалось бы, куда проще, поставить 444 на htaccess и менять когда нужно на 777 для редактирования. Но тут есть одна фигня — по фтп права 444 выставить невозможно, и они автоматом преобразуются в 644 в таком случае... То есть 1 раз тебе хостер это поставит, а дальше, если ты попробуешь заменить права на 777 и вернуть 444, то получишь уже 644, а это, опять же, то, с чего начинали. Выхода 2: 1) каждый раз затрахивать хостера (явно некорректно); 2) менять права по ssh. Из второго опять же вытекает проблема: хостеры далеко не на все пакеты хостинга дают ssh-доступ. Я вот выяснил, что у меня есть, и уже запросил доступ по ssh. Сегодня буду разбираться что там к чему, да менять права на 444 самостоятельно, причем не только на htaccess, а и на всякие там configurations.php и т.п., чего и вам советую.

  5. nikolas_sharp пишет:

    08 Дек 2011 в 18:27 Reply to this comment

    5

    @IAD, как смотреть созданные за последнее время файлы? Бэкап качать? Из панели вроде бы никак...

    @иван, какая разница? :)

  6. nikolas_sharp пишет:

    08 Дек 2011 в 22:27 Reply to this comment

    6

    Выкладываю файл с зашифрованным вредоносным скриптом: fileshare.in.ua/5362517.

    Качаем, расшифровываем, отсылаем мне на nikolas_sharp[cab@4ka]bigmir.net или отписываемся здесь в комментах, как же он на самом деле работает и как его могли залить ко мне в корень блога.

  7. IAD пишет:

    09 Дек 2011 в 9:07 Reply to this comment

    7

    Файл можно попробовать расшифровать на моём сервисе _http://uneval.com/ru

    Залит был скорей всего инъекцией.

  8. IAD пишет:

    09 Дек 2011 в 9:16 Reply to this comment

    8

    Кому интересно, вот разъеваливалка файла _http://uneval.com/ru/5443494ac33bef28201cde3080e33e6c/show_files_full_show/file.php

  9. maks пишет:

    09 Дек 2011 в 12:48 Reply to this comment

    9

    На самом деле проблема в 99% в тебе — ты пароли хранишь на своем компе? Ну типа тотала или файлзиллы какой-нить? Вот троян у тебя поселился, тырит пароль, заходит и все заливает что ему нужно. Уязвимость движков в данном случае ни при чем. Говорю так потому что более 1000 клеинтов на шареде имею и подобные «взломы» каждый месяц случаются. Есть еще вариант с серверным взломом, но тут админ совсем лох должен быть и тогда нужно точно бежать оттуда...

  10. maks пишет:

    09 Дек 2011 в 12:50 Reply to this comment

    10

    первое — смени пароли везде. даже на почту и аську. Второе — убей все сохраненные пароли со всех софтин на компе. Не можешь запомнить? Запиши на бумажку. А лучше запомни. Память  потренируешь заодно. 

  11. nikolas_sharp пишет:

    09 Дек 2011 в 16:35 Reply to this comment

    11

    @IAD, и как ею пользоваться? Как мне понять, что зашифровано в том наборе символов? Я хочу видеть нормальный код php-скрипта, чтобы вдуплиться, как он работает вообще...

    @maks, еще со времен первого взлома с уводом мыла давно не храню значимых паролей в браузере. На бумажку идет любой более-менее значимый пароль. Браузер настроен «не сохранять» пароли, а для частых, но не особо важных паролей стоит приложение LastPass для Chrome, которое хранит их на удаленном сервере в зашифрованном виде. В фтп-софтинах пароль везде запрашивается. Важные пароли все помню и ручками вбиваю всегда. Более того для пущей безопасности мыла стоят везде двойные авторизации от Гугла с генерацией пароля в приложение на iPhone. Так что это не вариант...

  12. nikolas_sharp пишет:

    09 Дек 2011 в 16:39 Reply to this comment

    12

    @maks, серверный взлом вроде как тоже не вариант. Хостингу freehost уже много лет, моё мнение о нем довольно высокое, у админов на мой взгляд руки там в норме. С огромной долей вероятности это именно инъекция через дыру в каком-либо скрипте.

  13. Василий пишет:

    09 Дек 2011 в 17:35 Reply to this comment

    13

    недавно и мой сайт взломали, но увидел буквально в ту же минуту. Поменял все пароли, восстановил из бэкапа файл, вроде все нормально сейчас.

  14. wlad2 пишет:

    09 Дек 2011 в 20:31 Reply to this comment

    14

    а какой у тебя антивирус? просто для интереса.

  15. nikolas_sharp пишет:

    09 Дек 2011 в 20:53 Reply to this comment

    15

    @Василий, ну, пока не принять меры, такое может повторяться бесконечное число раз... Я сам начитался различных факов: в принципе есть ряд обязательных весьма несложных процедур, которые с большой долей вероятности обезопасят если не от взлома, то от его последствий. Например, то же правильное выставление прав: 444 на все файлы, которые не должны редактироваться даже скриптами или же совсем простенькое — htaccess сделать hidden :) и т.д. в таком же духе. Ну, а если уж совсем по правде, то надо выискивать, через что сделали инъекцию и устранять эту программную дырку...

    @wlad2, NOD4. К делу такой интерес никакого отношения не имеют. Говорю же, кража паролей тут не причем. В логах фтп-активности никаких заходов с айпишников кроме моего собственного не числится.

  16. Seorubl пишет:

    13 Дек 2011 в 11:42 Reply to this comment

    16

    По теме взлома могу сказать, что уже давно(с полгода это точно) твой блог у меня на старом компе не открывается. Подписан на rss feed в браузере, так feed читается, а ссылки с него не открываются. И через поиск или напрямую через адресную строчку я зайти не могу. Браузеры разные пробывал — не открывается блог. Подписан на 50+ блогов все открываются. Сайты тоже вроде все, которые посещаю нормально открываются, кроме 2ip.ru, с ним вообще проблемы несколько лет назад начались.

    Сейчас вот пишу коммент на компьютере из другого города, интернет от другого провайдера, этот блог и сайт 2ip.ru открываются нормально. В чём проблема мне не понятно.

  17. nikolas_sharp пишет:

    13 Дек 2011 в 13:18 Reply to this comment

    17

    @Seorubl, так не бывает. Если доступ к фиду есть, то доступ к блогу есть однозначно. Возможно с браузером чертовщина какая-то творится. Попробуй поменять. Я других логичных объяснений не вижу. Да и ладно бы мой блог, но 2ip.ru доступен всегда и везде по жизни ) . Точно что-то с твоим компом. Если бы рсс тоже читать не мог, можно было бы еще провайдера заподозрить, а так...

  18. alexnjoy пишет:

    20 Дек 2011 в 18:05 Reply to this comment

    18

    Недавно у меня была та же проблема. 2 сайта, один wordpress, другой ДЛЕ. Вылечил следующим образом: нашел несколько файлов php, со странным названием и которые находились в тех местах, где находится не должны. Удалил, сменил пароли. Эти файлы постоянно меняли htaccess и меняли chmod, дабы мне было сложнее вернуть все обратно. Файлы были в папках ДЛЕ.

  19. nikolas_sharp пишет:

    20 Дек 2011 в 18:09 Reply to this comment

    19

    @alexnjoy, ну, вот. Тоже самое. Тут либо htaccess в 444 вгонять, либо искать, через какую дыру закидывают эти самые подозрительные файлики. Однозначно какой-то WP плагин.

  20. Юрий пишет:

    27 Фев 2012 в 9:05 Reply to this comment

    20

    Привет!

    Ну что разобрался через какую дыру к тебе шелл заливают?

    Все перечисленные тобой махинации не дадут никакого толку.

    Нужно было сразу этот самый файл самому вызвать через браузер, можно было переименовать и посмотреть что это.

    WSO 2.5.1 (шелл)

    Авторизация на cookies

    Информация о сервере

    Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)

    Просмотр, hexview, редактирование, скачивание, загрузка файлов

    Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz

    Консоль

    SQL менеджер (MySql, PostgreSql)

    Выполнение PHP кода

    Работа со строками + поиск хеша в онлайн базах

    Биндпорт и бек-коннект (Perl)

    Bruteforce FTP, MySQL, PgSQL

    Поиск файлов, поиск текста в файлах

    Поддержка *nix-like и Windows систем

    Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)

    Можно использовать AJAX

    Небольшой размер. Упакованная версия занимает 22.8 Kb

    То есть, злоумышленник может делать с твоим хостом что угодно.

    Залей файл и сам попробуй.

    Кстати прикольная штука, если так со стороны посмотреть.

    Если проблема не актуальна, напиши, пожалуйста решение.

    Была ли найдена уязвимость?

    У меня 7 сайтов на хосте, все WordPress.

    Если все еще в процессе, могу поделится своим опытом.

  21. NoFrost пишет:

    28 Мар 2012 в 17:38 Reply to this comment

    21

    У меня та же ерунда была на одном из хостингов, где сидело 4 сайта. Тоже боролся с изменением атрибутов на запись htaccess, потом надоело, и я решил все 4 сайта снести до последнего файла и восстановить, с помощью RSS импорта (в вордпрессе есть такая штука по умолчанию), предварительно скачав папку UPLOADS.

    Какое то время все было нормально, и уже на другом хосте другие сайты начали ерундить. Причину нашел в получении парлей от FTP. Запретил на хостинге полностью пользование ФТП и включаю когда есть крайняя необходимость, и о чудо ни одного все разрешилось.

    У меня пара статей на сайте посвящено этой неприятной теме.

  22. nikolas_ sharp пишет:

    28 Мар 2012 в 17:48 Reply to this comment

    22

    @NoFrost, ну, у меня по фтп нигде пароли не хранятся, и проблема была именно в http взломах через плагины. То есть это немножко другое. Не хранить пароль от фтп в менеджерах  и на компе вообще — это уж совсем элементарная рекомендация. Впрочем, и её можно не придерживаться, если лочить фпт-доступ только на разрешенные айпи, как я и делаю.

  23. wemarus.ru пишет:

    06 Сен 2012 в 6:00 Reply to this comment

    23

    Скинь мне плиз на мыло файл который ты нашел у себя, может это поможет мне найти у себя такой же...

  24. nikolas_sharp пишет:

    06 Сен 2012 в 8:37 Reply to this comment

    24

    @wemarus.ru, уже давно удалил...

Оставьте свой комментарий о материале
(Комментарии со ссылками попадают на модерацию. Остальные не попадают, но я могу удалять те, которые посчитаю бесполезными, не несущими смысловой нагрузки)