Взломали сайт. Вот и на моей улице "праздник"...

Главные вкладки

Аватар пользователя Pozniy Pozniy 22 мая 2007 в 1:42

Привет всем!
Да, вот такая засада. И на моей улице "праздник". Деятели с IP 217.20.116.59 загрузили в корень скрипт "test.php" в котором один единственный (и вроде понятный) оператор:

"<?php
phpinfo();
?>"

Затем модифицировали "index.htm" и "index.php" - в конец добавили вызов невидимого фрейма загружающего скрипт по ссылке:
хттп://razorstudio.org/tds/iframe . php (не дай боже его запускать!!!). Но, по видимому, что-то сделали не так, в результате сайт просто тупо завалился с ошибкой:
"Parse error: syntax error, unexpected '<' in /home/strate/public_html/index.php on line 37"
благодаря чему всё и обнаружилось.

Провайдер говорит, что злоумышленник знал пароль фтп, посоветовал провериться на спайваре. (Провериться - дело не мудреное, но у меня по этому поводу большие сомнения.) Впрочем, добавил, что не лишне проверить скрипты на наличие "чужого" кода, хотя во взломе (дают голову на отсечение) задействован фтп, а не "дырка" в скриптах. Пирмишены директории рута - 750. Файлов в корне - 755. Вроде так и надо?

Вопрос к бывалым. Реально ли хотя бы на уровне пермишенов, "робот.тхт" и ".htaccess" предпринять максимум усилий во избежании подобных прецедентов?

PS. В приложении:
index_php.txt - родной друпаловский индекс.пхп (4.7);
index_hack.txt - он же инфицированный.

ВложениеРазмер
Иконка простого текстового файла index_php.txt903 байта
Иконка простого текстового файла index_hack.txt1.1 КБ

Комментарии

Аватар пользователя p-code p-code 22 мая 2007 в 9:08

Спроси у Яндекса — в последнее время много взломов через получение доступа по FTP (лечите трояны и вирусы у себя)

Аватар пользователя kiev1 kiev1 22 мая 2007 в 9:46

сейчас просто эпидемия кражи паролей на FTP
у моих знакомых тоже у многих трояны обнаружплись а у одного сайт сломали именно через кражу FTP.
люди - не сидите на виндовс - это "пороховая бочка"

Аватар пользователя axel axel 22 мая 2007 в 15:20

Права на файлы можно конечно выставить и так chmod a-w - для всех файлов кроме папки files в друпале это прокатит. Но если взломщику известен пароль на ftp или ssh вход или даже он уже получил доступ к исполнению скрипта через веб, то выставить права на запись обратно - недолгое дело. Вот если есть возможность выставить пользователя и группу другими, например отдать эти файлы руту (или другому пользователю, который отличен от пользователя вебсервера и пользователя под которым работают скрипты), то это поможет.

Аватар пользователя granat granat 22 мая 2007 в 15:35

Дело даже не в винде, а в том, что трояны воруют сохранённые пароли в Total Commander'e и других менеджерах ФТП. Никогда не сохраняйте пароли и будет вам счастье Wink

Аватар пользователя PVasili PVasili 22 мая 2007 в 17:05

В far все хранятся (не могу с ходу запомнить 10 букво-цыфр на 20 сайтов) за ~10лет пока не украли :).
Стоит антивирус, фаервол и несколько адваре переодически запускаю. Что делаю не так? Smile

Аватар пользователя kiev1 kiev1 22 мая 2007 в 15:50

почему это вдруг "сохраненные" - троянам проще снимать то что набирается на клавиатуре чем вытаскивать их из разных программ.

Аватар пользователя Pozniy Pozniy 22 мая 2007 в 20:32

Стоит 4.7.6 (правда модифицированная, не Друпал, а гибрид Друпал с форумом vBulletin - vBDrupal). Обновляю постоянно и ядро и модули.

>почему это вдруг "сохраненные" - троянам проще снимать то что набирается на клавиатуре чем вытаскивать их из разных программ.

Не знаю как кто, но у меня "оперативной памяти" не хватает для набора "бузы" из 10-12 символов вручную. Пароли я вставляю в форму копированием.

> В far все хранятся (не могу с ходу запомнить 10 букво-цыфр на 20 сайтов) за ~10лет пока не украли :).

У меня за 20 лет это первый случай не то что трояна, но даже вирусной атаки (постучал бы, да уже поздно). Файрволом пользуюсь с 2001 года, "Аутпост Файрвол" (кстати, лицензионный и там типа проверка на "спайваре" имеется, но какая - уже видно :/ ), антивирус. Адваре, правда, до настоящего момента практически не юзал (в смысле, периодически).

А действительно похоже, что троян. Делов том, что в отладочных целях у меня на сайте есть пара поддиректорий с клонами сайта, что бы мо. Ну что-то типа www.мойсайт.сом/only_for_debug/. Дак вот ломанули даже корневые скрипты на этих сайтах. А они то в сети никак не засвечены. Знаю и юзаю самостоятельно. Явно робот-хакер шарился по записям какого-то лога.

С фтп работал с помощью приятной (как для меня) программулины "FileZilla" и... подключения к сетевым томам через обычный виндовозный проводник. Файлзилу рекомендовали в официальном туториале установки Галереи2, посему подозрений не вызывала.

Аватар пользователя Pozniy Pozniy 23 мая 2007 в 1:09

В гугле набрал ключ поиска "razorstudio.org" (сайт ссылки из скрипто-вируса). Результат оказался любопытным:

"razorstudio.org
- [ Перевести эту страницу ]
Welcome to the home of razorstudio.org. To change this page, upload your website into the public_html directory.
razorstudio.org/ - 1k - Сохранено в кэше - Похожие страницы"

Особого желания следовать по ссылке как-то нет...

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 23 мая 2007 в 6:39

Это, похоже, просто сообщение на хостинге по умолчанию - до того, как покупатель хостинга размещает там свой index.php или index.html.
А вот данные whois могут быть для вас интересны. Там много левой информации: город Пекин, провинция - Гонконг и т.п. лабуда. Но есть реальный email, на который регистрировался сайт - Registrant Email:onspeed11@yandex.ru. И есть Name Server:NS1.RUS-HOSTING.RU
Если факт взлома официально зафиксирован, то можно обратиться письмом к администрации RUS-HOSTING.RU и на yandex.ru, чтобы паршивцам слегка малину пообломать. Smile Ну или чего еще придумать - в зависимости от вашей фантазии и силы чувства мести.

Аватар пользователя Pozniy Pozniy 25 мая 2007 в 2:52

А как были получены эти данные?
Потому как доступные мне средства (старенькая программка NeoTrace) дают нерелевантную представленной информацию:

"Name: mail.you-host.org
IP Address: 217.20.116.59
Location: Frankfurt am Main (50.117N, 8.683E)
Network: 217-RIPE"

Хотя через http://whois.org/whois_new.cgi?d=razorstudio&tld=org действительно:

Domain ID:D135196739-LROR
Domain Name:RAZORSTUDIO.ORG
Created On:16-Dec-2006 20:03:54 UTC
Last Updated On:08-Mar-2007 12:42:03 UTC
Expiration Date:16-Dec-2007 20:03:54 UTC
Sponsoring Registrar:EstDomains, Inc. (R1345-LROR)
Status:OK
Registrant ID:DI_4355170
Registrant Name:Search
Registrant Organization:Search
Registrant Street1:Sakanua str. 194-158
Registrant Street2:
Registrant Street3:
Registrant City:Pekin
Registrant State/Province:Hong Kong
Registrant Postal Code:124578
Registrant Country:CN
.....
Tech Email:onspeed11@yandex.ru
Name Server:NS1.RUS-HOSTING.RU
Name Server:NS2.RUS-HOSTING.RU
Name Server:
Name Server:

Беглый просмотр сайта http://rus-hosting.ru сформировал весьма удручающее впечатление. Так домен RAZORSTUDIO.ORG был зарегистрирован примерно тогда же когда "яйцо" этого хостера "каталось в инкубаторе". Он полноценно стартонул всего-то в марте. На сайте, изобилующем массой грамматических ошибок, нет ни одного упоминания о "физических параметрах" в миру этого чуда. Особенно понравился вот этот юридический шедевр из раздела "Договор":

"Хостинг-компания "РУС-ХОСТИНГ" (именуемое в дальнейшем "Компания") с одной стороны, и Вы, как физическое (юридическое) лицо именуемое в дальнейшем - Заказчик, заключаете настоящий Договор о нижеследующем:
"
В лице кого? Почему "Компания", а не "Исполнитель" ("Вы" то - "Заказчик")? Где реквизиты?

Шаражкина контора, одним словом, для конкретного развода интернет-лохов. Какой смысл жаловаться им на их самих? Нет никакого сомнения, что "команда профессионалов" "качественно предоставляющая услуги" в свободное от "услуг" время (а его очевидно много) развлекается хакерством. Совпаденние ip атаки с ip сервером NS1.RUS-HOSTING.RU и RAZORSTUDIO.ORG просто умиляет! Что называется, почерк "профессионала". Очередное обиженное женским вниманием "молодое дарование" из разряда "непуганых идиотов". Такие кокаин по мобилке заказывают.

Мстя моя будет несколько иного свойства. В законопроекте (нашем, украинском, естественно) о борьбе со спамом и хакерством будут внесены изменения убирающие срок давности по этому виду преступлений, а сам закон будет иметь обратную силу. С вашими компетентными органами мы, вне сомнения, договоримся. Дык что пусть продолжают совершенствовать навыки. Государству потребуются и такие специалисты. А фундамент для обоснования "предложения, от которого не смогут отказаться" уже заложен. Так что успеха компании "РУС-ХОСТИНГ"... Теперь о деле, чтобы закрыть тему.

Комп свой за последние два-три дня проскрейбил основательно, с пристрастием и различными инструментами. ЧИСТЫЙ. Посему, или троян качественно заметает следы (по поводу чего большие сомнения, не тот стиль - см. выше), или весь его функционал ограничен рамками того самого скрипта, который razorstudio.org/tds/iframe . php .

Люди бывалые настоятельно рекомендуют пользоваться антивирусными (антиспайварными) агентами, которые контроллируют, КРОМЕ ПРОЧЕГО, так же загружаемые СТРАНИЦЫ САЙТОВ. DrWeb, увы, полный ацтой!

Может кто что порекомендует?

Аватар пользователя igdrasil@drupal.org igdrasil@drupal.org 25 мая 2007 в 11:47

RIPE выдает именно франкфурт, никакого пекина и рядом нет http://www.ripn.net:8080/nic/whois/
уж не знаю, как крадут пароли, антивирус ставлю раз в год, для профилактики, проверяю все,потом сношу нафиг, уже больше 10 лет ни 1 вируса/трояна, т.к. фаер стоит всегда, причем не "умный" персональный, а обычный, где надо все правила прописывать ручками + ИЕ только для провереных источников (только когда он необходим) + всегда думаю, что скачиваю

Аватар пользователя Ainur Ainur 25 мая 2007 в 12:37

Кстати может быть уязвимость целевого сервера. Я когда-то хостился где попало Smile и там несколько машин взломали, во все файлы подобавляли эти фреймы, потом массово эту дыру заделали и файлы вылечили.

Аватар пользователя Urfin Urfin 27 мая 2007 в 11:27

Аналогичная ошибка выскочила сегодня утром. Только версия Drupal 5.1 Мой хостер при входе в панель управления постоянно предупреждает о том, что участилась вирусная активность. И что пароли от ФТП нужно тчательно беречь))) Ладно. Полезу файл править, менять разрешения и пароли. Так, что? Ставить "только чтение" на все, кроме папки для загрузки файлов?

Аватар пользователя Emili013@drupal.org Emili013@drupal.org 20 декабря 2008 в 11:51

Сегодня столкнулся с такой же проблемой, пока борюсь радикально - запретил доступ к сайту по ftp, но интересно узнать как могли увести пароли - нигде их не сохраняю, вирусов вроде бы нет (если верить антивирусам), да и фаервол ничего подозрительного не видит..