FreeHost.com.UA
Сентября 21, 2018, 02:01:04 am *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 [2] 3 4
  Печать  
Автор Тема: Взломы сайтов  (Прочитано 12662 раз)
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #15 : Июля 18, 2012, 07:45:53 am »

Логины в личку или тикетом на сапорт.
И уточнение - какие права на файлы были?
« Последнее редактирование: Июля 18, 2012, 07:50:11 am от Komintern » Записан

Lucy in the Sky with Diamonds
akok
Newbie
*

Karma: 0
Сообщений: 15


Просмотр профиля WWW
« Ответ #16 : Июля 18, 2012, 09:33:14 am »

Сегодня наконец завершил аудит собственного сайта и ПК, немного о результатах.

1. Изменений в скрипт не было внесено (только в .htaccess).
2. ПК вредоносного кода не обнаружено. Пароли доступа не хранятся на ПК.
3. Лог инспектора файлов показывает только вмешательство в .htaccess за пол года.

В общем все странно. Все сводится к уязвимости в скрипте? или ошибке человека. Если в первом случае взломали был (насколько я понимаю) не однороден и заражены были разные представители скриптов.
Кстати те кого взломали пользовались ли этой приблудой => http://webftp.freehost.com.ua/
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #17 : Июля 18, 2012, 02:33:39 pm »

Обращались несколько реселеров и уверяли, что их данные в полной сохранности. Это скорее всего действительно так, но к конкретным акаунтам хостинга FTP-доступ имеет не только реселер, а и его клиент. Этот аспект тоже необходимо контролировать, т.к трояны, собирающие базы FTP-доступа, могут быть и на клиентских машинах. Также сим фактом обьясняется, что страдают только некоторые акаунты из множества созданых реселером.
« Последнее редактирование: Июля 18, 2012, 04:32:13 pm от Komintern » Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #18 : Июля 18, 2012, 03:18:10 pm »

Цитировать
Логов фтп нет, да это и не важно
Это как раз очень важно. Логины скиньте в личку или тикетом на сапорт.
Не важно, потому что и ежу понятно что были левые заходы. Важнее понять откуда утечка паролей. Я уже несколько лет не храню пароли в фтп клиенте, а аккаунтов без ограничений по ip у меня гораздо больше чем 5 и на большом количестве серверов. Возможно это какая-то хакерская заначка, упёртая много лет назад. С другой стороны, во многих аккаунтах нет htaccess поэтому сложно понять есть ли у них доступ к аккаунту или нет.

Есть вариант собрать ip с которых ходил бот, а потом пройтись по логам и собрать аккаунты в которые бот смог зайти успешно, после чего предупредить владельцев этих аккаунтов.
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #19 : Июля 18, 2012, 03:33:35 pm »

Цитировать
Важнее понять откуда утечка паролей

Все логи работы с сервисом webftp мы проверили - за последний месяц - никаких криминальных действий, даже отдаленно напоминающих попытки взлома - там нет. Базы FTP-доступов собираются троянами по несколько месяцев или даже лет, а по достижении нужного количества акаунтов бот проходится по упорядоченому списку ip-адресов. Это и создает иллюзию, что взломан целый сервер хостинга - одновременный взлом нескольких пользователей на одном и том же ip.

Цитировать
Есть вариант собрать ip с которых ходил бот, а потом пройтись по логам и собрать аккаунты в которые бот смог зайти успешно, после чего предупредить владельцев этих аккаунтов.

Мы проверяли это. В отдельных случаях бот перебирал пароли по словарю, и у него это получалось. Основной ip с которого бот действовал - 62.113.86.5:
Код:
Jul 13 23:31:15 pure-ftpd: (?@62.113.86.5) [WARNING] Authentication failed
Jul 13 23:31:15 pure-ftpd: (?@62.113.86.5) [INFO] Logout.
Jul 13 23:44:59 pure-ftpd: (?@62.113.86.5) [INFO] New connection from 62.113.86.5
Jul 13 23:45:04 pure-ftpd: (?@62.113.86.5) [WARNING] Authentication failed
Jul 13 23:45:04 pure-ftpd: (?@62.113.86.5) [INFO] Logout.
Jul 13 23:49:08 pure-ftpd: (?@62.113.86.5) [INFO] New connection from 62.113.86.5
Jul 13 23:49:11 pure-ftpd: (?@62.113.86.5) [WARNING] Authentication failed
Jul 13 23:49:11 pure-ftpd: (?@62.113.86.5) [INFO] Logout.
Jul 13 23:50:54 pure-ftpd: (?@62.113.86.5) [INFO] New connection from 62.113.86.5
Jul 13 23:50:58 pure-ftpd: (?@62.113.86.5) [WARNING] Authentication failed
Jul 13 23:50:58 pure-ftpd: (?@62.113.86.5) [INFO] Logout.
Jul 13 23:54:04 pure-ftpd: (?@62.113.86.5) [INFO] New connection from 62.113.86.5
Jul 13 23:54:08 pure-ftpd: (?@62.113.86.5) [INFO] ... now logged in

Поскольку клиент реселера может сам себе изменить пароль на доступ FTP, нужно также заботиться о том, чтобы не устанавливались пароли типа qwerty, 12345 и т.д.
Записан

Lucy in the Sky with Diamonds
Taurus
Newbie
*

Karma: 0
Сообщений: 23


I f*ck your mind...


Просмотр профиля WWW
« Ответ #20 : Июля 18, 2012, 04:19:24 pm »

А можна в панелі задавати діапазон дозволених IP (типу 192.168.*.*), а то у мого провайдера він динамічний?
Записан

Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #21 : Июля 18, 2012, 04:29:46 pm »

Диапазон к сожалению нельзя.
Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #22 : Июля 18, 2012, 04:45:46 pm »

Нарыл ещё протечки на s5, s23. Всё же вынужден признать что скорее утечка от пользователей, хотя уж слишком массово выглядит.

То что отследили это пол дела, а сделать какую-то фичу на автомате - есть успешный логин с этого IP - алерт на мыло клиенту можно?
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #23 : Июля 18, 2012, 04:46:52 pm »

Сейчас работаем над тем, чтобы автоматизировано почистить зараженные акаунты.
Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #24 : Июля 18, 2012, 04:54:54 pm »

В этот раз "чистка" как раз плёвое дело, проблема в том что у бота остались пароли, а поскольку бот фиксил чаще всего только файлы с реврайтами то без логов сложно понять к каким ещё сайтам этот бот смог получить доступ но при этом ничего там не фиксил. Иначе в следующий раз этот же бот сможет опять напакостить на многих сайтах. Надо по горячсим следам по максимуму вычистить базу взломанных.
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #25 : Июля 18, 2012, 05:48:27 pm »

Все логи проанализированы, акаунты  к которым бот получил доступ будут уведомлены по контактным адресам.
Чистка акаунтов в автоматическом режиме уже проводится. Доступ с вредоносного ip закрыт для всех серверов.
Записан

Lucy in the Sky with Diamonds
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #26 : Июля 18, 2012, 09:00:48 pm »

И всё же после поголовного фикса аккаунтов, я обнаружил 2 аккаунта, в одном файлы фиксились, во второй бот просто залогинился. При том что вход на фтп для этих аккаунтов был заблокирован из-за истечения даты хостинга. Я сам не мог попасть на фтп пока не "продлил" хостинг. Как бот смог зайти на эти аккаунты минуя блокировку для меня загадка.
Записан
novadesign
Менеджер
FreeHost
*****

Karma: 8
Сообщений: 840

17312595
Просмотр профиля
« Ответ #27 : Июля 19, 2012, 06:38:43 am »

И всё же после поголовного фикса аккаунтов, я обнаружил 2 аккаунта, в одном файлы фиксились, во второй бот просто залогинился. При том что вход на фтп для этих аккаунтов был заблокирован из-за истечения даты хостинга. Я сам не мог попасть на фтп пока не "продлил" хостинг. Как бот смог зайти на эти аккаунты минуя блокировку для меня загадка.

Некоторое время назад ограничение на доступ в окончившиеся аккаунты мы временно отключили. Поэтому в них можно было зайти по ФТП.
Записан

Евгений Шерман
e-mail: service@freehost.com.ua
FREEhost.com.ua
Служба поддержки: 38(044) 364-0571
Финансовый отдел: 38(044) 364-0571
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #28 : Июля 19, 2012, 12:44:53 pm »

А, тогда этот вопрос снимается. Осталось попытаться выяснить откуда ноги ростут. Я вначале неправильно оценил масштаб случившегося, на многих сайтах ничего небыло пофикшено, но когда начал смотреть логи, там где они есть, то открылась печальная картина. Бот смог пролезть почти во все мои аккаунты не закрытые по ip. Потратил вчера целый день на все эти разборы, но таки тупо залочил все аккаунты. Представил что было бы если бы бот например просто позатирал все файлы и понял что ну его в пень, лучше пусть клиенты страдают от невозможности иногда добраться до фтп Улыбающийся
« Последнее редактирование: Июля 19, 2012, 01:39:00 pm от AMBA » Записан
Taurus
Newbie
*

Karma: 0
Сообщений: 23


I f*ck your mind...


Просмотр профиля WWW
« Ответ #29 : Июля 19, 2012, 02:13:26 pm »

Сьогодні знову фіксили файли? Дата файлів хтаццесс сьогоднішня в 12.25.
« Последнее редактирование: Июля 19, 2012, 02:23:00 pm от Taurus » Записан

Страниц: 1 [2] 3 4
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!