Перейти к публикации

Рекомендованные сообщения

Сегодня как обычно админил свои сайты утром, все было в порядке. В 16 часов зашел в админку одного из проектов и обнаружил, что файлы .htaccess в engine/cache и engine/cache/system отсутствуют, благо админка сообщила об этом. Сразу просканировал сайт встроенным в DLE антивирусом и обнаружил в папке engine/cache/system файл

04b50f39b24b.png

Как видно файл добавили в 15.11, в 16 я удачно его стер, возможно он не успел сделать ничего плохого. Решил закинуть файл на компьютер, проверить его код, но антивирус сразу завопил бешено, стер его тутже, нашел там BackDoor очень опасный. Собственно я проверил свой компьютер установленным KIS с последними обновлениями, лицензия, следом проверил утилитами других антивирусных систем, например Dr. Web Cure it! и прочими, никаких троянов или вирусов способных что-то закинуть FTP не нашел, да и сайты я не посещаю почти никакие, только популярные вроде ЛостФильм, на которых вирусов не бывает, защита постоянно включена всевозможная. В логах доступа по FTP я не увидел лишних коннектов, да и на соседних сайтах лежащих на этом FTP ничего не случилось, скорее всего атаковали именно этот сайт, а значит дырка или в правах доступа на папки engine/cache и engine/cache/system, но они как положено по инструкции имеют доступ 777 или есть дырка в движке, возможно. Конечно, я не исключаю косяк со стороны хостера, но пока постепенно ищу проблемные места. Хотелось бы получить комментарий от Celsoft или другого специалиста по защите, куда мне смотреть в плане защиты? Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

Ссылка на сообщение
Поделиться на других сайтах

Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ.

Как-то я не замечал, хотя сжатие включено, но в любом случае в этом файле, который единственный лежал у меня находился троян и пропали htaccess файлы, не просто так это все :)

Ссылка на сообщение
Поделиться на других сайтах

Volfgang,

чувак, это не троян, а шелл

проверь /engine/class/xfields.class.php

есть такой файл?

что дле антивирус говорит? проверь все новые файлы

Captain,

гзипсжатие не создает пхп файлов

это замаскированный шелл

Ссылка на сообщение
Поделиться на других сайтах

Volfgang,

чувак, это не троян, а шелл

проверь /engine/class/xfields.class.php

есть такой файл?

что дле антивирус говорит? проверь все новые файлы

Captain,

гзипсжатие не создает пхп файлов

это замаскированный шелл

Я об этом и писал, просто наверное выразился не тем языком. Сам вирус определяется как BackDoor.php.PhpShell, а наличие трояна я предполагаю на компе своем, который позволил бы Shell залить, но компьютер чист.

Сканирую сайт после удаления этого файла, пока антивирус ничего странного не видит, htaccess на месте. /engine/classes/xfields.class.php такого файла нет.

Ссылка на сообщение
Поделиться на других сайтах

они могли в легкую переписать файл антивируса, чтобы он не проверял ничего))

залей оригинальные файлы движка

и потом проверь еще раз,

у меня аналогичная ситуация

сижу разбираюсь

Ссылка на сообщение
Поделиться на других сайтах

они могли в легкую переписать файл антивируса, чтобы он не проверял ничего))

залей оригинальные файлы движка

и потом проверь еще раз,

у меня аналогичная ситуация

сижу разбираюсь

Да не похоже, Антивирус видит левые файлы, у меня там лежат пару модулей простеньких и пару файлов от старой версии движка, которые уже не используется, он их выводит как подозрительные, но я то знаю что там в них, а новый был только 1, который удалил. Файлы антивируса сейчас глянул, никто не редактировал их. Думаю PHP файл закинули из вне каким-то хитрым способом, без участия FTP, но пока не могу понять как....

Ссылка на сообщение
Поделиться на других сайтах

ну вот тогда моя балалайка

двиг 9.7 все патчи стоят, модулей всего два, они простые и проверенные годами.

изменения которые были сделаны хацкером:

  • залит аналогичный php файл minify,
  • и видимо скопирован потом с новым именем в файл /engine/classes/xfields.class.php
  • были изменены права нескольких хтаксессов с ридонли на writeable
  • была слита база (дамп базы валялся в /classes/
  • были изменены несколько файлов шаблонов, в которые добавили жаваскрипт , который редиректит пользователей с мобильным юзерагентом на какую даунлоад партнерку
  • тот же жаваскрипт был прикреплен к файлу /engine/classes/js/dle_js.js

проверил лог только за этот день пока что

человек напрямую зашел в шелл с ип адреса 95.79.185.246, видимо делал какие то манипуляции,

затем с того же адреса, но уже с другого юзерагента (андроид) или с своего телефона загружал сайт и проверял как работает жс

  • по фтп никто не заходил,в логах админ панель только я
  • шелл работает на специфичном порте, открыт только на мой ип
  • вебсервер nginx для статики + апач через прокси для php файлов, запускается под тем же юзером что и аккаунт.
  • установлена cpanel WHM 11.34.1 (build 5), в начале декабря разработчики обнародовали какие то серьезные уязвимости и выпустили апдейты, я поставил незамедлительно.

что было сделано мной после:

  • удалил все файло, кроме uploads;
  • проверил аплоадс на наличие пхп файлов, проверил все htaccess-ы во всех папках.
  • перезаписал оригинальные файлы, перезаписал шаблоны
  • заменил пароли на админа ДЛЕ, заменил пароли на пользователя и root сервера, замени пароли пользователя майскл и root майскл, в любом случае для профилактики не повредит
  • обновил nginx до последней версии(было 0.85), обновил майскл до 5.5. (была версия 5.0), хочу обновить еще пхп (стоит 5.2 какой то)
  • из моих оплошностей - все функции пхп разрешены, спасибо Сереге (Zeos), он подсказал какие нужно закрыть, пхп шелл уже не работает. и вообще за все ему СПАСИБО. Человечище!
  • свой комп тоже проверил двумя антивирусами, тихо-спокойно

теперь осталось разобраться как залили :)

Изменено пользователем prikindel
Ссылка на сообщение
Поделиться на других сайтах

Как смотрел активность человека через Shell? Отслеживал его действия...

я имел в виду пхпшелл, он в логах апача был

через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели)))

Ссылка на сообщение
Поделиться на других сайтах

Как смотрел активность человека через Shell? Отслеживал его действия...

я имел в виду пхпшелл, он в логах апача был

через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели)))

На самом деле сейчас очень волнует вопрос, как вообще этот PHP файл попал туда :) Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка...

Ссылка на сообщение
Поделиться на других сайтах

в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp

а sftp опять таки только с моего ипа работает

Ссылка на сообщение
Поделиться на других сайтах

в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp

а sftp опять таки только с моего ипа работает

Я фтп не пользовался с 19 ноября, когда заплатку ставил, НО в логах тоже только я. Значит залили как-то через движок, у меня заливка на сайт только картинок разрешена...

Посмотрел в папке /engine/classes/js/, половина файлов с 19 ноября, а файлов 5 обновлены 2го декабря в 0.00 ровно и файлы размером больше, чем в дистрибутиве DLE, я так понимаю эти файлы записывают в себя что-то со временем? Вряд ли злоумышленник мог изменить сразу 5 файлов в 0.00 2го декабря :) Антивирус на компе не видит в них подозрительного кода.

Изменено пользователем Volfgang
Ссылка на сообщение
Поделиться на других сайтах

так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок)

а лучше вообще не заморачиваться поисками того что изменили,

проще удалить и перезаписать чистыми файлами.

Ссылка на сообщение
Поделиться на других сайтах

так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок)

а лучше вообще не заморачиваться поисками того что изменили,

проще удалить и перезаписать чистыми файлами.

Разобрался. Пока все чисто. Скачал полный бэкап сайта на комп, антивирус не нашел вредоносных кодов. Буду следить, что дальше будет.

Ссылка на сообщение
Поделиться на других сайтах

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка...

Вариантов на самом деле не два, а намного больше:

1. Сторонние модули

2. Соседние сайты

3. Уязвимости в серверном ПО, например неустановленные патчи безопасности на phpMyAdmin.

Вам нужно искать шел также в папках сервера вне DLE, это соседние сайты и другие различные папки. С большой долей вероятности где то у вас шел есть на сервере.

были изменены права нескольких хтаксессов с ридонли на writeable

Используете режим FastCGI для PHP? Самый небезопасный режим при котором можно менять права на файлы через PHP скрипты на модифицировать любые файлы на сервере независимо от установленных прав доступа. Они попросту не действуют при данном режиме, т.к. владелец файлов всегда один. И PHP работает от имени этого владельца.

Ссылка на сообщение
Поделиться на других сайтах

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?
Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Да бросьте, файлы были изменены после появления шелла, а не до.

Ссылка на сообщение
Поделиться на других сайтах

100% файлы были изменены после.

до появления шелла, все рекомендуемые права на файлы были установлены верно

Ссылка на сообщение
Поделиться на других сайтах

Да бросьте, файлы были изменены после появления шелла, а не до.

Безусловно после, я нигде не писал что до. Вы внимательно читайте вопрос на который я отвечал, я отвечал что могло позволить шеллу удалить данные файлы. Только изменить их через скрипты можно только при некорректных правах или настройках сервера, в противном случае их невозможно было бы изменить через шелл. И шел бы не мог удалять удалять файлы или менять их права доступа. Для этого и нужны права доступа, если вы установили их только для чтения, то только чтение и возможно было. А у вас чтение поменяли на запись, потом их можно либо удалять, либо модифицировать.

Абсолютно очевидно что шел появился изначально не в папке engine/cache/system/ потому как если бы он попал туда, то не смог бы запуститься, он был загружен в другую папку на сервере, потом через него были нейтрализованы файлы .htaccess в папке engine/cache/ и шел был перемещен для маскировки в эту папку.

Ссылка на сообщение
Поделиться на других сайтах

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?
Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Да бросьте, файлы были изменены после появления шелла, а не до.

Может ещё и раскажеш как они были изменены?

Ссылка на сообщение
Поделиться на других сайтах

Меня тоже сегодня взломали, стоит DLE 9.6, последний сайт криптографический тоже стоит.

Все аналогично как у товарища Volfgang, файлы minify имеются, последнее что я делал, это согласился поставить рекламу на сайт, + поставил на неизвестный мне php файл чмод 777 (по просьбе рекламодателя.

Единственное что заметил, это что в config.php добавили какой то адрес партнерки

Сижу вот, думаю, откатывать сайт по новой или ждать еще одного взлома..

Думал я один такой, но хорошо что заглянул сюда.

Ссылка на сообщение
Поделиться на других сайтах

Ребята в первую очередь смотрите phpMyAdmin если у вас старая версия, обновляйте и закрывайте путь к нему чтобы никто кроме вас не знал его. Или удаляйте его. Я уже посмотрел несколько сайтов, у всех причина взлома наличие уязвимого phpMyAdmin на него уже выпущено огромное количество критических патчей, но почему то на него никто из администраторов сайта не обращает внимание, а именно его уязвимости позволяют именно заливать шелл а потом его переносят в ваши папки на сервере.

Также не используйте PHP как CGI, FastCGI, SuPHP и т.д. Так эти режимы позволяют игнорировать ваши права установленные на файлы, именно поэтому потом у вас через шеллы удаляют файлы .htaccess а потом маскируют шеллы. Устанавливайте PHP как модуль Апача. Для Апача также лучше поставить модуль ITK

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...