Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Сегодня как обычно админил свои сайты утром, все было в порядке. В 16 часов зашел в админку одного из проектов и обнаружил, что файлы .htaccess в engine/cache и engine/cache/system отсутствуют, благо админка сообщила об этом. Сразу просканировал сайт встроенным в DLE антивирусом и обнаружил в папке engine/cache/system файл Как видно файл добавили в 15.11, в 16 я удачно его стер, возможно он не успел сделать ничего плохого. Решил закинуть файл на компьютер, проверить его код, но антивирус сразу завопил бешено, стер его тутже, нашел там BackDoor очень опасный. Собственно я проверил свой компьютер установленным KIS с последними обновлениями, лицензия, следом проверил утилитами других антивирусных систем, например Dr. Web Cure it! и прочими, никаких троянов или вирусов способных что-то закинуть FTP не нашел, да и сайты я не посещаю почти никакие, только популярные вроде ЛостФильм, на которых вирусов не бывает, защита постоянно включена всевозможная. В логах доступа по FTP я не увидел лишних коннектов, да и на соседних сайтах лежащих на этом FTP ничего не случилось, скорее всего атаковали именно этот сайт, а значит дырка или в правах доступа на папки engine/cache и engine/cache/system, но они как положено по инструкции имеют доступ 777 или есть дырка в движке, возможно. Конечно, я не исключаю косяк со стороны хостера, но пока постепенно ищу проблемные места. Хотелось бы получить комментарий от Celsoft или другого специалиста по защите, куда мне смотреть в плане защиты? Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system? Цитата Ссылка на сообщение Поделиться на других сайтах
GrayZOR 1 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 А какая версия движка? Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор А какая версия движка? Последняя с патчем на защиту от 19 ноября. Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 623 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ. Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ. Как-то я не замечал, хотя сжатие включено, но в любом случае в этом файле, который единственный лежал у меня находился троян и пропали htaccess файлы, не просто так это все Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Volfgang, чувак, это не троян, а шелл проверь /engine/class/xfields.class.php есть такой файл? что дле антивирус говорит? проверь все новые файлыCaptain, гзипсжатие не создает пхп файлов это замаскированный шелл Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор Volfgang, чувак, это не троян, а шелл проверь /engine/class/xfields.class.php есть такой файл? что дле антивирус говорит? проверь все новые файлы Captain, гзипсжатие не создает пхп файлов это замаскированный шелл Я об этом и писал, просто наверное выразился не тем языком. Сам вирус определяется как BackDoor.php.PhpShell, а наличие трояна я предполагаю на компе своем, который позволил бы Shell залить, но компьютер чист. Сканирую сайт после удаления этого файла, пока антивирус ничего странного не видит, htaccess на месте. /engine/classes/xfields.class.php такого файла нет. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 они могли в легкую переписать файл антивируса, чтобы он не проверял ничего)) залей оригинальные файлы движка и потом проверь еще раз, у меня аналогичная ситуация сижу разбираюсь 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор они могли в легкую переписать файл антивируса, чтобы он не проверял ничего)) залей оригинальные файлы движка и потом проверь еще раз, у меня аналогичная ситуация сижу разбираюсь Да не похоже, Антивирус видит левые файлы, у меня там лежат пару модулей простеньких и пару файлов от старой версии движка, которые уже не используется, он их выводит как подозрительные, но я то знаю что там в них, а новый был только 1, который удалил. Файлы антивируса сейчас глянул, никто не редактировал их. Думаю PHP файл закинули из вне каким-то хитрым способом, без участия FTP, но пока не могу понять как.... Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 (изменено) ну вот тогда моя балалайка двиг 9.7 все патчи стоят, модулей всего два, они простые и проверенные годами. изменения которые были сделаны хацкером:залит аналогичный php файл minify,и видимо скопирован потом с новым именем в файл /engine/classes/xfields.class.phpбыли изменены права нескольких хтаксессов с ридонли на writeableбыла слита база (дамп базы валялся в /classes/были изменены несколько файлов шаблонов, в которые добавили жаваскрипт , который редиректит пользователей с мобильным юзерагентом на какую даунлоад партнеркутот же жаваскрипт был прикреплен к файлу /engine/classes/js/dle_js.js проверил лог только за этот день пока что человек напрямую зашел в шелл с ип адреса 95.79.185.246, видимо делал какие то манипуляции, затем с того же адреса, но уже с другого юзерагента (андроид) или с своего телефона загружал сайт и проверял как работает жспо фтп никто не заходил,в логах админ панель только яшелл работает на специфичном порте, открыт только на мой ипвебсервер nginx для статики + апач через прокси для php файлов, запускается под тем же юзером что и аккаунт.установлена cpanel WHM 11.34.1 (build 5), в начале декабря разработчики обнародовали какие то серьезные уязвимости и выпустили апдейты, я поставил незамедлительно. что было сделано мной после:удалил все файло, кроме uploads;проверил аплоадс на наличие пхп файлов, проверил все htaccess-ы во всех папках.перезаписал оригинальные файлы, перезаписал шаблонызаменил пароли на админа ДЛЕ, заменил пароли на пользователя и root сервера, замени пароли пользователя майскл и root майскл, в любом случае для профилактики не повредитобновил nginx до последней версии(было 0.85), обновил майскл до 5.5. (была версия 5.0), хочу обновить еще пхп (стоит 5.2 какой то)из моих оплошностей - все функции пхп разрешены, спасибо Сереге (Zeos), он подсказал какие нужно закрыть, пхп шелл уже не работает. и вообще за все ему СПАСИБО. Человечище!свой комп тоже проверил двумя антивирусами, тихо-спокойно теперь осталось разобраться как залили Изменено 26 декабря 2012 пользователем prikindel 2 Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор Как смотрел активность человека через Shell? Отслеживал его действия... Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 623 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Captain, гзипсжатие не создает пхп файлов это замаскированный шелл Ага, с расширением .php ошибся. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Как смотрел активность человека через Shell? Отслеживал его действия... я имел в виду пхпшелл, он в логах апача был через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели))) Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор Как смотрел активность человека через Shell? Отслеживал его действия... я имел в виду пхпшелл, он в логах апача был через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели))) На самом деле сейчас очень волнует вопрос, как вообще этот PHP файл попал туда Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка... 2 Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp а sftp опять таки только с моего ипа работает Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 (изменено) Автор в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp а sftp опять таки только с моего ипа работает Я фтп не пользовался с 19 ноября, когда заплатку ставил, НО в логах тоже только я. Значит залили как-то через движок, у меня заливка на сайт только картинок разрешена... Посмотрел в папке /engine/classes/js/, половина файлов с 19 ноября, а файлов 5 обновлены 2го декабря в 0.00 ровно и файлы размером больше, чем в дистрибутиве DLE, я так понимаю эти файлы записывают в себя что-то со временем? Вряд ли злоумышленник мог изменить сразу 5 файлов в 0.00 2го декабря Антивирус на компе не видит в них подозрительного кода. Изменено 26 декабря 2012 пользователем Volfgang Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок)а лучше вообще не заморачиваться поисками того что изменили, проще удалить и перезаписать чистыми файлами. Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 26 декабря 2012 Рассказать Опубликовано: 26 декабря 2012 Автор так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок) а лучше вообще не заморачиваться поисками того что изменили, проще удалить и перезаписать чистыми файлами. Разобрался. Пока все чисто. Скачал полный бэкап сайта на комп, антивирус не нашел вредоносных кодов. Буду следить, что дальше будет. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 27 декабря 2012 Рассказать Опубликовано: 27 декабря 2012 Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system? Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись. Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка... Вариантов на самом деле не два, а намного больше: 1. Сторонние модули 2. Соседние сайты 3. Уязвимости в серверном ПО, например неустановленные патчи безопасности на phpMyAdmin. Вам нужно искать шел также в папках сервера вне DLE, это соседние сайты и другие различные папки. С большой долей вероятности где то у вас шел есть на сервере.были изменены права нескольких хтаксессов с ридонли на writeable Используете режим FastCGI для PHP? Самый небезопасный режим при котором можно менять права на файлы через PHP скрипты на модифицировать любые файлы на сервере независимо от установленных прав доступа. Они попросту не действуют при данном режиме, т.к. владелец файлов всегда один. И PHP работает от имени этого владельца. Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 27 декабря 2012 Рассказать Опубликовано: 27 декабря 2012 Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system? Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись. Да бросьте, файлы были изменены после появления шелла, а не до. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 27 декабря 2012 Рассказать Опубликовано: 27 декабря 2012 100% файлы были изменены после. до появления шелла, все рекомендуемые права на файлы были установлены верно Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 27 декабря 2012 Рассказать Опубликовано: 27 декабря 2012 Да бросьте, файлы были изменены после появления шелла, а не до. Безусловно после, я нигде не писал что до. Вы внимательно читайте вопрос на который я отвечал, я отвечал что могло позволить шеллу удалить данные файлы. Только изменить их через скрипты можно только при некорректных правах или настройках сервера, в противном случае их невозможно было бы изменить через шелл. И шел бы не мог удалять удалять файлы или менять их права доступа. Для этого и нужны права доступа, если вы установили их только для чтения, то только чтение и возможно было. А у вас чтение поменяли на запись, потом их можно либо удалять, либо модифицировать. Абсолютно очевидно что шел появился изначально не в папке engine/cache/system/ потому как если бы он попал туда, то не смог бы запуститься, он был загружен в другую папку на сервере, потом через него были нейтрализованы файлы .htaccess в папке engine/cache/ и шел был перемещен для маскировки в эту папку. Цитата Ссылка на сообщение Поделиться на других сайтах
GrayZOR 1 Опубликовано: 27 декабря 2012 Рассказать Опубликовано: 27 декабря 2012 Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system? Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись. Да бросьте, файлы были изменены после появления шелла, а не до. Может ещё и раскажеш как они были изменены? Цитата Ссылка на сообщение Поделиться на других сайтах
svksergey 0 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 Меня тоже сегодня взломали, стоит DLE 9.6, последний сайт криптографический тоже стоит. Все аналогично как у товарища Volfgang, файлы minify имеются, последнее что я делал, это согласился поставить рекламу на сайт, + поставил на неизвестный мне php файл чмод 777 (по просьбе рекламодателя. Единственное что заметил, это что в config.php добавили какой то адрес партнерки Сижу вот, думаю, откатывать сайт по новой или ждать еще одного взлома.. Думал я один такой, но хорошо что заглянул сюда. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 Ребята в первую очередь смотрите phpMyAdmin если у вас старая версия, обновляйте и закрывайте путь к нему чтобы никто кроме вас не знал его. Или удаляйте его. Я уже посмотрел несколько сайтов, у всех причина взлома наличие уязвимого phpMyAdmin на него уже выпущено огромное количество критических патчей, но почему то на него никто из администраторов сайта не обращает внимание, а именно его уязвимости позволяют именно заливать шелл а потом его переносят в ваши папки на сервере. Также не используйте PHP как CGI, FastCGI, SuPHP и т.д. Так эти режимы позволяют игнорировать ваши права установленные на файлы, именно поэтому потом у вас через шеллы удаляют файлы .htaccess а потом маскируют шеллы. Устанавливайте PHP как модуль Апача. Для Апача также лучше поставить модуль ITK Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.