Дырка у хостера или в Движке?

[Volfgang 4]

Сегодня как обычно админил свои сайты утром, все было в порядке. В 16 часов зашел в админку одного из проектов и обнаружил, что файлы .htaccess в engine/cache и engine/cache/system отсутствуют, благо админка сообщила об этом. Сразу просканировал сайт встроенным в DLE антивирусом и обнаружил в папке engine/cache/system файл

Как видно файл добавили в 15.11, в 16 я удачно его стер, возможно он не успел сделать ничего плохого. Решил закинуть файл на компьютер, проверить его код, но антивирус сразу завопил бешено, стер его тутже, нашел там BackDoor очень опасный. Собственно я проверил свой компьютер установленным KIS с последними обновлениями, лицензия, следом проверил утилитами других антивирусных систем, например Dr. Web Cure it! и прочими, никаких троянов или вирусов способных что-то закинуть FTP не нашел, да и сайты я не посещаю почти никакие, только популярные вроде ЛостФильм, на которых вирусов не бывает, защита постоянно включена всевозможная. В логах доступа по FTP я не увидел лишних коннектов, да и на соседних сайтах лежащих на этом FTP ничего не случилось, скорее всего атаковали именно этот сайт, а значит дырка или в правах доступа на папки engine/cache и engine/cache/system, но они как положено по инструкции имеют доступ 777 или есть дырка в движке, возможно. Конечно, я не исключаю косяк со стороны хостера, но пока постепенно ищу проблемные места. Хотелось бы получить комментарий от Celsoft или другого специалиста по защите, куда мне смотреть в плане защиты? Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

[GrayZOR 1]

А какая версия движка?

[Volfgang 4]

А какая версия движка?

Последняя с патчем на защиту от 19 ноября.

[Captain 612]

Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ.

[Volfgang 4]

Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ.

Как-то я не замечал, хотя сжатие включено, но в любом случае в этом файле, который единственный лежал у меня находился троян и пропали htaccess файлы, не просто так это все

[prikindel 255]

Volfgang,

чувак, это не троян, а шелл

проверь /engine/class/xfields.class.php

есть такой файл?

что дле антивирус говорит? проверь все новые файлы

Captain,

гзипсжатие не создает пхп файлов

это замаскированный шелл

[Volfgang 4]

Volfgang,

чувак, это не троян, а шелл

проверь /engine/class/xfields.class.php

есть такой файл?

что дле антивирус говорит? проверь все новые файлы

Captain,

гзипсжатие не создает пхп файлов

это замаскированный шелл

Я об этом и писал, просто наверное выразился не тем языком. Сам вирус определяется как BackDoor.php.PhpShell, а наличие трояна я предполагаю на компе своем, который позволил бы Shell залить, но компьютер чист.

Сканирую сайт после удаления этого файла, пока антивирус ничего странного не видит, htaccess на месте. /engine/classes/xfields.class.php такого файла нет.

[prikindel 255]

они могли в легкую переписать файл антивируса, чтобы он не проверял ничего))

залей оригинальные файлы движка

и потом проверь еще раз,

у меня аналогичная ситуация

сижу разбираюсь

[Volfgang 4]

они могли в легкую переписать файл антивируса, чтобы он не проверял ничего))

залей оригинальные файлы движка

и потом проверь еще раз,

у меня аналогичная ситуация

сижу разбираюсь

Да не похоже, Антивирус видит левые файлы, у меня там лежат пару модулей простеньких и пару файлов от старой версии движка, которые уже не используется, он их выводит как подозрительные, но я то знаю что там в них, а новый был только 1, который удалил. Файлы антивируса сейчас глянул, никто не редактировал их. Думаю PHP файл закинули из вне каким-то хитрым способом, без участия FTP, но пока не могу понять как....

[prikindel 255]

ну вот тогда моя балалайка

двиг 9.7 все патчи стоят, модулей всего два, они простые и проверенные годами.

изменения которые были сделаны хацкером:

• залит аналогичный php файл minify,
  
• и видимо скопирован потом с новым именем в файл /engine/classes/xfields.class.php
  
• были изменены права нескольких хтаксессов с ридонли на writeable
  
• была слита база (дамп базы валялся в /classes/
  
• были изменены несколько файлов шаблонов, в которые добавили жаваскрипт , который редиректит пользователей с мобильным юзерагентом на какую даунлоад партнерку
  
• тот же жаваскрипт был прикреплен к файлу /engine/classes/js/dle_js.js
  

проверил лог только за этот день пока что

человек напрямую зашел в шелл с ип адреса 95.79.185.246, видимо делал какие то манипуляции,

затем с того же адреса, но уже с другого юзерагента (андроид) или с своего телефона загружал сайт и проверял как работает жс

• по фтп никто не заходил,в логах админ панель только я
  
• шелл работает на специфичном порте, открыт только на мой ип
  
• вебсервер nginx для статики + апач через прокси для php файлов, запускается под тем же юзером что и аккаунт.
  
• установлена cpanel WHM 11.34.1 (build 5), в начале декабря разработчики обнародовали какие то серьезные уязвимости и выпустили апдейты, я поставил незамедлительно.
  

что было сделано мной после:

• удалил все файло, кроме uploads;
  
• проверил аплоадс на наличие пхп файлов, проверил все htaccess-ы во всех папках.
  
• перезаписал оригинальные файлы, перезаписал шаблоны
  
• заменил пароли на админа ДЛЕ, заменил пароли на пользователя и root сервера, замени пароли пользователя майскл и root майскл, в любом случае для профилактики не повредит
  
• обновил nginx до последней версии(было 0.85), обновил майскл до 5.5. (была версия 5.0), хочу обновить еще пхп (стоит 5.2 какой то)
  
• из моих оплошностей - все функции пхп разрешены, спасибо Сереге (Zeos), он подсказал какие нужно закрыть, пхп шелл уже не работает. и вообще за все ему СПАСИБО. Человечище!
  
• свой комп тоже проверил двумя антивирусами, тихо-спокойно
  

теперь осталось разобраться как залили

Изменено 26 декабря 2012 пользователем prikindel

[Volfgang 4]

Как смотрел активность человека через Shell? Отслеживал его действия...

[Captain 612]

Captain,

гзипсжатие не создает пхп файлов

это замаскированный шелл

Ага, с расширением .php ошибся.

[prikindel 255]

Как смотрел активность человека через Shell? Отслеживал его действия...

я имел в виду пхпшелл, он в логах апача был

через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели)))

[Volfgang 4]

Как смотрел активность человека через Shell? Отслеживал его действия...

я имел в виду пхпшелл, он в логах апача был

через системный шелл зайти можно только с моего айпи, если конечно нет никакой проблемы с этой настройкой в цпанели)))

На самом деле сейчас очень волнует вопрос, как вообще этот PHP файл попал туда Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка...

[prikindel 255]

в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp

а sftp опять таки только с моего ипа работает

[Volfgang 4]

в фтп логах у меня пусто с июля, ибо фтп не пользуюсь. только sftp

а sftp опять таки только с моего ипа работает

Я фтп не пользовался с 19 ноября, когда заплатку ставил, НО в логах тоже только я. Значит залили как-то через движок, у меня заливка на сайт только картинок разрешена...

Посмотрел в папке /engine/classes/js/, половина файлов с 19 ноября, а файлов 5 обновлены 2го декабря в 0.00 ровно и файлы размером больше, чем в дистрибутиве DLE, я так понимаю эти файлы записывают в себя что-то со временем? Вряд ли злоумышленник мог изменить сразу 5 файлов в 0.00 2го декабря Антивирус на компе не видит в них подозрительного кода.

Изменено 26 декабря 2012 пользователем Volfgang

[prikindel 255]

так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок)

а лучше вообще не заморачиваться поисками того что изменили,

проще удалить и перезаписать чистыми файлами.

[Volfgang 4]

так загляни "ручками" в файлы и посмотри что там, если ничего постороннего, то ок)

а лучше вообще не заморачиваться поисками того что изменили,

проще удалить и перезаписать чистыми файлами.

Разобрался. Пока все чисто. Скачал полный бэкап сайта на комп, антивирус не нашел вредоносных кодов. Буду следить, что дальше будет.

[celsoft 5 985]

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Ведь залить его по сути можно или по ФТП или через дырку в движке, на компе чистота, а захожу я только с него, значит где-то есть лазеечка...

Вариантов на самом деле не два, а намного больше:

1. Сторонние модули

2. Соседние сайты

3. Уязвимости в серверном ПО, например неустановленные патчи безопасности на phpMyAdmin.

Вам нужно искать шел также в папках сервера вне DLE, это соседние сайты и другие различные папки. С большой долей вероятности где то у вас шел есть на сервере.

были изменены права нескольких хтаксессов с ридонли на writeable

Используете режим FastCGI для PHP? Самый небезопасный режим при котором можно менять права на файлы через PHP скрипты на модифицировать любые файлы на сервере независимо от установленных прав доступа. Они попросту не действуют при данном режиме, т.к. владелец файлов всегда один. И PHP работает от имени этого владельца.

[zMey 2]

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Да бросьте, файлы были изменены после появления шелла, а не до.

[prikindel 255]

100% файлы были изменены после.

до появления шелла, все рекомендуемые права на файлы были установлены верно

[celsoft 5 985]

Да бросьте, файлы были изменены после появления шелла, а не до.

Безусловно после, я нигде не писал что до. Вы внимательно читайте вопрос на который я отвечал, я отвечал что могло позволить шеллу удалить данные файлы. Только изменить их через скрипты можно только при некорректных правах или настройках сервера, в противном случае их невозможно было бы изменить через шелл. И шел бы не мог удалять удалять файлы или менять их права доступа. Для этого и нужны права доступа, если вы установили их только для чтения, то только чтение и возможно было. А у вас чтение поменяли на запись, потом их можно либо удалять, либо модифицировать.

Абсолютно очевидно что шел появился изначально не в папке engine/cache/system/ потому как если бы он попал туда, то не смог бы запуститься, он был загружен в другую папку на сервере, потом через него были нейтрализованы файлы .htaccess в папке engine/cache/ и шел был перемещен для маскировки в эту папку.

[GrayZOR 1]

Что могло дать возможность злоумышленникам удалить htaccess файлы и положить php файл с вирусом в папку engine/cache/system?

Некорректно выставленные права доступа на файл. На файлы .htaccess не должно было быть прав на запись.

Да бросьте, файлы были изменены после появления шелла, а не до.

Может ещё и раскажеш как они были изменены?

[svksergey 0]

Меня тоже сегодня взломали, стоит DLE 9.6, последний сайт криптографический тоже стоит.

Все аналогично как у товарища Volfgang, файлы minify имеются, последнее что я делал, это согласился поставить рекламу на сайт, + поставил на неизвестный мне php файл чмод 777 (по просьбе рекламодателя.

Единственное что заметил, это что в config.php добавили какой то адрес партнерки

Сижу вот, думаю, откатывать сайт по новой или ждать еще одного взлома..

Думал я один такой, но хорошо что заглянул сюда.

[celsoft 5 985]

Ребята в первую очередь смотрите phpMyAdmin если у вас старая версия, обновляйте и закрывайте путь к нему чтобы никто кроме вас не знал его. Или удаляйте его. Я уже посмотрел несколько сайтов, у всех причина взлома наличие уязвимого phpMyAdmin на него уже выпущено огромное количество критических патчей, но почему то на него никто из администраторов сайта не обращает внимание, а именно его уязвимости позволяют именно заливать шелл а потом его переносят в ваши папки на сервере.

Также не используйте PHP как CGI, FastCGI, SuPHP и т.д. Так эти режимы позволяют игнорировать ваши права установленные на файлы, именно поэтому потом у вас через шеллы удаляют файлы .htaccess а потом маскируют шеллы. Устанавливайте PHP как модуль Апача. Для Апача также лучше поставить модуль ITK