25 августа 2007 в 12:24
Позавчера какая-то зараза модифицировала мой файл index.php на одном из хостингов!
Вот "хвост" файла (к сожалению в горячке забыл скопировать, вот и воссоздаю по памяти)
// Print any value (including an empty string) except NULL or undefined:
print theme('page', $return);
}
drupal_page_footer();<Script>
document.write(unescape("..........."));
</Script>
суть в том, что по идее долбанутого крякера яваскрипт должен вставлять iframe с порносайтом в конец файла. к счастью конец друпаловского индекса не закавычен последовательностью ?>. И поэтому дьявольская допись всего-то вызывала php ошибку. )))
Настораживает другое - как, черт возьми, им это удалось??? Неужто в друпале есть ТАКАЯ уязвимость?
Суппорт хостинга пояснил мне, что это - действие трояна, укравшего-де мой пароль ftp. Сомнительно - ftp уже давненько не пользуюсь - не та архитектура сети. Да - заливаю файлы по http через панель управления хостингом. Но тем непонятнее - если протокол фтп еще как-то стандартизирован и вирус теоретически может перехватить и модифицировать пакеты, то ведь веб-панель управления на каждом хостинге использует разные форматы представления данных - разные переменные POST запроса - и вряд ли есть вирус, нацеленный на них!
Короче убрал вредоносные строки, выставил права на индекс.рнр равными 444, сменил пароли, обновил антивирус, сайт заработал - можно идти пить чай...
Комментарии
Настораживает другое - как, черт возьми, им это удалось???
Security announcement пополняется постоянно.
Хостеры как всегда "белые" и "пушистые".
Но пароли длинные помогут количество неизвестных в задаче уменьшить.
Настораживает другое - как, черт возьми, им это удалось???
Очень просто -- "они" узнали пароль на ФТП.
--------------------
Щаз эта зараза по многим сайтам ходит.
Imho, cовершенно автоматически.
Алгоритм примерно такой:
1. Некто подхватывает троян.
2. Троян отсылает пароли с этого компа к ICQ, thebat, outlook, FTP (cuteftp, far…), webmoney и т.п. на определенный адрес.
3. «Там» стоит робот, который принимает пароль к ФТП и автоматически сканирует директории на ФТП-сайте и добавляет определенные строки (эти вот document.write ( unescape ( «%3Cscript)…
в файлы, где встречается, например, < / html>
4. Эти сайты начинают распространять данный троян (или то, что скажет хозяин этого ботнета)
5. На сайт заходит новый пользователь -- см. пункт 1.
Ещё в июне непосредственно столкнулся с таким. Было там вот что.
Загрузчик:
Trojan-Downloader.Win32.Small.epe
И два хвоста:
Backdoor.Win32.Agent.alm
Trojan-PSW.Win32.LdPinch.bex
Резюм такой — удаляйте троян у того, кто имеет пароль на ФТП. И меняйте пароли.
--------------------
Супорт, вероятно, прав. Не такие они и разные, эти "форматы представления данных".
В веб панель заходишь через браузер? (Кстати, какой?) Пароль - в менеджере паролей? Или ручками каждый раз вводишь? Если последнее, тогда вирус действительно врядли. Если же первое, то прочее - дело техники. Троянов чай не дураки пишут.
Кстати, самое интересное, а данные по модификации файла, с какого ip и т.д. у хостера запрашивал? Традиционно, пароль доступа в веб-панель управления сайтом совпадает с прочими сервисами, в том числе ftp. ftp - отсутствует в принципе или просто не юзается, типа?
Стенаний по поводу взлома сайтов много (сам через это проходил), но убедительно доказать, что это уязвимость скрипта так никому доказать и не удалось.
Уже было. Это не друпал взломали, а сервер 99%.
Да, было такое на valuehost пару лет назад - через FTP.
сейчас заметил, что мой сайт тоже пытались похакать (а мож и поимели...)
они переименовали .htaccess в _
друпал 4.7.2 с патчими безопасности до 4.7.4
сейчас ищу сообщения об уязвимостях на друпал орг
никто не в курсе, в последнее время ничего серьезного в нем не находили?
> друпал 4.7.2 с патчими безопасности до 4.7.4
На дворе уж 4.7.7.
> сейчас ищу сообщения об уязвимостях на друпал орг
> никто не в курсе, в последнее время ничего серьезного в нем не находили?
Находили.
А вообще-то, читайте http://drupal.org/security, можно подписаться на рассылку о безопасности.
Может автору убрать из заголовка слово Drupal? Он тут как раз не при чем ...
конечно друпал не при чем и провайдер не при чем, а если вы в виндовсе вводите какой-то пароль - то рано или поздно по нему что-то да взломают.
>>конечно друпал не при чем и провайдер не при чем, а если вы в виндовсе вводите какой-то пароль - то рано или поздно по нему что-то да взломают.
10 лет без вирусов, при том что антивирус устанавливаю только перед перестановкой системы, проверяюсь на всякий случай.
что я делаю неправильно?
можно тупой вопрос?
как использовать команду patch?
patch -p4
"patch -p4
patch -p4 </put/do/patcha/sa-2007-001-4.7.4.patchсори за флуд, пока догодался до отключения тегов(
вот так:
man patchесли и это сложно - идем сюда: http://www.freebsd.org/cgi/man.cgiхватит издеваться, я читал( только он что-то спрашивает, какой файл патчить....
еще на ДО подробно расписано Applying patches
просто команду эту надо вызывать находясь в директории что патчим, я так понимаю
у меня точно так же было, но друпал тут точно не причем, накануне украли пароли от ФТП и заменили все файлы index.
элементарно восстановила из дистрибутива и все ок.
Народ, если б хакнули Друпал - тут бы стоял вой вселенский да скрежет зубовный.
А что именно хакнули не суть важно. Но не Друпал, они б одинм сайтом не ограничились.
99% Drupal не причём. На сайте могла быть любая другая CMS, результат был бы таким же. Вот правда хорошо, что Drupal не добавляет закрывающий ?> для php, а в роботе ломавшем сайт такая ситуация не была предусмотрена
У меня на сервере юзеры тоже время от времени рапортуют о таких взломах - js-скрипты дописанные в конец индексных файлов. Роботы тупо выбирают index.* и пишут туда свой код. За последний год было три таких жалобы. Причем скрипты сайтов у всех разные: в двух случаях самописные, в одном случае вообще статический html. Имхо типичная кража ftp-паролей. Я собираюсь защитить сайты таким образом: корень ftp на хостинге выдавать в директорию юзера, а перенос залитых файлов в wwwroot делать отдельно, через вызов юзером скрипта в броузере (типа в контрольной панели хостинга). Тогда робот зашедший на ftp с большой вероятностью вообще не найдёт чего ему ломать (если только не зайдёт в тот момент, когда юзер залил новые файлы и не сказал ещё отправить их на сайт). Файлы залитые на ftp через время (напримре несколько часов) переносятся в отдельную архивную директорию, вернуть их на ftp можно только опять же через вебскрипт.
FTP-пароли передаются в незашифрованном виде по сети, выделить протокол ftp из общего потока сетевых данных - не является сложной задачей. Пароль может быть перехвачен снифером, живущим где-нибудь в вашей локальной сети (например вирус может быть не у вас, а на компе соседа, чей комп висит на том же хабе). Поэтому защита собственного компьютера не всегда может быть эффективной. Use ssh и авторизацию по запароленным ключам, don't use ftp.
а все-таки интересно - зачем в друпале не добавлен закрывающий тег?
насчет пользования ftp - то в крусадере например можно использовать не ftp а sftp - все тоже самое, только обмен пойдет через sshd по протоколу ssh.
блин, а я добавляю всегда закрывающий тег, ибо не по правилам.... теперь можно и одуматься....
Как могут взломать сайт?
1) троян ворует пароль и самостоятельно по FTP меняет файл index.(..) в корневой папке. Про это есть много тем на forum.searchengines.ru
2) у меня еще была ситуация, когда на одном сайте (не Drupal) я случайно заметил новый файл index.html с текстом "hacked by ..." . Случайно, потому что по умолчанию у меня там index.php. Хостер ответил, что поломали другой сайт на виртуальном хостинге, а у меня были неправильные права на корневую папку (на Линуксе было 0777, а надо 0710), поэтому и меня ломанули.
Как защититься от вирусов - у меня Касперский в фоновом режиме с обновляемыми базами, браузер Опера, еще к паролю на FTP добавляю 1-2 лишних символа на всякий случай, которые при подключении вручную удаляю. Так надежнее.
>> Как защититься от вирусов
у меня ни 1-го антивируса (ставлю и проверяюсь для профилактики перед сносом системы), Kerio Winroute Firewall на 2 компа с женой, в ИЕ открываю только знакомые сайты, которые не пашут нигде, кроме него, использую FF2, никогда не скачиваю того, в чем не разбираюсь
результат - 10 лет без единого вируса
"в ИЕ открываю только знакомые сайты"
Когда хоть один из этих сайтов ломанут будет полярная лиса.
ну за 10 лет, сломав несколько сайтов, не смогли сломать меня
что я делаю не так?
> что я делаю не так?
а вы попробуйте под виндовсом посидеть денек другой )
Уже лет 15 под ней (диск с беттой 95до сих пор на полке). Проблем особых не было...
Вот именно - файрвол должен быть прежде всего в голове
По поводу "что я делаю не так".
Проблем с вирусами у меня небыло с 89-го года (18 лет). Это не помешало в мае поиметь проблему со взломом сайтов. А за неделю до этого не заметить влом трояна (при том, что работал актуальный нод32 и Аутпост файрвол). Дык что к "открываем только знакомые сайты" можно добавить "вообще в сеть не выходим"
То, что на компе были трояны, вообще говоря, ни о чем не говорит. Может они, а может просто кто-то снифернул пароль по сети и руками вбил код. Либо знал куда, либо просто методом тыка. Если сеть по локалке, то крысу почти наверняка там надо искать. Ставится снифер, которых в сети до Ж, и вот все пароли как на ладони.
я имел в виду, что простым серфингом через ИЕ заниматься опасно, если и открывать сайты в нем, то только те, которые невозможно корректно отобразить в другом браузере, и которые Вам реально необходимы
хотя таких сайтов с каждым днем все меньше, даже msdn давно нормально отображается в FireFox
Попробуйте обновлять ie регулярно, и можно будет серфить где угодно.
У меня 4.7.2, патчами безопасности обновил до 4.7.4
а дальше патчи с ошибками ставятся... как думаете, мож обновить тупо до 5.1? ))))
без проблем обновляется, кстати, пробовал кто-небудь?
На прошлой неделе чистил сайт: Joomla + phpBB2.
Вычистил - буквально через час-два опять начинают появляться.
Закончилось все тогда, когда был изменен пароль доступа по ftp.
просто никогда не надо набирать свои пароли в какой-бы то ни было виндовс - в виндовс наверняка стоят кейлоггеры которые все что набираете - отсылают спамерам.
«Если не сохранять пароль в браузере, то его не украдут» - это миф.
Кейлоггеры читают пароли не хуже любого трояна и так-же отправляют их куда надо.
Вот, полюбуйтесь:
http://drupal.by/ (ссылка наверное будет актуальна еще сегодня)