3 мая 2018 в 15:35
Здравствуйте.
Угоняют сайт - скрыли адрес для входа - /user
Доступ есть ко всему, кроме, как к админке.
(доступ к FTP и MySQL), но вот захотел выяснить, кто это делает по логам в CMS.
Так как вчера запретили мне сайт на просмотр, по конкретному IP (с других адресов сайт просматривается).
Но как получить доступ к админке?
С Drupal определённый опыт есть, с MySQL тоже.
Если где-то, что-то подправить в таблицах БД - без проблем.
По логам в хостинге, вижу, что на хостинг злоумышленник не заходит. Но на FTP вечно "рождаются" левые файлы.
Предполагаю пока, что злоумышленник действует через админку, для чего-то создал сайт зеркало (предполагаю, для синхронизации).
Но вот как войти в админку?
P.S. Кстати, как-то помню даже пароль сбрасывал в админку через MySQL.
Но всё равно ведь нужен доступ к сайту.
Заранее благодарен за внимание к моей теме.
Комментарии
таблица users пользователь под номером 1 это админ, что бы резко отшить хацкера меняйте имя админа, оно прямым текстом написано, потом неспешно разбирайтесь с паролем, он зашифрован.
Здесь существуют разночтения, по идее, создаете нового пользователя (если это возможно на этом сайте. Даже если он не будет одобрен не страшно, пароль в базе все равно будет), затем зашифрованый пароль, с этой новой уч. записи, копируете вместо пароля админа
Если это не возможно, пробуете создать пользователя на другом сайте, и оттуда берете зашифрованый пароль, может сработать может нет
Ну и еще нужно просмотреть остальных пользователей, что бы еще одного админа не было среди них, если есть, удалить (или имя поменять)
И ещё. Файлы проверить на вирусные записи можно (скачав).
Но вот, как проверить БД на наличие в ней вирусных записей, таких как исполняемый php-код и т.п. записей в любых укромных уголках БД?
Гляньте эти материалы: 136437, 136662 и 136704.
А что за сайт такой который угоняют?
Можно пример левых файлов на фтп?
И посмотреть бы на сайт зеркало.
P.S. Описание как будто из сценария блокбастера.
Вот вирусные файлы:
https://cloud.mail.ru/public/JumE/PfQsnjurQ
и
https://cloud.mail.ru/public/4NWL/2pRoMp9xM
Сайт shinaroom.ru
Вот его скрин на момент угона - требовали биткойны.
to: Olegars Да, действительно кроме admin'a был и один левый юзер - удалил всех, кроме манагера и адм, адм сменил пасс. Просто прописал нули.
Но дело в том, что сделать пароль под шифрование я ещё и смогу, но как дать доступ к админке?
Создаете юзера
user addd
pass 123456
пароль 123456 зашифруется, вот ту шифрованую строку переносите в запись админа
после этого пароль админа будет 123456
строка будет типа такой
$S$D.GENBTY2IFdrgMsVfszXDoaEZsufepZmTfPZMf6/rYJO1sWlcKE
Про пароль админа, я понимаю. Делал уже такие операции ранее, но вот как и куда его теперь ввести (я не про БД, а про сайт, дабы войти в админку сайта)?
На сайте, злоумышленник скрыл форму входа
/user, вычитал про/?q=user, тоже не помогло.Кидаете в корень, запускаете из браузера, будете залогинены и редиректнуты в админку
define('DRUPAL_ROOT', getcwd());
require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
global $user;
$user = user_load(1);
drupal_session_regenerate();
drupal_goto('admin');
Думаю, что скорее всего поможет оказаться в админке, но принципиально задач зачем туда надо - не знаю, вы оттуда не вылечите сайт.
Надо смотреть какой access callback на user, это в таблице menu_router, может он подменён на вредоносный код и поэтому неверно всё отрабатывает
Он реально сидит и что-то делает, так как каждое моё действие встречает противодействие.
Теперь он заблокировал сайт по контенту для всех адресов.
"У вас нет права для просмотра"
Надо просто посмотреть, куда он её скрыл.
Очень на это похоже:
https://drupal.ru/node/136738
Теперь любой тык на сайте редиректит на главную страницу.
Я так понимаю, злоумышленник работает в реальном времени.
По таким случаям обращался ли кто-нибудь и владельцев в полицию?
Или это вообще затея не для нашего государства?
Делайте копию сайта через хостинг, и лечите его на локальной машине. Пароли на хостинг тоже не помешает сменить. Причем все. Часто пароль на вход в ЛК один, а на FTP/SSH другой. Про пароль к БД тоже не забудьте. Иметь доступ к БД = завладеть сайтом
Затея для нашего государства, но... профильные спецы есть в ФАПСИ/ФСБ/СК и некоторых других структурах, вы же попадёте на ваше местное отделение, где они будут месяц оформлять бумаги, потом отправят это в управление К, там посмотрят на дату, поржут, привычно и технично сбросят это обратно в вашу ментовку... если у вас нет нужных связей, то вы просто потратите время.
Про угон в реалтайме звучит как-то ну очень уж фантастично. Зайдите на сервер, отключите пользователя, замените все файлы (ядро, модули, библиотеки) на чистые, прошерстите папки с картинками на предмет гадостей, слейте базу, проверьте на предмет гадостей, залейте всё обратно, смените все пароли, включите и забудьте.
А как объяснить, когда я поборол требование биткойнов, последовал запрет по моему IP (проверял позже через TOR и с другого провайдера - доступ был).
Позже, на второй день уже просто был закрыт доступ со всех IP, даже через TOP, вероятно всем, кто неавторизован.
Авторизация ведь сохраняется ещё и в сессиях.
В общем пытаюсь, небезуспешно лечить с помощью АйБолита и локально, так же пробую на стороннем хостинге, что-бы ни кто не мешал. Пока что всё более менее сайт идёт на поправку.
Осталось простое. Сформировать пароль в CMS.
Слейте сайт к себе, почините локально и залейте на хостинг. Для логина используйте drush.
Знаю точно, что в Беларуси были прецеденты, что привлекали "угонщиков". Но там угоняли уволившиеся сотрудники, соответственно, вычислить было довольно легко. Но в данном случае вычислить может быть не так просто. И даже если получится вычислить, то довольно высока вероятность того, что злоумышленник находится где-нибудь в Южном Судане или Никарагуа.
Либо обиженный предыдущий разработчик, и такое бывает)
Вот его-то я и подозреваю (с Украины). Был такой, писал модуль в 2016-ом.
Но нет, ценник мы оговорили тогда вместе. Ценник ему понравился. Ни когда не обижал профессионалов.
Сработал он нормально, профессионально даже. Думаю всё-таки именно SA-CORE-2018-002 / CVE-2018-7600 тут виной.
Так как записи этой заразы я нашёл в WatchDogs
Или же соседи, или сам хозяин ЛК на хостинге (в одном ЛК куча сайтов), а данный предприниматель лишь воспользовался его услугами.
Что гадать, когда надо просто из CMS смотреть WatchDog.
Кстати, не подскажите как его смотреть?
в тфблице
userв полеinitбыли прописаны какие-то эл. адреса (с нрмальным именем, типа ivanov@mail.ru).Это что за почта? Т.е. какой функционал несёт это поле, допустим при смене пароля?
В этом поле хранится почта с которой регистрировался пользователь первоначально.
Нигде более не используется, чисто для истории
Решили проблему? Как по мне элементарно то решается, уж доступ то к юзеру1 получить имея в наличии FTP и MySQL вообще раз плюнуть.
Только что лечил подобную болезнь. Все ссылки вели на главную, на страницу /user не зайти. Гит показал, что изменен bootstrap.inc и добавлен request-sanitizer. Думаю, ну и дела, на сайте 7.54, а эти штуки появились только в 7.58. Сделал git checkout includes/bootstrap.inc и заработало. Потом уже удалил всё левое и обновился
Да, тоже встречал, но так и не понял, косячный патчинг или зловреды
Было такое же. Склоняюсь к варианту кривого обновления - bootstrap.inc и request-sanitizer.inc от 7.58, без каких-либо изменений.
Вопрос в том, почему внутренние ссылки не работают, а при сбросе файлов на версию ниже - работают.
Я ядро-то само какой версии?
Ядро было 7.54. Сайт трекается гитом. Сбросил bootstrap.inc и заработало. После обновления до 7.59 тоже всё пучком.
Проблему решил, удалил файлы sh в модулях, не знаю, за что они отвечали.
Очень помог Aibolit (для платформы Windows).
Лечил файлы на локальном.
Обычные Антифирусники (Касперский) заразу не чуют.
Сайт был заражён этой гадостью:
Ссылка на описание гадости
Отчёт о ресурсе от Aibolit:
Этот "Айболит" - абсолютно бесполезен.
Я недавно смотрел подобный отчет, там буквально ни одной аномалии не было, просто пестро подсвеченные стандартные и не измененные (годами!) файлы. Видимо, в надежде что кто-то по рекламной ссылке перейдет...
Он не абсолютно бесполезен, он просто не всё ловит и имеет ложноположительные срабатывания.
К сожалению не существует утилиты, которая бы отлавливала всё, поэтому иной раз чистка может вылиться в ручное просматривание всех пхп файлов...
Всем спасибо за моральную поддержку!
В какой-то момент думал уже сдаться, но помог именно Айболит.
С ключиком --mode=2, и в любом случае айболит не панацея, он ловит не всё, даже в параноидальном режиме.
85% пользователей программы, сканят на сервере по дефолту самого Айболита, тот пишет всё норм. ))
Любой вразумительный VCS.
Это требует культуры разработки, у 99% разрабов она заканчивается после получения денег и переноса на хостинг заказчика
Не у разрабов она заканчивается, а у тех кто ей (культуре) не следует.
Не думаю что разраб развернул, а потом плюнул бы на все это и начал по старинке.
Тут надо отметить, что 99% заказчиков хотят максимально дёшево и более их ничего не интересует.
Мне тут знающие люди сказали, что гитом пользуются только зажравшиеся мажоры, вроде меня. Так что этот вариант на этом форуме лучше не вспоминать.
Да ппц тот диалог был.
Есть папки куда загружаются файлы, есть темповики, есть бд.