Угоняют сайт - скрыли адрес для входа - /user

Аватар пользователя I_CaR I_CaR 3 мая 2018 в 15:35

Здравствуйте.
Угоняют сайт - скрыли адрес для входа - /user
Доступ есть ко всему, кроме, как к админке.
(доступ к FTP и MySQL), но вот захотел выяснить, кто это делает по логам в CMS.
Так как вчера запретили мне сайт на просмотр, по конкретному IP (с других адресов сайт просматривается).
Но как получить доступ к админке?
С Drupal определённый опыт есть, с MySQL тоже.
Если где-то, что-то подправить в таблицах БД - без проблем.
По логам в хостинге, вижу, что на хостинг злоумышленник не заходит. Но на FTP вечно "рождаются" левые файлы.
Предполагаю пока, что злоумышленник действует через админку, для чего-то создал сайт зеркало (предполагаю, для синхронизации).
Но вот как войти в админку?
P.S. Кстати, как-то помню даже пароль сбрасывал в админку через MySQL.
Но всё равно ведь нужен доступ к сайту.

Заранее благодарен за внимание к моей теме.

Комментарии

Аватар пользователя Olegars Olegars 3 мая 2018 в 15:55

таблица users пользователь под номером 1 это админ, что бы резко отшить хацкера меняйте имя админа, оно прямым текстом написано, потом неспешно разбирайтесь с паролем, он зашифрован.
Здесь существуют разночтения, по идее, создаете нового пользователя (если это возможно на этом сайте. Даже если он не будет одобрен не страшно, пароль в базе все равно будет), затем зашифрованый пароль, с этой новой уч. записи, копируете вместо пароля админа
Если это не возможно, пробуете создать пользователя на другом сайте, и оттуда берете зашифрованый пароль, может сработать может нет
Ну и еще нужно просмотреть остальных пользователей, что бы еще одного админа не было среди них, если есть, удалить (или имя поменять)

Аватар пользователя I_CaR I_CaR 3 мая 2018 в 15:59

И ещё. Файлы проверить на вирусные записи можно (скачав).
Но вот, как проверить БД на наличие в ней вирусных записей, таких как исполняемый php-код и т.п. записей в любых укромных уголках БД?

Аватар пользователя Phantom63rus Phantom63rus 3 мая 2018 в 16:54

А что за сайт такой который угоняют?

Можно пример левых файлов на фтп?

И посмотреть бы на сайт зеркало.

P.S. Описание как будто из сценария блокбастера.

Аватар пользователя I_CaR I_CaR 3 мая 2018 в 16:56

to: Olegars Да, действительно кроме admin'a был и один левый юзер - удалил всех, кроме манагера и адм, адм сменил пасс. Просто прописал нули.
Но дело в том, что сделать пароль под шифрование я ещё и смогу, но как дать доступ к админке?

Аватар пользователя Olegars Olegars 3 мая 2018 в 17:55

Создаете юзера
user addd
pass 123456
пароль 123456 зашифруется, вот ту шифрованую строку переносите в запись админа
после этого пароль админа будет 123456
строка будет типа такой
$S$D.GENBTY2IFdrgMsVfszXDoaEZsufepZmTfPZMf6/rYJO1sWlcKE

Аватар пользователя I_CaR I_CaR 4 мая 2018 в 6:56

Про пароль админа, я понимаю. Делал уже такие операции ранее, но вот как и куда его теперь ввести (я не про БД, а про сайт, дабы войти в админку сайта)?
На сайте, злоумышленник скрыл форму входа /user, вычитал про /?q=user, тоже не помогло.

Аватар пользователя Semantics Semantics 4 мая 2018 в 8:10
1

Кидаете в корень, запускаете из браузера, будете залогинены и редиректнуты в админку

<?php
define('DRUPAL_ROOT', getcwd());

require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);

global $user;
$user = user_load(1);
drupal_session_regenerate();
drupal_goto('admin');

Думаю, что скорее всего поможет оказаться в админке, но принципиально задач зачем туда надо - не знаю, вы оттуда не вылечите сайт.
Надо смотреть какой access callback на user, это в таблице menu_router, может он подменён на вредоносный код и поэтому неверно всё отрабатывает

Аватар пользователя I_CaR I_CaR 4 мая 2018 в 9:31

Он реально сидит и что-то делает, так как каждое моё действие встречает противодействие.
Теперь он заблокировал сайт по контенту для всех адресов.
"У вас нет права для просмотра"

Аватар пользователя I_CaR I_CaR 4 мая 2018 в 9:23

Теперь любой тык на сайте редиректит на главную страницу.
Я так понимаю, злоумышленник работает в реальном времени.
По таким случаям обращался ли кто-нибудь и владельцев в полицию?
Или это вообще затея не для нашего государства?

Аватар пользователя ivnish ivnish 4 мая 2018 в 10:10
1

Делайте копию сайта через хостинг, и лечите его на локальной машине. Пароли на хостинг тоже не помешает сменить. Причем все. Часто пароль на вход в ЛК один, а на FTP/SSH другой. Про пароль к БД тоже не забудьте. Иметь доступ к БД = завладеть сайтом

Аватар пользователя Phantom63rus Phantom63rus 4 мая 2018 в 15:34

Затея для нашего государства, но... профильные спецы есть в ФАПСИ/ФСБ/СК и некоторых других структурах, вы же попадёте на ваше местное отделение, где они будут месяц оформлять бумаги, потом отправят это в управление К, там посмотрят на дату, поржут, привычно и технично сбросят это обратно в вашу ментовку... если у вас нет нужных связей, то вы просто потратите время.

Про угон в реалтайме звучит как-то ну очень уж фантастично. Зайдите на сервер, отключите пользователя, замените все файлы (ядро, модули, библиотеки) на чистые, прошерстите папки с картинками на предмет гадостей, слейте базу, проверьте на предмет гадостей, залейте всё обратно, смените все пароли, включите и забудьте.

Аватар пользователя I_CaR I_CaR 5 мая 2018 в 15:17

А как объяснить, когда я поборол требование биткойнов, последовал запрет по моему IP (проверял позже через TOR и с другого провайдера - доступ был).
Позже, на второй день уже просто был закрыт доступ со всех IP, даже через TOP, вероятно всем, кто неавторизован.
Авторизация ведь сохраняется ещё и в сессиях.
В общем пытаюсь, небезуспешно лечить с помощью АйБолита и локально, так же пробую на стороннем хостинге, что-бы ни кто не мешал. Пока что всё более менее сайт идёт на поправку.
Осталось простое. Сформировать пароль в CMS.

Аватар пользователя gun_dose gun_dose 4 мая 2018 в 10:20

Слейте сайт к себе, почините локально и залейте на хостинг. Для логина используйте drush.

I_CaR wrote:

По таким случаям обращался ли кто-нибудь и владельцев в полицию?

Знаю точно, что в Беларуси были прецеденты, что привлекали "угонщиков". Но там угоняли уволившиеся сотрудники, соответственно, вычислить было довольно легко. Но в данном случае вычислить может быть не так просто. И даже если получится вычислить, то довольно высока вероятность того, что злоумышленник находится где-нибудь в Южном Судане или Никарагуа.

Аватар пользователя I_CaR I_CaR 5 мая 2018 в 15:30

Вот его-то я и подозреваю (с Украины). Был такой, писал модуль в 2016-ом.
Но нет, ценник мы оговорили тогда вместе. Ценник ему понравился. Ни когда не обижал профессионалов.
Сработал он нормально, профессионально даже. Думаю всё-таки именно SA-CORE-2018-002 / CVE-2018-7600 тут виной.
Так как записи этой заразы я нашёл в WatchDogs
Или же соседи, или сам хозяин ЛК на хостинге (в одном ЛК куча сайтов), а данный предприниматель лишь воспользовался его услугами.
Что гадать, когда надо просто из CMS смотреть WatchDog.
Кстати, не подскажите как его смотреть?

Аватар пользователя I_CaR I_CaR 5 мая 2018 в 16:00

в тфблице user в поле init были прописаны какие-то эл. адреса (с нрмальным именем, типа ivanov@mail.ru).
Это что за почта? Т.е. какой функционал несёт это поле, допустим при смене пароля?

Аватар пользователя Semantics Semantics 5 мая 2018 в 16:09

В этом поле хранится почта с которой регистрировался пользователь первоначально.
Нигде более не используется, чисто для истории

Аватар пользователя xakd xakd 7 мая 2018 в 11:31

Решили проблему? Как по мне элементарно то решается, уж доступ то к юзеру1 получить имея в наличии FTP и MySQL вообще раз плюнуть.

Аватар пользователя gun_dose gun_dose 7 мая 2018 в 21:03
1

Только что лечил подобную болезнь. Все ссылки вели на главную, на страницу /user не зайти. Гит показал, что изменен bootstrap.inc и добавлен request-sanitizer. Думаю, ну и дела, на сайте 7.54, а эти штуки появились только в 7.58. Сделал git checkout includes/bootstrap.inc и заработало. Потом уже удалил всё левое и обновился

Аватар пользователя Andruxa Andruxa 7 мая 2018 в 22:28

Было такое же. Склоняюсь к варианту кривого обновления - bootstrap.inc и request-sanitizer.inc от 7.58, без каких-либо изменений.

Аватар пользователя gun_dose gun_dose 8 мая 2018 в 6:52

Вопрос в том, почему внутренние ссылки не работают, а при сбросе файлов на версию ниже - работают.

Аватар пользователя gun_dose gun_dose 8 мая 2018 в 21:05

Ядро было 7.54. Сайт трекается гитом. Сбросил bootstrap.inc и заработало. После обновления до 7.59 тоже всё пучком.

Аватар пользователя I_CaR I_CaR 9 мая 2018 в 20:21

Проблему решил, удалил файлы sh в модулях, не знаю, за что они отвечали.
Очень помог Aibolit (для платформы Windows).
Лечил файлы на локальном.
Обычные Антифирусники (Касперский) заразу не чуют.

Аватар пользователя bumble bumble 9 мая 2018 в 20:28

Этот "Айболит" - абсолютно бесполезен.
Я недавно смотрел подобный отчет, там буквально ни одной аномалии не было, просто пестро подсвеченные стандартные и не измененные (годами!) файлы. Видимо, в надежде что кто-то по рекламной ссылке перейдет...

Аватар пользователя Phantom63rus Phantom63rus 10 мая 2018 в 12:01

Он не абсолютно бесполезен, он просто не всё ловит и имеет ложноположительные срабатывания.

К сожалению не существует утилиты, которая бы отлавливала всё, поэтому иной раз чистка может вылиться в ручное просматривание всех пхп файлов...

Аватар пользователя I_CaR I_CaR 9 мая 2018 в 20:26

Всем спасибо за моральную поддержку!
В какой-то момент думал уже сдаться, но помог именно Айболит.

Аватар пользователя Phantom63rus Phantom63rus 10 мая 2018 в 12:35

С ключиком --mode=2, и в любом случае айболит не панацея, он ловит не всё, даже в параноидальном режиме.

Аватар пользователя Studio VIZA Studio VIZA 10 мая 2018 в 12:13

bumble wrote:

Этот "Айболит" - абсолютно бесполезен.

85% пользователей программы, сканят на сервере по дефолту самого Айболита, тот пишет всё норм. ))

Аватар пользователя bumble bumble 10 мая 2018 в 18:38

Phantom63rus wrote:

не существует утилиты, которая бы отлавливала всё

Любой вразумительный VCS.

Аватар пользователя Semantics Semantics 10 мая 2018 в 19:39
1

Это требует культуры разработки, у 99% разрабов она заканчивается после получения денег и переноса на хостинг заказчика

Аватар пользователя bumble bumble 10 мая 2018 в 19:42

Не у разрабов она заканчивается, а у тех кто ей (культуре) не следует.
Не думаю что разраб развернул, а потом плюнул бы на все это и начал по старинке.

Аватар пользователя Phantom63rus Phantom63rus 11 мая 2018 в 2:06

Тут надо отметить, что 99% заказчиков хотят максимально дёшево и более их ничего не интересует.

Аватар пользователя gun_dose gun_dose 10 мая 2018 в 23:29
1

Мне тут знающие люди сказали, что гитом пользуются только зажравшиеся мажоры, вроде меня. Так что этот вариант на этом форуме лучше не вспоминать.