LINUX.ORG.RU

Сайт заразили простым трояном; как уберечься на будущее?

 ,


0

1

Всем привет!

Пришло от хостера письмо, мол, «на вашем сайте найден вирус, бла-бла-бла». Посмотрел файлы: действительно, в конец index.html и некоторых других была дописана строка - JS скрипт. Почистил вручную.

Вопрос: почему такое могло произойти, и что нужно сделать, чтобы в будущем такого не было?

Дополнительный данные:
- Сайт у хостинг-провайдера hosting.ua.
- Человек, который создавал сайт, никаких настроек не делал; .htaccess состоит из одной строки «deny from all», но, похоже, это сделал провайдер как только обнаружил червя.
- Доступ только по ftp; ssh нет.

Думаю, должно быть что-то правильное в .htaccess, может убрать write из атрибутов файлов... Но не шарю я в этом. Подскажите, плиз.

UPD: Имя вируса: Trojan.Iframe-14

★★★★★

Последнее исправление: CYB3R (всего исправлений: 3)

Доступ только по ftp

Чаще всего такое происходит, когда пароли к этому самому доступу сохраняются в Windows, откуда их потом троянчик выводит. Выход: не пользоваться Windows для обслуживания сайта.

Wizard_ ★★★★★
()

Была идентичная ситуация. Полез копаться, гуглить. Выявил причину (у меня ещё и спам херачил, поэтому админы хостера залезли и прибили пару файлов).

В общем у меня оказалась древняя версия движка. Заразили через загрузку фальшивого изображения (его, кстати админы не нашли, но, думаю их задача была паразитный трафик прибить, а не разбираться). На всякий пожарный обновил движок. Снёс около тыщи фальшивых index.html.

Кстати фальшивое изображение было trollface :). Атака была нецелевая, так что пока всё тихо.

ziemin ★★
()

Если сайт статический, то ты протерял пароль к FTP. Поменяй на новый и не храни его в Windows.

Deleted
()
Ответ на: комментарий от ziemin

загрузку фальшивого изображения

То есть расширение как у картинки, а внутри какой-то PHP скрипт?

Кстати фальшивое изображение было trollface :)

Шутники :)

Kroz ★★★★★
() автор топика
Ответ на: комментарий от Wizard_

Сайт статический?

Там на самом деле штук 5 сайтов. Только один динамический, .php не заразило. Остальные - статика, .html - заразились.

Kroz ★★★★★
() автор топика
Ответ на: комментарий от Kroz

То есть расширение как у картинки, а внутри какой-то PHP скрипт?

Да. В начале изображение, а в конце прилеплен элементарный шелл, который декодирует uu64 строку аргумента «command=» и выполняет. Одна строчка.

ziemin ★★
()
Последнее исправление: ziemin (всего исправлений: 1)
Ответ на: комментарий от ziemin

В начале изображение, а в конце прилеплен элементарный шелл, который декодирует uu64 строку аргумента «command=» и выполняет.

Даже так!
Немного отдаляясь о темы: и как такое выявлять, если, как я понял, функции PHP распознают его как валидное изображение?

Kroz ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Поменяй на новый и не храни его в Windows.

Так, ты уже второй с такой рекомендацией.
Я тоже не питаю особой любви к Винде но... Неужели там все настолько так ...? Есть какой-то пруф-линк, или по каким словам гуглить?

Kroz ★★★★★
() автор топика
Ответ на: комментарий от Kroz

Кстати, если что это joomla древней версии была.

ziemin ★★
()

нефиг лезть на сайт с заражённого компьютера под вендой!

Для защиты качай антивирус(с этим на винфак отсюда)

Лучше вообще венду убей напрочь, ну или хотя-бы в диалбут загони.

Администрировать лучше как раз по ssh, и входить по ключу с пассфразой. Такое вирусы пока вроде не умеют. Желательно НЕ рутом, а через sudo.

Ну и учись, студент...

drBatty ★★
()
Ответ на: комментарий от ziemin

В движке был косяк - каталог с временными изображениями был исполняемым.

Напомни, как это убирается? Пока нагуглил такое:

.htaccess

<FilesMatch "(.+)$">
    ForceType text/plain
</FilesMatch>

Против cgi (бинарников) сработает?

Kroz ★★★★★
() автор топика
Последнее исправление: Kroz (всего исправлений: 1)
Ответ на: комментарий от Kroz

Сразу так не вспомню. А пароль не помню. Завтра освежу память. Навскидку вроде этого.

ziemin ★★
()
Ответ на: комментарий от drBatty

нефиг лезть на сайт с заражённого компьютера под вендой!

Никто и не лазил. У меня Линь, у товарища - Мак.

Для защиты качай антивирус(с этим на винфак отсюда)

Спасибо, К. О. У хостера имеется.

Остальное - оффтопик.

По теме что-то подскажешь?

Kroz ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Поменяй на новый и не храни его в Windows.

не поможет. Есть трояны, которые умеют перехватывать пароль с клавы. Они обычно так и делают, ибо браузер немножко криптует пароль, и так просто его из СУБД браузера не вытянуть.

(правда из всяких TotalCommander'ов наверное можно, если там plain text)

drBatty ★★
()
Ответ на: комментарий от Kroz

Немного отдаляясь о темы: и как такое выявлять, если, как я понял, функции PHP распознают его как валидное изображение?

а никак, ибо это и есть валидное изображение. Проблема в дырявом движке, который это «изображение» ВЫПОЛНЯЕТ.

drBatty ★★
()
Ответ на: комментарий от ziemin

В движке был косяк - каталог с временными изображениями был исполняемым.

косяк у тебя в голове. Марш учить матчасть, и постигать смысл +x на каталоге.

drBatty ★★
()
Ответ на: комментарий от Kroz

Никто и не лазил. У меня Линь, у товарища - Мак.

в принципе ещё есть вариант кражи пароля Java апплетом, не?

И чем вы админили-то? Что за программа?

В линуксе троянов не бывает, но только при одном условии: если ВСЕ программы из репозитория(репозиторий == хранилище ПО, заверенное ЭЦП разработчика дистрибутива. Это НЕ сайт какой-то). Конечно твой майнтейнер(главный разраб дистра) должен быть достаточно известен, что-бы тебе троянов не пихать.

А по теме: найди заразу НА СВОИХ машинах и уничтожь. Это первое. Второе — вычисти эту строчку. Ссылка на учебник о sed у меня в профиле.

drBatty ★★
()
Ответ на: комментарий от ziemin

может это ты набрался? как файл с «картинкой» назывался? Насколько я знаю, апач может «исполнять» только то, что ему велели, *.php,*.html к примеру. У тебя твой движок умудрился загрузить «картинку» trollface.php что-ли?

Давай поподробнее расскажешь, что там у тебя произошло...

drBatty ★★
()
Ответ на: комментарий от Kroz

Остальное - оффтопик.

кстати не оффтопик. Ftp — лажовый протокол. Трояны есть и в linux'е, и в маке. И парольчики они с лёгкостью и из файлов и и с клавы дёргают. Мало того, пароль к ftp несложно утащить и с любого соседнего компьютера(я правда не слышал про такие вирусы, но это не значит, что их нет. Достаточно того, что они _могут_ быть), он передаётся по Сети в ОТКРЫТОМ виде.

вход по паролю рута(на ssh) тоже опасен. Особенно если порт стандартный, который 22й. Подбирать его БУДУТ. Может и подберут. Лучше вообще запретить рута, сменить порт, и сделать вход для юзера исключительно по ключу.

Сделать это — работы на 10 минут (включая чтение манов), а от не таргентинговой атаки это спасает на 146%. И на 95% от целенаправленной атаки.

drBatty ★★
()
Ответ на: комментарий от drBatty

Я попал вот под эту автоматическую атаку. Как файл назывался завтра посмотрю (я всё оставил в безопасных каталогах). Кстати изображение в корне тоже было (огонь какой-то и всякие джихады).

ziemin ★★
()

Сейчас хостеров пачками ломают через дыры в панелях управления. Так что возможно и не ваш косяк.

Vit ★★★★★
()
Ответ на: комментарий от ziemin

Я попал вот под эту автоматическую атаку. Как файл назывался завтра посмотрю (я всё оставил в безопасных каталогах). Кстати изображение в корне тоже было (огонь какой-то и всякие джихады).

всё равно непонятно:

1. как «исполняемый» файл попал в каталог с картинками?

2. у тебя апач может «исполнять» файлы из каталога с картинками? И «исполняемые» апачем файлы могут менять файлы в других каталогах, где лежат всякие *.html?

3. как апачь смог отработать картинку как скрипт, и при этом ни разу не поперхнулся?

по отдельности 1,2,3 это обычное разгильдяйство, с кем не бывает? Но всё вместе как-то не тянет на Over20000 сайтов.

drBatty ★★
()
Ответ на: комментарий от Vit

Сейчас хостеров пачками ломают через дыры в панелях управления. Так что возможно и не ваш косяк.

ну вот видишь! Одминил-бы ТС по ssh, и панель ему-бы была не нужна. А он говорит — «оффтопик».

Эти панели ИМХО вообще зло, ибо снижают планку до уровня полных идиотов. Я не считаю, что надо быть ылитой дабы сайтом рулить, но клинических идиотов туда тоже лучше не допускать.

drBatty ★★
()

Всё равно кто-нибудь взломает по новой.

Deathstalker ★★★★★
()

Линукс к нему невосприимчив и точка, всё остальное проблемы пользователей недоосей.

anonymous
()
Ответ на: комментарий от anonymous

Линукс к нему невосприимчив и точка,

таки запятая. К этому конкретному — да, не восприимчив. Но теоретически ничто не мешает твоему браузеру вытянуть пароли из твоих файлов. У тебя ведь браузер работает в одном юзерспейсе со всем остальным, в т.ч. и с ssh, и на твой браузер НЕ действуют права 0600. Дыры в _любом_ браузере находят раз в неделю стабильно, РЕШЕТО (и не надо за ФФ, там просто всё открыто, в т.ч. и найденные дыры, в других дыр не меньше, просто их не публикуют)

Систему да, взломать проблематично, вот только этого и не нужно.

drBatty ★★
()
Ответ на: комментарий от Valkeru

Ёперные пароли вытягиваются на раз уже давно.

там в принципе шифрование невозможно. Оно для совсем тупых школьников. Сам браузер ведь их расшифровывает? Ну если браузер может, то что мешает другой программе сделать тоже самое?

drBatty ★★
()
Ответ на: комментарий от Kroz

Никто и не лазил. У меня Линь, у товарища - Мак.

Какой разрыв шаблона

TEX ★★★
()
Ответ на: комментарий от ziemin

Кстати фальшивое изображение было trollface :). Атака была нецелевая, так что пока всё тихо.

«Милые» друзья у тебя

anonymous_sama ★★★★★
()

в этом году кучу снг шаред хостеров порутали, так что никак.

xtraeft ★★☆☆
()
Ответ на: комментарий от Kroz
  1. Вбить пароли в тотал команндер.
  2. Словить как-нибудь вирус.
  3. ???
  4. Украденные пароли.
Deleted
()
Ответ на: комментарий от xtraeft

Я просто сам был свидетелем того, как у одного из моих заказчиков трояны украли пароль и залили злонамеренный код на сервер. Почистили, он сменил пароль, и снова залили. Только после того, как я по договорённости с заказчиком сам сменил пароль и не стал ему говорить этот новый пароль, атаки прекратились.

Wizard_ ★★★★★
()
Ответ на: комментарий от pi11

Виндузятники должны страдать.

Тысячи плюсов!

tazhate ★★★★★
()
Ответ на: комментарий от Kroz

Поясни.

Да обычный сплоит ему воткнули, трояном. Либо хакнули весь хостинг. Казалось бы, причем тут вирусы?

tazhate ★★★★★
()
Ответ на: комментарий от anonymous

браузер немножко криптует пароль

Что?

а как назвать это «шифрование» в кавычках?

drBatty ★★
()
Ответ на: комментарий от tazhate

Сменить хостинг на нормальный.

без дырявой панели?

И это не вирус.

может и вирус. Но не на сервере.

drBatty ★★
()
Ответ на: комментарий от tazhate

Да обычный сплоит ему воткнули, трояном. Либо хакнули весь хостинг. Казалось бы, причем тут вирусы?

потому-что троян входит в комплект с вирусом и/или с каким-нибудь кряком. Вредоносы под венду обладают очень широким функционалом, они гадят везде, где могут и где не могут. Внедрение своего кода в другие исполняемые файлы — это типичный функционал вредоноса, т.ч. в большинстве случаев троян является вполне себе полноценным вирусом.

Или ты думаешь, что кто-то специально скачивает, и запускает на своём компьютере троян?

drBatty ★★
()
Ответ на: комментарий от ziemin

Неисполняемый каталог не откроется же. С другой стороны, php не должен быть исполняемым, достаточно r+, чтобы интерпретатор его схомячил. Или я чего-то не знаю?

Bagrov ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.