Сайт заразили простым трояном; как уберечься на будущее?

Доступ только по ftp

Чаще всего такое происходит, когда пароли к этому самому доступу сохраняются в Windows, откуда их потом троянчик выводит. Выход: не пользоваться Windows для обслуживания сайта.

Была идентичная ситуация. Полез копаться, гуглить. Выявил причину (у меня ещё и спам херачил, поэтому админы хостера залезли и прибили пару файлов).

В общем у меня оказалась древняя версия движка. Заразили через загрузку фальшивого изображения (его, кстати админы не нашли, но, думаю их задача была паразитный трафик прибить, а не разбираться). На всякий пожарный обновил движок. Снёс около тыщи фальшивых index.html.

Кстати фальшивое изображение было trollface :). Атака была нецелевая, так что пока всё тихо.

index.html

Сайт статический?

Если сайт статический, то ты протерял пароль к FTP. Поменяй на новый и не храни его в Windows.

загрузку фальшивого изображения

То есть расширение как у картинки, а внутри какой-то PHP скрипт?

Кстати фальшивое изображение было trollface :)

Шутники :)

Сайт статический?

Там на самом деле штук 5 сайтов. Только один динамический, .php не заразило. Остальные - статика, .html - заразились.

То есть расширение как у картинки, а внутри какой-то PHP скрипт?

Да. В начале изображение, а в конце прилеплен элементарный шелл, который декодирует uu64 строку аргумента «command=» и выполняет. Одна строчка.

В начале изображение, а в конце прилеплен элементарный шелл, который декодирует uu64 строку аргумента «command=» и выполняет.

Даже так!
Немного отдаляясь о темы: и как такое выявлять, если, как я понял, функции PHP распознают его как валидное изображение?

В движке был косяк - каталог с временными изображениями был исполняемым.

Поменяй на новый и не храни его в Windows.

Так, ты уже второй с такой рекомендацией.
Я тоже не питаю особой любви к Винде но... Неужели там все настолько так ...? Есть какой-то пруф-линк, или по каким словам гуглить?

Кстати, если что это joomla древней версии была.

нефиг лезть на сайт с заражённого компьютера под вендой!

Для защиты качай антивирус(с этим на винфак отсюда)

Лучше вообще венду убей напрочь, ну или хотя-бы в диалбут загони.

Администрировать лучше как раз по ssh, и входить по ключу с пассфразой. Такое вирусы пока вроде не умеют. Желательно НЕ рутом, а через sudo.

Ну и учись, студент...

В движке был косяк - каталог с временными изображениями был исполняемым.

Напомни, как это убирается? Пока нагуглил такое:

.htaccess

<FilesMatch "(.+)$">
    ForceType text/plain
</FilesMatch>

Против cgi (бинарников) сработает?

Сразу так не вспомню. А пароль не помню. Завтра освежу память. Навскидку вроде этого.

нефиг лезть на сайт с заражённого компьютера под вендой!

Никто и не лазил. У меня Линь, у товарища - Мак.

Для защиты качай антивирус(с этим на винфак отсюда)

Спасибо, К. О. У хостера имеется.

Остальное - оффтопик.

По теме что-то подскажешь?

Поменяй на новый и не храни его в Windows.

не поможет. Есть трояны, которые умеют перехватывать пароль с клавы. Они обычно так и делают, ибо браузер немножко криптует пароль, и так просто его из СУБД браузера не вытянуть.

(правда из всяких TotalCommander'ов наверное можно, если там plain text)

Немного отдаляясь о темы: и как такое выявлять, если, как я понял, функции PHP распознают его как валидное изображение?

а никак, ибо это и есть валидное изображение. Проблема в дырявом движке, который это «изображение» ВЫПОЛНЯЕТ.

В движке был косяк - каталог с временными изображениями был исполняемым.

косяк у тебя в голове. Марш учить матчасть, и постигать смысл +x на каталоге.

Уже набрался, чтоли? Исполняемый с точки зрения апача же.

здесь почитай: http://www.securelist.com/ru/descriptions/29385176/Trojan-Downloader.JS.Ifram...

а лучше снеси маздай.

Против cgi (бинарников) сработает?

facepalm

Никто и не лазил. У меня Линь, у товарища - Мак.

в принципе ещё есть вариант кражи пароля Java апплетом, не?

И чем вы админили-то? Что за программа?

В линуксе троянов не бывает, но только при одном условии: если ВСЕ программы из репозитория(репозиторий == хранилище ПО, заверенное ЭЦП разработчика дистрибутива. Это НЕ сайт какой-то). Конечно твой майнтейнер(главный разраб дистра) должен быть достаточно известен, что-бы тебе троянов не пихать.

А по теме: найди заразу НА СВОИХ машинах и уничтожь. Это первое. Второе — вычисти эту строчку. Ссылка на учебник о sed у меня в профиле.

может это ты набрался? как файл с «картинкой» назывался? Насколько я знаю, апач может «исполнять» только то, что ему велели, *.php,*.html к примеру. У тебя твой движок умудрился загрузить «картинку» trollface.php что-ли?

Давай поподробнее расскажешь, что там у тебя произошло...

Остальное - оффтопик.

кстати не оффтопик. Ftp — лажовый протокол. Трояны есть и в linux'е, и в маке. И парольчики они с лёгкостью и из файлов и и с клавы дёргают. Мало того, пароль к ftp несложно утащить и с любого соседнего компьютера(я правда не слышал про такие вирусы, но это не значит, что их нет. Достаточно того, что они _могут_ быть), он передаётся по Сети в ОТКРЫТОМ виде.

вход по паролю рута(на ssh) тоже опасен. Особенно если порт стандартный, который 22й. Подбирать его БУДУТ. Может и подберут. Лучше вообще запретить рута, сменить порт, и сделать вход для юзера исключительно по ключу.

Сделать это — работы на 10 минут (включая чтение манов), а от не таргентинговой атаки это спасает на 146%. И на 95% от целенаправленной атаки.

Я попал вот под эту автоматическую атаку. Как файл назывался завтра посмотрю (я всё оставил в безопасных каталогах). Кстати изображение в корне тоже было (огонь какой-то и всякие джихады).

Сейчас хостеров пачками ломают через дыры в панелях управления. Так что возможно и не ваш косяк.

Я попал вот под эту автоматическую атаку. Как файл назывался завтра посмотрю (я всё оставил в безопасных каталогах). Кстати изображение в корне тоже было (огонь какой-то и всякие джихады).

всё равно непонятно:

1. как «исполняемый» файл попал в каталог с картинками?

2. у тебя апач может «исполнять» файлы из каталога с картинками? И «исполняемые» апачем файлы могут менять файлы в других каталогах, где лежат всякие *.html?

3. как апачь смог отработать картинку как скрипт, и при этом ни разу не поперхнулся?

по отдельности 1,2,3 это обычное разгильдяйство, с кем не бывает? Но всё вместе как-то не тянет на Over20000 сайтов.

Сейчас хостеров пачками ломают через дыры в панелях управления. Так что возможно и не ваш косяк.

ну вот видишь! Одминил-бы ТС по ssh, и панель ему-бы была не нужна. А он говорит — «оффтопик».

Эти панели ИМХО вообще зло, ибо снижают планку до уровня полных идиотов. Я не считаю, что надо быть ылитой дабы сайтом рулить, но клинических идиотов туда тоже лучше не допускать.

Всё равно кто-нибудь взломает по новой.

Линукс к нему невосприимчив и точка, всё остальное проблемы пользователей недоосей.

Ёперные пароли вытягиваются на раз уже давно.

Линукс к нему невосприимчив и точка,

таки запятая. К этому конкретному — да, не восприимчив. Но теоретически ничто не мешает твоему браузеру вытянуть пароли из твоих файлов. У тебя ведь браузер работает в одном юзерспейсе со всем остальным, в т.ч. и с ssh, и на твой браузер НЕ действуют права 0600. Дыры в _любом_ браузере находят раз в неделю стабильно, РЕШЕТО (и не надо за ФФ, там просто всё открыто, в т.ч. и найденные дыры, в других дыр не меньше, просто их не публикуют)

Систему да, взломать проблематично, вот только этого и не нужно.

Ёперные пароли вытягиваются на раз уже давно.

там в принципе шифрование невозможно. Оно для совсем тупых школьников. Сам браузер ведь их расшифровывает? Ну если браузер может, то что мешает другой программе сделать тоже самое?

Виндузятники должны страдать.

Никто и не лазил. У меня Линь, у товарища - Мак.

Какой разрыв шаблона

Кстати фальшивое изображение было trollface :). Атака была нецелевая, так что пока всё тихо.

«Милые» друзья у тебя

браузер немножко криптует пароль

Что?

в этом году кучу снг шаред хостеров порутали, так что никак.

чаще всего льют шелл через дыру в cms

и через дыры в ядре :)

1. Вбить пароли в тотал команндер.
2. Словить как-нибудь вирус.
3. ???
4. Украденные пароли.

Я просто сам был свидетелем того, как у одного из моих заказчиков трояны украли пароль и залили злонамеренный код на сервер. Почистили, он сменил пароль, и снова залили. Только после того, как я по договорённости с заказчиком сам сменил пароль и не стал ему говорить этот новый пароль, атаки прекратились.

Сменить хостинг на нормальный.
И это не вирус.

Виндузятники должны страдать.

Тысячи плюсов!

Сменить хостинг на нормальный.
И это не вирус.

Поясни.

Поясни.

Да обычный сплоит ему воткнули, трояном. Либо хакнули весь хостинг. Казалось бы, причем тут вирусы?

браузер немножко криптует пароль

Что?

а как назвать это «шифрование» в кавычках?

Сменить хостинг на нормальный.

без дырявой панели?

И это не вирус.

может и вирус. Но не на сервере.

Да обычный сплоит ему воткнули, трояном. Либо хакнули весь хостинг. Казалось бы, причем тут вирусы?

потому-что троян входит в комплект с вирусом и/или с каким-нибудь кряком. Вредоносы под венду обладают очень широким функционалом, они гадят везде, где могут и где не могут. Внедрение своего кода в другие исполняемые файлы — это типичный функционал вредоноса, т.ч. в большинстве случаев троян является вполне себе полноценным вирусом.

Или ты думаешь, что кто-то специально скачивает, и запускает на своём компьютере троян?

Неисполняемый каталог не откроется же. С другой стороны, php не должен быть исполняемым, достаточно r+, чтобы интерпретатор его схомячил. Или я чего-то не знаю?