Взлом сайта по ftp?

Автор Тема: Взлом сайта по ftp?  (Прочитано 6977 раз)

Оффлайн RusonАвтор темы

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 70
  • Сообщений: 232
  • Карма: 6
  • Пол: Мужской
    • Просмотр профиля
    • Your Ideas Online

Оффлайн RusonАвтор темы

  • Постоялец
  • ***
Взлом сайта по ftp?
« : 16-06-2015, 22:49:36 »
ДОбрый день форумчане. Несколько дней назад обнаружил на сайте (CMS Wordpress) много ссылок (2-3 внешние ссылки на странице ). Посещалка до 1000 в сутки. Понял что это взлом, изменил пароли доступа. И принялся за поиски этого кода генерирующего ссылки. Ссылки отображались в футере и сразу под хедером. Понятно что код добавлен в два файла footer.php and header.php но какое мое удивление было когда я обнаружил что эти файлы не открываются, выдает ошибку при попытке откртия. а после нескольких стремительных попыток открыть файл любым способом НОД начал орать и ругаться что файл содержит вредоносный код. В итоге безболезненно перезалили на сервер backup подключили к базе и все пучком. Сегодня получил уведомления на Миралинксе что сайт участвует в продаже ссылок на биржах, закинули в группу риска. RDS все еще показывает на сайте наличие 3тыс ссылок, понятно еще не обновился...

Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB  и фтп достаточно сложные  типа такого !G1f2ht1G2A6l-#*h12g%  Как вообще можно предотвратить подобные взломы? Спасибо!
« Последнее редактирование: 16-06-2015, 22:52:07 от Ruson »


Оффлайн ryuzaki

  • Бизнес оценка: (0)
  • Дебютант
  • *
  • СПАСИБО: 0
  • Сообщений: 6
  • Карма: 0
    • Просмотр профиля

Оффлайн ryuzaki

  • Дебютант
  • *
Re: Взлом сайта по ftp?
« Ответ #1 : 17-06-2015, 07:17:18 »
Скорее всего залили шел, смотрите какие плагины установлены,  обычно они уязвимые места wordpress
Список по уязвимостям можно посмотреть к примеру здесь http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337

Оффлайн Вадим Костин

  • Бизнес оценка: (0)
  • Ветеран
  • *****
  • СПАСИБО: 178
  • Сообщений: 667
  • Карма: 42
  • Пол: Мужской
  • Награды SEO-специалист продвинутого уровня
    • Просмотр профиля
    • Горные лыжи и сноуборд

Оффлайн Вадим Костин

  • Ветеран
  • *****
Re: Взлом сайта по ftp?
« Ответ #2 : 17-06-2015, 09:19:43 »
1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц
« Последнее редактирование: 17-06-2015, 09:25:29 от Вадим Костин »

Оффлайн Price

  • Бизнес оценка: (8, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 277
  • Сообщений: 730
  • Карма: 67
  • Пол: Мужской
  • Просто Веб-Мастер
  • Награды SEO-специалист
    • Просмотр профиля

Оффлайн Price

  • Ветеран
  • *****
  • Доп. информация
    • Бизнес оценка: (8, 100%)
    • СПАСИБО: 277
    • Сообщений: 730
    • Карма: 67
    • Пол: Мужской
    • Просто Веб-Мастер
    • Награды SEO-специалист
      • Просмотр профиля
Re: Взлом сайта по ftp?
« Ответ #3 : 17-06-2015, 09:29:14 »
Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.
---

Оффлайн RusonАвтор темы

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 70
  • Сообщений: 232
  • Карма: 6
  • Пол: Мужской
    • Просмотр профиля
    • Your Ideas Online

Оффлайн RusonАвтор темы

  • Постоялец
  • ***
Re: Взлом сайта по ftp?
« Ответ #4 : 17-06-2015, 10:03:45 »
Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.
Да это правда храню на ПК файл на котором тонны логинов и паролей  = ) Использую копи паст = ) Но этот файлик тоже имеет пароль, намного проще правда. Не думаю что ктото мог попытаться взламать файлик для того что бы вытянуть оттуда фтп доступ, а вдруг его там и нету вовсе, да и мало ли что в том файле храниться.

Добавлено: 17-06-2015, 10:38:55

1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц
Да все вроде бы соблюдается кроме 4 и 8. И то как я уже написал выше файл с паролями на компе под дополнительным паролем. А вот просто так смену пароля делаю конечно не каждый месяц, раз в пол года а то и в год наверное.
« Последнее редактирование: 17-06-2015, 10:38:55 от Ruson »


Оффлайн geos99

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 101
  • Сообщений: 411
  • Карма: 5
    • Просмотр профиля

Оффлайн geos99

  • Старожил
  • ****
Re: Взлом сайта по ftp?
« Ответ #5 : 17-06-2015, 11:02:44 »
Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB  и фтп достаточно сложные  типа такого !G1f2ht1G2A6l-#*h12g%  Как вообще можно предотвратить подобные взломы? Спасибо!
Все широкораспространённые движки страдают разного рода уязвимостями - ворпресс, джумла, в меньшей степени друпал. По этому найти дырку для профессионала не так уж и сложно. Могли пролезть через БД - почитайте что такое SQL-иньекция.
Методов борьбы тут почти не существует, разве что очень регулярное обновление CMS с целью затыкания вновь обнаруженных дыр в программном коде. Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.
А так сканируйте сайт при первом же подозрении айболитом, ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.


Оффлайн RusonАвтор темы

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 70
  • Сообщений: 232
  • Карма: 6
  • Пол: Мужской
    • Просмотр профиля
    • Your Ideas Online

Оффлайн RusonАвтор темы

  • Постоялец
  • ***
Re: Взлом сайта по ftp?
« Ответ #6 : 17-06-2015, 11:31:31 »
Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.
Удаление работает до первого обновления СМS потом все эти файлики появляются снова со свеженькой инфо =))) Я их просто блокирую в .htaccess

А так сканируйте сайт при первом же подозрении айболитом,
Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются. Немного не удобно использовать эту програмулину, так как надо перекачивать сайт на комп, потом дополнительные настройки программы и так далее, как то муторно мне показалось... Может надо еще раз попробовать не знаю.

ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.
Поделитесь как ишете шелл, просто в самом ФТП через поиск ?

Оффлайн geos99

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 101
  • Сообщений: 411
  • Карма: 5
    • Просмотр профиля

Оффлайн geos99

  • Старожил
  • ****
Re: Взлом сайта по ftp?
« Ответ #7 : 17-06-2015, 11:52:49 »
Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются.
Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/


Оффлайн LOGOS

  • Бизнес оценка: (0)
  • Ветеран
  • *****
  • СПАСИБО: 382
  • Сообщений: 733
  • Карма: 43
  • Пол: Женский
    • Просмотр профиля
    • Занятия с детским логопедом в Москве

Оффлайн LOGOS

  • Ветеран
  • *****
Re: Взлом сайта по ftp?
« Ответ #8 : 17-06-2015, 12:41:41 »
Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе..  ;) Ну и конечно же не хранить пароли на компе..


Оффлайн RusonАвтор темы

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 70
  • Сообщений: 232
  • Карма: 6
  • Пол: Мужской
    • Просмотр профиля
    • Your Ideas Online

Оффлайн RusonАвтор темы

  • Постоялец
  • ***
Re: Взлом сайта по ftp?
« Ответ #9 : 17-06-2015, 12:46:27 »
Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе..  ;) Ну и конечно же не хранить пароли на компе..
Хорошо, а скажите где их хранить?

Добавлено: 17-06-2015, 12:49:42

Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/


Походу тут целое семейство развелось этих шелов....
« Последнее редактирование: 17-06-2015, 12:49:42 от Ruson »


 

Похожие темы

  Тема / Автор Ответов Последний ответ
7 Ответов
1989 Просмотров
Последний ответ 12-08-2011, 05:19:53
от ReCopier
12 Ответов
4224 Просмотров
Последний ответ 10-12-2012, 22:00:25
от Гарик+
11 Ответов
4885 Просмотров
Последний ответ 09-10-2012, 15:40:17
от ProT
39 Ответов
9396 Просмотров
Последний ответ 21-07-2015, 13:25:50
от BobanZ
0 Ответов
546 Просмотров
Последний ответ 28-04-2015, 16:04:24
от geos99