Взлом сайта по ftp?

Ruson · 16-06-2015, 22:49:36

ДОбрый день форумчане. Несколько дней назад обнаружил на сайте (CMS Wordpress) много ссылок (2-3 внешние ссылки на странице ). Посещалка до 1000 в сутки. Понял что это взлом, изменил пароли доступа. И принялся за поиски этого кода генерирующего ссылки. Ссылки отображались в футере и сразу под хедером. Понятно что код добавлен в два файла footer.php and header.php но какое мое удивление было когда я обнаружил что эти файлы не открываются, выдает ошибку при попытке откртия. а после нескольких стремительных попыток открыть файл любым способом НОД начал орать и ругаться что файл содержит вредоносный код. В итоге безболезненно перезалили на сервер backup подключили к базе и все пучком. Сегодня получил уведомления на Миралинксе что сайт участвует в продаже ссылок на биржах, закинули в группу риска. RDS все еще показывает на сайте наличие 3тыс ссылок, понятно еще не обновился...

Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB и фтп достаточно сложные типа такого !G1f2ht1G2A6l-#*h12g% Как вообще можно предотвратить подобные взломы? Спасибо!

ryuzaki · 17-06-2015, 07:17:18

Скорее всего залили шел, смотрите какие плагины установлены, обычно они уязвимые места wordpress
Список по уязвимостям можно посмотреть к примеру здесь http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337

Вадим Костин · 17-06-2015, 09:19:43

1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц

Price · 17-06-2015, 09:29:14

Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.

Ruson · 17-06-2015, 10:03:45

Цитата: Price от 17-06-2015, 09:29:14
Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.

Да это правда храню на ПК файл на котором тонны логинов и паролей = ) Использую копи паст = ) Но этот файлик тоже имеет пароль, намного проще правда. Не думаю что ктото мог попытаться взламать файлик для того что бы вытянуть оттуда фтп доступ, а вдруг его там и нету вовсе, да и мало ли что в том файле храниться.

Добавлено: 17-06-2015, 10:38:55

Цитата: Вадим Костин от 17-06-2015, 09:19:43
1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц

Да все вроде бы соблюдается кроме 4 и 8. И то как я уже написал выше файл с паролями на компе под дополнительным паролем. А вот просто так смену пароля делаю конечно не каждый месяц, раз в пол года а то и в год наверное.

geos99 · 17-06-2015, 11:02:44

Цитата: Ruson от 16-06-2015, 22:49:36Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB и фтп достаточно сложные типа такого !G1f2ht1G2A6l-#*h12g% Как вообще можно предотвратить подобные взломы? Спасибо!

Все широкораспространённые движки страдают разного рода уязвимостями - ворпресс, джумла, в меньшей степени друпал. По этому найти дырку для профессионала не так уж и сложно. Могли пролезть через БД - почитайте что такое SQL-иньекция.
Методов борьбы тут почти не существует, разве что очень регулярное обновление CMS с целью затыкания вновь обнаруженных дыр в программном коде. Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.
А так скaнируйте сайт при первом же подозрении айболитом, ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.

Ruson · 17-06-2015, 11:31:31

Цитата: geos99 от 17-06-2015, 11:02:44
Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.

Удаление работает до первого обновления СМS потом все эти файлики появляются снова со свеженькой инфо =))) Я их просто блокирую в .htaccess

Цитата: geos99 от 17-06-2015, 11:02:44
А так скaнируйте сайт при первом же подозрении айболитом,

Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются. Немного не удобно использовать эту програмулину, так как надо перекачивать сайт на комп, потом дополнительные настройки программы и так далее, как то муторно мне показалось... Может надо еще раз попробовать не знаю.

Цитата: geos99 от 17-06-2015, 11:02:44
ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.

Поделитесь как ишете шелл, просто в самом ФТП через поиск ?

geos99 · 17-06-2015, 11:52:49

Цитата: Ruson от 17-06-2015, 11:31:31Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются.

Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/

LOGOS · 17-06-2015, 12:41:41

Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе..

Ну и конечно же не хранить пароли на компе..

Ruson · 17-06-2015, 12:46:27

Цитата: LOGOS от 17-06-2015, 12:41:41
Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе.. Ну и конечно же не хранить пароли на компе..

Хорошо, а скажите где их хранить?

Добавлено: 17-06-2015, 12:49:42

Цитата: geos99 от 17-06-2015, 11:52:49
Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/

Походу тут целое семейство развелось этих шелов....