ДОбрый день форумчане. Несколько дней назад обнаружил на сайте (CMS Wordpress) много ссылок (2-3 внешние ссылки на странице ). Посещалка до 1000 в сутки. Понял что это взлом, изменил пароли доступа. И принялся за поиски этого кода генерирующего ссылки. Ссылки отображались в футере и сразу под хедером. Понятно что код добавлен в два файла footer.php and header.php но какое мое удивление было когда я обнаружил что эти файлы не открываются, выдает ошибку при попытке откртия. а после нескольких стремительных попыток открыть файл любым способом НОД начал орать и ругаться что файл содержит вредоносный код. В итоге безболезненно перезалили на сервер backup подключили к базе и все пучком. Сегодня получил уведомления на Миралинксе что сайт участвует в продаже ссылок на биржах, закинули в группу риска. RDS все еще показывает на сайте наличие 3тыс ссылок, понятно еще не обновился...
Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB и фтп достаточно сложные типа такого !G1f2ht1G2A6l-#*h12g% Как вообще можно предотвратить подобные взломы? Спасибо!
Скорее всего залили шел, смотрите какие плагины установлены, обычно они уязвимые места wordpress
Список по уязвимостям можно посмотреть к примеру здесь http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц
Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.
Цитата: Price от 17-06-2015, 09:29:14
Ruson, да, если пароль супер-сложный то скорее всего Вы его хранили на ПК либо почте, который был заражен.
Очень удивлюсь если пароль был записан на листочек в блокнотик.
Да это правда храню на ПК файл на котором тонны логинов и паролей = ) Использую копи паст = ) Но этот файлик тоже имеет пароль, намного проще правда. Не думаю что ктото мог попытаться взламать файлик для того что бы вытянуть оттуда фтп доступ, а вдруг его там и нету вовсе, да и мало ли что в том файле храниться.
Добавлено: 17-06-2015, 10:38:55
Цитата: Вадим Костин от 17-06-2015, 09:19:43
1. Антивирус
2. Регулярное и своевременное обновление CMS
3. Не хранить пароли в ftp программах
4. Не держать пароли на компьютерах
5. Не пользоваться для соединения FTP чужими компьютерами
6. Поставить дополнительную защиту на вход в панель администратора
7. Ставить сложные пароли
8. Менять пароли от ftp/ssh/панели администратора хотя бы раз в месяц
Да все вроде бы соблюдается кроме 4 и 8. И то как я уже написал выше файл с паролями на компе под дополнительным паролем. А вот просто так смену пароля делаю конечно не каждый месяц, раз в пол года а то и в год наверное.
Цитата: Ruson от 16-06-2015, 22:49:36Сейчас все отлично работает, но как мог произойти такой взлом ? Вероятнее всего взломали по FTP пароли на DB и фтп достаточно сложные типа такого !G1f2ht1G2A6l-#*h12g% Как вообще можно предотвратить подобные взломы? Спасибо!
Все широкораспространённые движки страдают разного рода уязвимостями - ворпресс, джумла, в меньшей степени друпал. По этому найти дырку для профессионала не так уж и сложно. Могли пролезть через БД - почитайте что такое SQL-иньекция.
Методов борьбы тут почти не существует, разве что очень регулярное обновление CMS с целью затыкания вновь обнаруженных дыр в программном коде. Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.
А так скaнируйте сайт при первом же подозрении айболитом (http://revisium.com/ai/), ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.
Цитата: geos99 от 17-06-2015, 11:02:44
Некоторые ещё рекомендуют удалять из движка информацию о его типе, это осложняет идентификацию и увеличивает шанс того, что взломщик плюнет на ваш сайт и просто переключится на кого-то ещё, менее предусмотрительного.
Удаление работает до первого обновления СМS потом все эти файлики появляются снова со свеженькой инфо =))) Я их просто блокирую в .htaccess
Цитата: geos99 от 17-06-2015, 11:02:44
А так скaнируйте сайт при первом же подозрении айболитом (http://revisium.com/ai/),
Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются. Немного не удобно использовать эту програмулину, так как надо перекачивать сайт на комп, потом дополнительные настройки программы и так далее, как то муторно мне показалось... Может надо еще раз попробовать не знаю.
Цитата: geos99 от 17-06-2015, 11:02:44
ищите шелл и удаляйте его, иначе такие проблемы станут регулярными.
Поделитесь как ишете шелл, просто в самом ФТП через поиск ?
Цитата: Ruson от 17-06-2015, 11:31:31Айболитом пользовался давно, не понравился он мне. Выдает сотни зараженных файлов которые по сути ими не являются.
Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/
(http://habrahabr.ru/company/sprinthost/blog/125839/)
Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе.. ;) Ну и конечно же не хранить пароли на компе..
Цитата: LOGOS от 17-06-2015, 12:41:41
Не знаю, может быть я чего-то не понимаю, но мне кажется - чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом. Пусть будет немного дороже, но зато не будет таких головняков в принципе.. ;) Ну и конечно же не хранить пароли на компе..
Хорошо, а скажите где их хранить?
Добавлено: 17-06-2015, 12:49:42
Цитата: geos99 от 17-06-2015, 11:52:49
Айболит отличный скрипт, правда надо уметь интерпретировать его результаты. Там в начале списка идут явно проблемные файлы, а уж потом подозрительные. Сейчас версия обновилась и скрипт работает лучше. Кстати, шеллы я ловлю именно с его помощью.
Кстати, вот хорошая статейка на хабре - http://habrahabr.ru/company/sprinthost/blog/125839/
(http://habrahabr.ru/company/sprinthost/blog/125839/)
Походу тут целое семейство развелось этих шелов....
Цитата: LOGOS от 17-06-2015, 12:41:41чтобы таких проблем не появлялось вовсе - нужно просто пользоваться качественным и ответственным, за сайты пользователей, хостингом.
Это не спасает. К наличию дыр в программном коде движков хостер никакого отношения не имеет.
Цитата: geos99 от 17-06-2015, 12:55:00
Это не спасает. К наличию дыр в программном коде движков хостер никакого отношения не имеет.
И что самое интересное что множество небольших сайтов так и живут себе всю ихнюю жизнь взломаными, а владельцы очень часто даже и не подозревают ни о чем пока пальцем не ткнеш и не скажешь
да, кстати. Отличную гарантию даёт регулярное создание собственных бэкапов БД и файлов на сервере. Бэкапить можно не весь сайт, а только ту его часть, где содержаться собственно файлы с расширениями php; js; html; htm и т.п. Хотя полную резервную копию всё же стоит сделать хотя бы однажды. Это особенно актуально для интернет-магазинов и прочих "тяжёлых" сайтов с обилием тяжёлой графики - бэкапить несколько гигов занятие на любителя. :)
Добавлено: 17-06-2015, 13:03:23
Цитата: Ruson от 17-06-2015, 13:00:42
И что самое интересное что множество небольших сайтов так и живут себе всю ихнюю жизнь взломаными, а владельцы очень часто даже и не подозревают ни о чем пока пальцем не ткнеш и не скажешь
Ну это в основном сателлиты и доры. А так яша неплохо выявляет заразу и в вебмастере можно будет прочитать "письмо счастья". гугл тоже не отстаёт, вот только писем по-моему не пишет.
Цитата: geos99 от 17-06-2015, 13:01:16
да, кстати. Отличную гарантию даёт регулярное создание собственных бэкапов БД и файлов на сервере. Бэкапить можно не весь сайт, а только ту его часть, где содержаться собственно файлы с расширениями php; js; html; htm и т.п. Хотя полную резервную копию всё же стоит сделать хотя бы однажды. Это особенно актуально для интернет-магазинов и прочих "тяжёлых" сайтов с обилием тяжёлой графики - бэкапить несколько гигов занятие на любителя. :)
Та вот а где гарантии что в том бекапе не забекпились теже шеллы ? =) Вы смотрели прикрепленное изображение это вот только с бекапа на хостинг перезалили, два дня назад. А кстати, может ли ктото сказать может это не те файлы? Я делал чистую установку WP а потом заливал в папку content and include, чувствуется мне что это системные файлы WP с таким же названием.
Добавлено: 17-06-2015, 13:32:38
Отвечу сам себе, так и есть то системные файлы :p
Цитата: Ruson от 17-06-2015, 13:15:28Та вот а где гарантии что в том бекапе не забекпились теже шеллы ?
Если это делать с самого начала, то проблем быть не должно. Храните у себя 2-3-4 последних бэкапа и скорее всего вероятность беспроблемного восстaновления сайта будет очень высокой. Да, кстати, есть ещё один источник зла - шаблоны и расширения (плагины), выложенные в интернет для бесплатного скачивания на неизвестных сайтах. В такую халяву нередко уже бывает имплантирован вредоносный код.
Цитата: geos99 от 17-06-2015, 18:54:09
Если это делать с самого начала, то проблем быть не должно. Храните у себя 2-3-4 последних бэкапа и скорее всего вероятность беспроблемного восстaновления сайта будет очень высокой. Да, кстати, есть ещё один источник зла - шаблоны и расширения (плагины), выложенные в интернет для бесплатного скачивания на неизвестных сайтах. В такую халяву нередко уже бывает имплантирован вредоносный код.
насчет шаблонов согласен на 100%, а вот с плагинами даже с wordpress.org нужно быть предельно осторожным: я, например, не устанавливаю плагины с менее чем 50К скачиваний. Просто плагины, в отличии от тем, не проверяют перед размещением на наличие вредоносного кода.
Цитата: andrejUA от 17-06-2015, 19:06:18Просто плагины, в отличии от тем, не проверяют перед размещением на наличие вредоносного кода.
После нескольких случаев скачивания заразы я стал просматривать код файлов плагинов. Base64 сразу бросается в глаза. Иногда попадаются файлы со странными названиями типа zzth.php или похожими. Сразу обращаю на них внимание.