Уважаемые коллеги,
помогите, пожалуйста, разобраться вот в такой ситуации:
Есть шаред-хостинг, на нём крутится очень простой сайт на php. Пользователи, только зареганные, кстати, могут добавлять некоторую инфу о себе, инфа эта хранится в базе, и, конечно же, выводится на нужных страницах.
База совершенно чистая (то есть нет никаких посторонних данных). Но владелец сайта обеспокоился тем, что при заходе НОД32 орал о трояне. В коде страниц (всех) появился какой-то iframe. Причём попадал на страницы он из файлов с JS. В конец каждого js файла дописалась какая-та пакостная функция, которая собственно и выводила iframe.
Вычистил всё из js файликов, сменили все пароли — от админки, от ftp — хотя последним никто и не пользуется… Через пару недель — та же напасть.
Два вопроса:
1. Как можно по-простому узнать, кто безобразничает.
2. Как?! Как в js файлы попала зараза?
Пароли сменили, но себе-то о них сообщить не забыли…
Всего три варианта:
1) Дырка в php скриптах (или в правах доступа), позволяющая писать на сервер что-либо. (маловероятно)
2) Дырка в хостинге, позволяющая писать что-либо соседям (средне вероятно)
3) Дярка у кого-то с админским доступом к сайту (наверняка)
А выяснять в чём конеретно дырка — задача администратора ресурса.
Сталкивался с подобным случаем. Нашел эксплоит в /var/tmp, обычный скрипт, который через уязвимость в ОС получал рутовый доступ и изменял все js файлы, которые нашел в docroot. Если после смены паролей вирус снова появился, значит либо у вас на хостинге сидит эксплоит, либо на компе, через который работаете с файловой структурой хостинга.
У нас вчера на тестовом домене произошла та же самая фигня.
Судя по логам, по фтп просто всем js файлам в конец дописали вирусняк. Т.к. был скомпроментирован только пароль юзера, имеющего доступ к 1 домену, только там это и произошло… Пароль был только у того юзера, так что всё довольно таки очевидно)
Пожалуйста)
Да писать то особо не о чем… С IP 50.115.122.28 кто-то зашел под логином моего друга (пароль только у него был) и изменил файлы. Если бы был эксплойт, то 100% были бы затронуты другие домены, т.к. скорее бы всего получили права на изменение файлов в других директориях или нарыли бы доступ других юзеров. А так обычный вирус скорее всего, который пароль украл.
Еще советую вам сменить пароли сразу с заведомо надежного компьютера, а потом уже ловить вирус и уже когда поймаете только, использовать комп для подключения к серверу.
Очень похоже на вирус, который ходит по фтп и вешает в конце определенных файлов свои хвосты. Просто сменить пароли недостаточно, сначала его нужно отловить. Вирь этот только на моей памяти обходил Аваст, Комодо, Нортон и Нод32. Попробуйте установить пробник каспера — моему приятелю недавно помогло. Когда выловите, тогда меняйте пароли и чистите сам сайт. А вообще не рекомендуется хранить пароли сохраненными в ФТП-программах. Особенно подвержены Total Commander и Filezilla.
1 утекли пароли с фтп Тотал Фар и т.п.
2 залили на соседний сайт шелл или вредоносный вирус, а вэбсервер не настроен на изоляцию проектов
3 на второй залили путём подбора пароля в админку какойнить популярной ЦМС.
4 на вашем сайте что-то не проверяется и можно заинклудить внешний код или загрузили вам вредоносный скрипт
99 процентов случаев украден пароль к ftp трояном на компе разработчика, админа или просто человека который имеет доступ к сайту, смотрите в первую очередь логи фтп.
ещё один процент это дырки в старых движках
очень редко бывает целенаправленный взлом
недавно встретился на шаред хостинге godaddy с поломанным сервером, блочу все доступы на сайте все равно прописывают вирус, хостер наглухо отказывается давать ftp логи, по логам апача взлома через админку нет, движок вордпресса последний, все пароли поменяны, все файлы перезалиты с чистой копии. Вывод сломан хостер.
Недавно по просьбе коллег разбирал подобную ситуацию. Во время первого взлома (утёкший пароль от фтп) кроме правки скриптов в недра цмс-ки добавили вебшелл, через который потом и ломали повторно. Примечательно, что вебшелл добавили за день до правки скриптов и с другого IP.
А вы не задумываетесь о том, что в первый и второй раз вирус мог попасть разными путями? Первое попадание — скорее всего стыренный из FTP клиента пароль.
По нему произошло соединение. И после этого не ресурс был засунут php-шелл для дальнейшей работы. Из уже данного шелла скорее всего и были «исправлены» ваши js-файлы.
Вы сменили пароли, вычистили js-ы, а изменения в PHP вы посмотрели?
Вам теперь нужно не только вылечить компы (скорее всего там сидит вирус), но и копать ваш собственный сайт на предмет внедрённых туда «доработок»…
P.S. Люди, а зачем вы в таких программах сохраняете пароли? там же написано, что небезопасно, и вирусы эти пароли воруют уже лет 10. Вы странные, люди.
