newpdv
@newpdv
Web-devekioer

Как могли взломать сайт?

Добрый день!

На одном из подопытных серверов перед новым годом произошел взлом, в ходе которого в несколько файлов был внедрен вредоносный скрипт.

Что имеем:

— взломано 3 сайт (из-под трех разных пользователей), хотя всего сайтов несколько больше. Мотив?
— файлы были целенаправленно изменены по ftp (в логе xferlog 12 файлов трех сайтов были скачана и тут же загружены)
Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 117 [filename] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:00 2012 0 ::ffff:188.72.248.226 185 [filename] a _ i r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 253 [filename2] a _ o r [user1] ftp 0 * c
Sat Dec 29 07:24:01 2012 0 ::ffff:188.72.248.226 337 [filename2] a _ i r [user1] ftp 0 * c

— вход по ssh запрещен в системе

Что хотелось бы узнать:
— как произошел взлом — это был перебор пароля?
— можно ли посмотреть историю авторизации по ftp на стандартных настройках proftpd? auth.log молчит
  • Вопрос задан
  • 12173 просмотра
Пригласить эксперта
Ответы на вопрос 10
Истории былинные:
Кто-то из имеющих доступ к ftp словил троянца.
Кто-то сохранивший авторизационные данные в ftp-клиенте допустил утечку (например снова словил троянца или расшарил Program Files в сеть)
Ответ написан
@IStudio
А есть вариант запретить навсегда ftp и пользоваться всегда ssh?
Ответ написан
Комментировать
avgaltsev
@avgaltsev
Нас однажды тоже взломали через proftpd, внедрили в сайт зловредные скрипты. Причем взломали не брутфорсом, пароли у нас сложные стоят.
Перешли на vsftpd, с тех пор не ломали пока.
Ответ написан
Комментировать
@howeal
Скорее всего это автоматизированный бот, который заражает сайты по FTP. Логины-пароли воруются троянцем.
Ответ написан
Комментировать
@eresik
У меня тоже сегодня такое случилось. Именно такая же модификация файлов.
За несколько дней до этого защитник виндовс8 удалял вирус. Видимо как раз таки тот вирус и украл пароли.
Пароли именно украдены, а не подобраны, т.к. хостер прислал логи, там неудачные попытки входа только мои.

Теоретически ведь можно обращаться в полицию по таким поводам? Ради спортивного интереса захотелось написать заявление. Чисто чтоб узнать чего в этом случае делают :)
Ох и мороки же было со сменой паролей на всём и вся, блин. Почты, сайты, банки и т.п.
Ответ написан
Комментировать
@1099511627776
Пишу все что интересно и на всем на чем интересно
На сайтах используется Basic HTTP Authorization?
Ответ написан
startsevdenis
@startsevdenis
Какая версия джумлы используется? Не так давно был взломан сайт через кривой аплодер в джумле.
Ответ написан
Комментировать
@egorinsk
Сколько раз уже говрили людям, не сохраняйте пароли на фтп, не сохраняйте, все трояны первым делом лезут и выковыривают их, нет, все равно сохраняют. Ну не жалуйтесь теперь.
Ответ написан
Комментировать
opium
@opium
Просто люблю качественно работать
НУ как всегда у кого то украли пароли с компа трояном, 99 процентов случаев такие.
Ответ написан
Комментировать
@g00dv1n
Парни с exploit.in постарались наверное. (шутка).

Скорей всего угнали с компа конечно пароли.
Но иногда бывает просто, что уязвимая версия FTP стоит. Чекать можно тут https://www.exploit-db.com/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы