Friday, January 20, 2012

Мистер Володя Федоров наносит удар

Feed: Блог Teimos'а
Posted on: Friday, August 12, 2011 7:52 AM
Author: Teimos
Subject: Мистер Володя Федоров наносит удар

Ранним летним утром я привычно включил компьютер, проверил статы партнерок, и тут внезапно мне пришла в голову мысль, что мой сервер с динамическими дорами на php возможно за ночь ушел в даун, так как скрипты с утечкой памяти, а мне лень ее искать.
Для быстрой проверки решил зайти на свой дорвей xxxx.tk, что незамедлительно и сделал. Каково же было мое удивление, когда вместо белого дорвейчика я увидл сообщение об ошибке:

Полез разбираться, и увидел изменения в самом конце индексного файла.
Было вот так:
die();
?>

А стало вот так:

«Ох ты ж мамин ежик!» — подумал я. Проверил остальные сайты — везде вписан противный джаваскрипт в конец индексного файла.
Это делал явно не человек, а робот, потому что судя по всему он тупо заменял ?> на свой скрипт. Так как у меня везде была конструкция die() в конце, то код этот не срабатывал, но тем не менее все сайты полегли, что было очень печально.

Дай-ка, думаю, посмотрю что там в http://yourerating.com/cookiesave.js. Глянул — ага, вставка фрейма, а во фрейм грузится http://yourerating.com/www.bing.com/robots.txt.

Хм… этот адрес редиректит на robots.txt бинга. Интересно, зачем?
Я вижу тут два варианта. Первый — скрипт на http://yourerating.com/ крадет куки(?), либо ставит куки(?), и редиректит на бинг. Да и название cookiesave.js довольно говорящее. Второй вариант — когда наберется достаточное количество трафика, начнут грузить малварь.

В любом случае противная вещь. Полез я в логи сервера, но там хрен разберешь, очень много запросов от обычных пользователей. Однако нашел интересные штучки в логах доступа к одному из сайтов, на котором ничего не было, даже индексной страницы: http://pastie.org/2359459

Тут можно увидеть, что почти везде сервер отдавал ошибку 404, кроме — внимание! — вот этого места:

195.71.91.121 - - [09/Aug/2011:22:10:20 +0100] "GET //#phpmyadmin_2.9.11/ HTTP/1.0" 200 1994 "-" "-"

Но чего-то у меня не получилось повторить этот подвиг, перепробовал те же самые запросы к тому же сайту — ноль результата.

Хорошо — подумал я, — оставим это пока. Посмотрим как внимательнее на домен yourerating.com, а именно — глянем whois и морду сайта. Как и следовало ожидать, на морде ничего нету. Хуиз же показал, что домен зарегистрирован на Vladimir Fedorov (feodorovv_vla29@gmail.com) из Москвы. Скорее всего, мыло и имя фейковые. Но на всякий случай пробив по мылу в поисковиках не помешает. Яндекс ничего не дал, а аот в гугле я наткнулся на интересную страничку блога: http://blog.sucuri.net/2011/03/malware-week-0133-0331-0242-0033-javadisplay-and-more.html

На странице черным по белому (или черным по серому) написано — мол такая фигня, сайты инфицированы, так же вшит джаваскрипт, а владелец домена — господин Володька Федоров. Автор статейки упоминает о том, что его сайты были на джумле. Но у меня то не джумла, а самописный скрипт, в котором нет дыр (скорее всего), а значит уязвимость на стороне сервера. Вероятно в phpMyAdmin, но не факт…

Как оказалось, не у меня одного проблемы: http://forum.searchengines.ru/showthread.php?t=649491
Ребята грешат на тотал коммандер, но я то им не пользуюсь… Хотя в filezilla все пароли храню =)
Так что еще один вариант взлома — все таки не уязвимость сервера, а тупо кража паролей от FTP. Пора переходить на sFTP с ключами и привязкой к айпишнику.

А пока я поставил антивирус clamav, вот по этому мануалу: http://centos.moy.su/news/ustanovka_clamav_na_centos/2010-06-02-31
Чтобы узнать архитектуру своей операционки, в командной строке достаточно набрать uname -a
Антивирус проверил все файлы — ничего не нашел.

P.S. Так и не удалось выяснить где была дыра — то ли у меня пароли увели, то ли уязвимость в сервере нашли.
В любом случае, сделал все что мог. Спасибо LEXASOFT — настроил мне на сервере sFTP по ключу и удалил с сайтов «подарочек».


Просмотреть статью...

spanspanspan

Wrd285

No comments:

Post a Comment