Friday, January 20, 2012

[franklin100] Re: Мистер Володя Федоров наносит удар

From: Posterous [mailto:no-reply@posterous.com]
Sent: Friday, January 20, 2012 11:30 AM
To: john.webmaster.smith@gmail.com
Subject: [franklin100] Re: Мистер Володя Федоров наносит удар

 

Your email has been posted!

Wrd183

Or, Edit This Post

 

Мистер Володя Федоров наносит удар

Feed: Блог Teimos'а
Posted on: Friday, August 12, 2011 7:52 AM
Author: Teimos
Subject: Мистер Володя Федоров наносит удар


Image002

Ранним летним утром я привычно включил компьютер, проверил статы партнерок, и тут внезапно мне пришла в голову мысль, что мой сервер с динамическими дорами на php возможно за ночь ушел в даун, так как скрипты с утечкой памяти, а мне лень ее искать.
Для быстрой проверки решил зайти на свой дорвей xxxx.tk, что незамедлительно и сделал. Каково же было мое удивление, когда вместо белого дорвейчика я увидл сообщение об ошибке:

Полез разбираться, и увидел изменения в самом конце индексного файла.
Было вот так:

die();
?>

А стало вот так:

«Ох ты ж мамин ежик!» — подумал я. Проверил остальные сайты — везде вписан противный джаваскрипт в конец индексного файла.
Это делал явно не человек, а робот, потому что судя по всему он тупо заменял ?> на свой скрипт. Так как у меня везде была конструкция die() в конце, то код этот не срабатывал, но тем не менее все сайты полегли, что было очень печально.

Дай-ка, думаю, посмотрю что там в http://yourerating.com/cookiesave.js. Глянул — ага, вставка фрейма, а во фрейм грузится http://yourerating.com/www.bing.com/robots.txt.

Хм… этот адрес редиректит на robots.txt бинга. Интересно, зачем?
Я вижу тут два варианта. Первый — скрипт на http://yourerating.com/ крадет куки(?), либо ставит куки(?), и редиректит на бинг. Да и название cookiesave.js довольно говорящее. Второй вариант — когда наберется достаточное количество трафика, начнут грузить малварь.

В любом случае противная вещь. Полез я в логи сервера, но там хрен разберешь, очень много запросов от обычных пользователей. Однако нашел интересные штучки в логах доступа к одному из сайтов, на котором ничего не было, даже индексной страницы: http://pastie.org/2359459

Тут можно увидеть, что почти везде сервер отдавал ошибку 404, кроме — внимание! — вот этого места:

195.71.91.121 - - [09/Aug/2011:22:10:20 +0100] "GET //#phpmyadmin_2.9.11/ HTTP/1.0" 200 1994 "-" "-"

Но чего-то у меня не получилось повторить этот подвиг, перепробовал те же самые запросы к тому же сайту — ноль результата.

Хорошо — подумал я, — оставим это пока. Посмотрим как внимательнее на домен yourerating.com, а именно — глянем whois и морду сайта. Как и следовало ожидать, на морде ничего нету. Хуиз же показал, что домен зарегистрирован на Vladimir Fedorov (feodorovv_vla29@gmail.com) из Москвы. Скорее всего, мыло и имя фейковые. Но на всякий случай пробив по мылу в поисковиках не помешает. Яндекс ничего не дал, а аот в гугле я наткнулся на интересную страничку блога: http://blog.sucuri.net/2011/03/malware-week-0133-0331-0242-0033-javadisplay-and-more.html

На странице черным по белому (или черным по серому) написано — мол такая фигня, сайты инфицированы, так же вшит джаваскрипт, а владелец домена — господин Володька Федоров. Автор статейки упоминает о том, что его сайты были на джумле. Но у меня то не джумла, а самописный скрипт, в котором нет дыр (скорее всего), а значит уязвимость на стороне сервера. Вероятно в phpMyAdmin, но не факт…

Как оказалось, не у меня одного проблемы: http://forum.searchengines.ru/showthread.php?t=649491
Ребята грешат на тотал коммандер, но я то им не пользуюсь… Хотя в filezilla все пароли храню =)
Так что еще один вариант взлома — все таки не уязвимость сервера, а тупо кража паролей от FTP. Пора переходить на sFTP с ключами и привязкой к айпишнику.

А пока я поставил антивирус clamav, вот по этому мануалу: http://centos.moy.su/news/ustanovka_clamav_na_centos/2010-06-02-31
Чтобы узнать архитектуру своей операционки, в командной строке достаточно набрать uname -a
Антивирус проверил все файлы — ничего не нашел.

P.S. Так и не удалось выяснить где была дыра — то ли у меня пароли увели, то ли уязвимость в сервере нашли.
В любом случае, сделал все что мог. Спасибо LEXASOFT — настроил мне на сервере sFTP по ключу и удалил с сайтов «подарочек».


Просмотреть статью...spanspanspan

 

On the go?
Download Posterous Spaces for your phone

Sent by Posterous. Change your email settings or unfollow. Other questions? We’d love to help.

Image001

Image003

No comments:

Post a Comment

Newer Post Older Post Home