From: Posterous [mailto:no-reply@posterous.com]
Sent: Friday, January 20, 2012 11:30 AM
To: john.webmaster.smith@gmail.com
Subject: [franklin100] Re: Мистер Володя Федоров наносит удар
| |
Feed: Блог Teimos'а |
Ранним летним утром я привычно включил компьютер, проверил статы партнерок, и тут внезапно мне пришла в голову мысль, что мой сервер с динамическими дорами на php возможно за ночь ушел в даун, так как скрипты с утечкой памяти, а мне лень ее искать.
Для быстрой проверки решил зайти на свой дорвей xxxx.tk, что незамедлительно и сделал. Каково же было мое удивление, когда вместо белого дорвейчика я увидл сообщение об ошибке:
Полез разбираться, и увидел изменения в самом конце индексного файла.
Было вот так:
die();
?>
А стало вот так:
«Ох ты ж мамин ежик!» — подумал я. Проверил остальные сайты — везде вписан противный джаваскрипт в конец индексного файла.
Это делал явно не человек, а робот, потому что судя по всему он тупо заменял ?> на свой скрипт. Так как у меня везде была конструкция die() в конце, то код этот не срабатывал, но тем не менее все сайты полегли, что было очень печально.
Дай-ка, думаю, посмотрю что там в http://yourerating.com/cookiesave.js. Глянул — ага, вставка фрейма, а во фрейм грузится http://yourerating.com/www.bing.com/robots.txt.
Хм… этот адрес редиректит на robots.txt бинга. Интересно, зачем?
Я вижу тут два варианта. Первый — скрипт на http://yourerating.com/ крадет куки(?), либо ставит куки(?), и редиректит на бинг. Да и название cookiesave.js довольно говорящее. Второй вариант — когда наберется достаточное количество трафика, начнут грузить малварь.
В любом случае противная вещь. Полез я в логи сервера, но там хрен разберешь, очень много запросов от обычных пользователей. Однако нашел интересные штучки в логах доступа к одному из сайтов, на котором ничего не было, даже индексной страницы: http://pastie.org/2359459
Тут можно увидеть, что почти везде сервер отдавал ошибку 404, кроме — внимание! — вот этого места:
195.71.91.121 - - [09/Aug/2011:22:10:20 +0100] "GET //#phpmyadmin_2.9.11/ HTTP/1.0" 200 1994 "-" "-"
Но чего-то у меня не получилось повторить этот подвиг, перепробовал те же самые запросы к тому же сайту — ноль результата.
Хорошо — подумал я, — оставим это пока. Посмотрим как внимательнее на домен yourerating.com, а именно — глянем whois и морду сайта. Как и следовало ожидать, на морде ничего нету. Хуиз же показал, что домен зарегистрирован на Vladimir Fedorov (feodorovv_vla29@gmail.com) из Москвы. Скорее всего, мыло и имя фейковые. Но на всякий случай пробив по мылу в поисковиках не помешает. Яндекс ничего не дал, а аот в гугле я наткнулся на интересную страничку блога: http://blog.sucuri.net/2011/03/malware-week-0133-0331-0242-0033-javadisplay-and-more.html
На странице черным по белому (или черным по серому) написано — мол такая фигня, сайты инфицированы, так же вшит джаваскрипт, а владелец домена — господин Володька Федоров. Автор статейки упоминает о том, что его сайты были на джумле. Но у меня то не джумла, а самописный скрипт, в котором нет дыр (скорее всего), а значит уязвимость на стороне сервера. Вероятно в phpMyAdmin, но не факт…
Как оказалось, не у меня одного проблемы: http://forum.searchengines.ru/showthread.php?t=649491
Ребята грешат на тотал коммандер, но я то им не пользуюсь… Хотя в filezilla все пароли храню =)
Так что еще один вариант взлома — все таки не уязвимость сервера, а тупо кража паролей от FTP. Пора переходить на sFTP с ключами и привязкой к айпишнику.
А пока я поставил антивирус clamav, вот по этому мануалу: http://centos.moy.su/news/ustanovka_clamav_na_centos/2010-06-02-31
Чтобы узнать архитектуру своей операционки, в командной строке достаточно набрать uname -a
Антивирус проверил все файлы — ничего не нашел.
P.S. Так и не удалось выяснить где была дыра — то ли у меня пароли увели, то ли уязвимость в сервере нашли.
В любом случае, сделал все что мог. Спасибо LEXASOFT — настроил мне на сервере sFTP по ключу и удалил с сайтов «подарочек».
No comments:
Post a Comment