Зламали. Хочете зрозуміти, як

Хтось уже вдруге додав шматок javascript на сайт, який я допомагаю запустити. Цей javascript викрадає Google adsense, вставляючи власний номер облікового запису та наклеюючи рекламу по всьому.

Код завжди додається, завжди в одному конкретному каталозі (той, який використовується третьою рекламною програмою), впливає на кількість файлів у ряді каталогів, що знаходяться в цьому одному dir dir (20 або більше), і вставляється приблизно однаково протягом ночі час. Обліковий запис Adsense належить китайському веб-сайту (розташований у місті не за годину, звідки я буду в Китаї в наступному місяці. Можливо, я повинен піти на голову ... жартую, начебто), btw ... ось інформація про сайт: http://serversiders.com/fhr.com.cn

Отже, як вони могли додати текст до цих файлів? Це пов’язано з дозволами, встановленими для файлів (від 755 до 644)? Для користувача веб-сервера (він знаходиться на MediaTemple, тому він повинен бути захищеним, так?)? Я маю на увазі, якщо у вас є файл, для якого встановлено дозволи 777, я все одно не можу просто додати код до нього за бажанням ... як вони це роблять?

Ось зразок фактичного коду для вашого задоволення від перегляду (і як ви бачите ... не надто. Справжній трюк полягає в тому, як вони їх увімкнули):

<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>

Оскільки декілька людей згадували про це, ось що я перевірив (і, маючи на увазі, я маю на увазі, що я оглянув час, коли файли були модифіковані на будь-які дивацтва, і я перехопив файли для операторів POST та обходу каталогів:

• access_log (нічого, окрім звичайного (тобто надмірного) MSN-трафіку)
• error_log (нічого, крім звичайного файлу, не існує помилок для нешкідливих файлів)
• ssl_log (нічого, крім звичайного)
• messages_log (тут немає FTP доступу, окрім мене)

* ОНОВЛЕННЯ: ** ОК, вирішено. Хакери з Китаю фізично розмістили файл на нашому веб-сайті, який дозволяє їм робити всі адміністративні речі (доступ до бази даних, видалення та створення файлів та файлів, ви називаєте це, у них був доступ). Нам пощастило, що вони не зробили щось більш руйнівне. У звичайних файлах журналу apache нічого не було, але я знайшов інший набір файлів журналів у аналізаторі журналів веб-сервера, і докази були там. Вони отримували доступ до цього файлу за допомогою власного імені користувача та пароля адміністратора, а потім редагували все необхідне прямо там на сервері. У їхньому файлі встановлено "apache" як користувач, тоді як усі інші файли на нашому сайті мають інше ім'я користувача. Тепер мені потрібно розібратися, як вони фізично потрапили до цього файлу в нашу систему. Я підозрюю, що винна в цьому врешті-решт покладається на наш веб-хостинг (Media Temple),

Перш за все, chmod 744це НЕ, що ви хочете. Суть chmod полягає у відміні доступу до інших облікових записів у системі. Chmod 700набагато безпечніший, ніж chmod 744. Однак Apache потрібен лише біт виконання для запуску програми php.

chmod 500 -R /your/webroot/

chown www-data:www-data -R /your/webroot/

www-data зазвичай використовується як обліковий запис Apache, який використовується для виконання php. Ви також можете запустити цю команду, щоб побачити обліковий запис користувача:

`<?php
print system("whoami");
?>`

FTP жахливо небезпечний, і дуже ймовірно, що вас зламали з цього методу. За допомогою FTP ви можете зробити файли для запису, а потім заразити їх знову. Переконайтеся, що ви запускаєте антивірус на всіх машинах з доступом до FTP. Є віруси, які нюхають локальний трафік за іменами та паролями FTP, а потім входять у систему та заражають файли. Якщо ви дбаєте про безпеку, ви будете використовувати SFTP, який шифрує все. Надсилання вихідного коду та паролів за допомогою чіткого тексту - це повне безумство.

Інша можливість полягає в тому, що ви використовуєте стару бібліотеку або додаток. Відвідайте веб-сайт постачальника програмного забезпечення та переконайтеся, що ви використовуєте останню версію.

Облікові записи "Моїх мережевих серверів Media Temple Grid" кілька разів "ламалися". Їх захищеність дуже погана ... розпочато з ПЛАШКУВАННЯ ТЕКСТОВОГО ТЕКСТУ минулого року і триває донині (ви можете зателефонувати в технічну підтримку, і вони говорять "який ваш пароль?"). Я знаю, тому що я отримую щомісячні електронні листи про те, як вони змінили всі паролі мого облікового запису, і вони фактично входять і змінюють паролі бази даних для вас щоразу, коли вони отримують злом. Ця компанія виглядає глянцевою, як пекло на поверхні, але сервер з сіткою - безлад. Рекомендую негайно переключитися .

Перегляньте цю публікацію з минулого року про оригінальне фіаско (попередження, це вас злість). Звідти пішла в гору. Минулого року я провів подяку подалі від сім’ї та видаливши порно посилання зі своїх веб-сайтів. Прекрасна.

Слідкуйте за розвагою на їхній сторінці статусу : він розповість вам про найсвіжіші подвиги (і, так, справді, зараз є "можливий подвиг").

Виходячи з недостатньої активності в журналах доступу тощо і тому, що відбувається приблизно в один і той же час, здавалося б, вони компрометували сервер і мають якийсь сценарій оболонки, який виконується для виконання додавання.

Ви перевірили crontab на щось дивне?

Ви намагалися перейменувати каталог та посилання на нього (це може порушити скрипт оболонки)?

Так, це, безумовно, може бути пов'язано з дозволами на файли. Маючи файли, якими можна користуватися веб-процесом, ви можете відкрити будь-яку вразливість безпеки у веб-програмах, які ви працюєте. Блокуйте все, щоб веб-процес не міг читати чи писати нічого більше, ніж потрібно.

Інший компонент відстежує, як саме вони змінюють ваші файли. Перевірка журналів доступу до веб-сервера - це гарне місце для початку. Перевірте час останнього входу для різних користувачів. Ви також можете налаштувати сценарій, який відстежує файли для модифікації, і повідомляє вас, щоб ви могли спробувати зловити злочинців з червоною рукою!

Це звучить надзвичайно звично хакерам Wordpress, які останнім часом потрапили до ряду сайтів Network Solutions. Оскільки ви перебуваєте в Media Temple, можливо, ви залишили деякі файли видимими для інших користувачів, які спільно використовують вашу машину. Це пояснило б відсутність слідів журналу POST або eery Apache. У такому випадку ввести код у командному рядку було б смертельно просто.

Код завжди додається, завжди в одному конкретному каталозі

Це пов’язано з дозволами, встановленими для файлів (від 755 до 644)? Для користувача веб-сервера

Ви перебуваєте на спільному сервері? Якщо так (або навіть якщо ні), хтось, можливо, жорстоко змусив пароль FTP та завантажив сценарій, який додає будь-які файли, до яких він може потрапити.

той, який використовується рекламною програмою третьої сторони

А може, ця програма має подвиг.

Якщо у вас є відповідний доступ (і підтримка ядра), ви можете спробувати підключити демон моніторингу на основі ініціювати або позначати, щоб спостерігати за змінами у ваших файлах, то (швидко) скористайтеся "lsof", щоб побачити, у якому процесі відкритий файл записувати доступ. Можливо, ви також зможете використовувати шлейф для моніторингу. Це має дати зрозуміти, який саме виконуваний файл використовується.

Перевірка журналів FTP - це перше місце. Журнал повинен містити більшість, якщо не всю діяльність, а також часові позначки, тому, якщо ви знаєте, в який час ваші файли були змінені, ви можете визначити, чи є ваш обліковий запис FTP порушений чи ні.

Далі це може бути сценарій на вашому веб-сервері, який вводить цей код. У сценарії спільного хостингу, я думаю, що це можливо зробити cat /web/malicious.com/script.js >> /web/innocent.com/index.php. Це може працювати в певних умовах, таких як команда, виконана користувачем httpd, а файл index.php також належить / записується цим користувачем. У такому випадку у вас повинен з’явитися ваш хостинг-провайдер, щоб простежити обліковий запис, який використовується для введення скриптів.

Більшість файлів сайтів потрібно читати веб-сервером. На веб-сервері, доступному лише для читання, веб-сервер повинен записувати лише журнали. встановити власника на когось іншого, ніж використовуваний веб-сервер. Встановіть захист 640 на всі файли, крім скриптів. Встановлення скриптів та каталогів 750. Для файлів чи каталогів, які потрібно записати веб-сервером, ви можете змінити власника на веб-сервер або встановити chmod g + 2 на відповідні файли чи каталоги.

Існує мільйон можливих способів зламати сайт. Вони могли використати вразливість у вашому скрипті, вкрали ваш пароль, використали вразливість спільно розміщеного веб-сайту (якщо ви є дешевим хостом), використали вразливість деяких служб, що не пов’язані з веб-сервером, на серверній машині. .

На першому кроці перевірте дату зміни файлу та перевірте журнали доступу, помилок та ftp на наявність підозрілих дій у той час.

Те саме трапилося зі мною назад. Наскільки я знаю, Wordpress було єдиним програмним забезпеченням, яке спричинило б щось подібне.