Сайтът се върти на търговска CMS, написани на PHP, достатъчно популярни, но малко (много?) "Curve". Krivost се състои в смесване на логика и презентация, съхранение на кода в базата данни и последващото изпълнение на EVAL, използвайте обикновени-SQL заявки и други удоволствия, "улесняване" на живота на програмистите. CMS изходния код е в състояние да се потопите в един трептящ ужас дори опитен програмист: много километри функции с много условия, не по дължина, глобални променливи, Оценка-ите и куп други изкушения очакват Новак тук смелчага. Въпреки ужасното софтуерната архитектура, на мястото на CMS достатъчно мисъл - изглежда, че TK пише плюсове и внедри студент в системата. CMS използва сте научили? Жал ми е за ...
С поглед към главната шаблон сайт, аз веднага намери връзка в долната част на страницата на подозрителен скрипт:
Изходният код footer.php скрипт:
Беше очевидно, че този зловреден код и че сайтът се използва като място за поставяне на платени връзки. И нападателите се е убедил, че собствениците на сайта не виждат отляво връзки: връзки се показват за всички, но гостите от IP Екатеринбург (сайтът е в района на Екатеринбург). Както собствениците на сайта са били в състояние да видите връзките? Оказа се, че услугата, която нападателите, използвани за определяне на града през IP, просто спря да работи. По-точно започна да даде 404 (тест: ip-whois.net/ip_geo.php?ip=212.104.72.58)
Премахване от зловреден шаблон включват уязвимост, задам logo.png файл, който със сигурност не е всяка снимка, а истински PHP-код. Източник logo.png: pastebin.com/cTsgW2RU.
Ние виждаме, че скриптът е кодиран и компресирани и двата разговора:
Резултатът е доста дълъг масив: pastebin.com/xyqJVfmV
След това, аз нарисува една проста декодер, който замества всички извиквания на функции _527006668 за съответния елемент на масива $ на: pastebin.com/RxVyACiS
Резултати изгонени през phpbeautifier.com: pastebin.com/wvw1mJA5
тагове
- dispenser-01.strangled.net
- dispenser-02.us.to
- dispenser.amursk-rayon.ru
Първите две се използват за показване на нормални и kontekstnyhh връзки към трети елементи на дисплея. И трите места са разположени на домейни от трето ниво, а аз се интересува от това, което тези домени. Аз ги подгони през who.is услуга и получи списък с домейните на DNS сървъри.
Проверете dispenser-01.strangled.net и dispenser-02.us.to:
В това изследване беше решено да се прекрати злонамерена програма, но аз искам да знам, не се сблъскват с някой друг с подобен проблем, аз отидох и zaguglit "TRUSTLINK_client". Google намери 4 сайт, в който TRUSTLINK_client счупи и даде грешка на PHP. Колко сайта са хакнати и функционира правилно, с което печалбата на собствениците и малуер обезщетение на собствениците им само да гадаем.
Това е, за да разберете по какъв начин зловредния код е дошъл на сайта. Първоначално имах три хипотези:- Собствениците на сайтове са засадени пароли от FTP / SSH (вируса на компютъра, въвеждане на обществеността, и т.н.)
- пароли предположение за FTP / SSH груба сила
- Уязвимост в сървърния софтуер
В случаите, когато обичайната дата / час? Не е ясно ...
Отворих тип лог файл @<цифры-буквы-бла-бла-бла>.ите:
Като парола познае опити, но не е сигурно. Бързо gugleniya от формата на резултата от лог файл, за да не се ползват. Попитайте експертите във форумите е мързелив, така че реших просто да си вземе за даденост предположението, че е взет от парола за FTP.
Това, което не е, но трябва да има? На добър трябва да деактивирате FTP, но вместо ispolzrovat SFTP. Но на сайта се разтоварва от данни програми на трети страни, които са нищо друго, освен ВТП не знам как. И все пак трябва да направи кода на сайта под Git. Но в среда, където значителна част от кода се съхранява в базата данни, то няма да спаси от неупълномощени промени в кода.
Може би съм пропуснал нещо друго, аз ще се радвам за всякакви предложения и конструктивна критика. И почива на вашия сървър защитен! И за да не се напука хакер!
Защо не е отговорът "Наех свободна практика за хранене, и аз бях разорен."
99% от всички влизане с взлом са на melkopravochnikov 1 час, особено докосва "направи за върха." Докато главата, такива клиенти няма да мислят, и не е необходимо да ги разбие. не повече от преди месец срещнах нещо подобно, на кратко файлове разследване от проблем дата промяна идентифицирани 3 страници с еднаква свободна практика, които отдавна спеше в банята за множество регистрации.
И можете да CMS в лично, дори и стана интересно :)
Само преди няколко дни попаднах на един сайт за WP, който спря да работи, след като се премести в друг хостинг. Просто е дала "бял екран на смъртта" в дневника беше празен, принудени на изхода за грешка е и нищо не даде. Чрез процес на елиминиране намери виновника - приставка, която се генерира от менюто. Зловредният код е «social.png» файл, ето самия код (смешно, че той не може да бъде прочетен obsfutsirovan но абсолютно, така че да се разбере какво прави, аз някак си не искам да).
По мое мнение, повечето от местата на инфекция дори не са в избора на \ кракване на пароли за SSH, FTP, дупки в популярна CMS и така нататък, и чрез всички видове "заразени" приставки, шаблони и други подобни, които уебмастъри, определени собствената си към вашия сайт.
Що се отнася до колата си отиде, все пак още не разбра, SSH / FTP / DB - боклук ненадеждни ...
SSH / FTP / DB - боклук ненадеждни ...
Можете ли да обясните вашата идея? По мое SSH доста надежден ако са конфигурирани правилно. DB, също ако кодът не инжекции и връзката се допускат само с Localhost, и начина, по подразбиране е то.
Тъй като заглавието е "или нещо лошо FTP / SSH-парола / код в базата данни" просто трябва да обясни във вратата. И обяснения-и не само историята на хакерството без описание като влезе нещо в края на краищата.
Сам хакерство - няма начин. Но откриването на факта на пречупване и премахване на последствията - много даже.
В резултат на това вие така или иначе ще са се променили кода, който се съхранява на диска. Наличието или липсата на допълнителен код някъде другаде (например в база данни) на откриването на такива безобразия няма да повлияе. Да, с съхраняване на част от базата данни на останалите никой не си прави труда да продължите да използвате каза Git.
Това не е точно сега, един час?
Да, 53hhhhhh - като 5367fb36 от дневника.
Сега добавете супер грижа - логично е, че след като дробни части от секунди. Те могат да бъдат кодирани по различни начини, например 0x00000000 = 0 секунди, 0xFFFFFFFF = 0.999+ секунди, 0x80000000 = 0.5 сек.
предприеме
@ 40000000527270a43690410c tcpsvd: информация: 10/100 статус @ 40000000527270a524e8249c tcpsvd: информация: 11/100 статус
Никъде не е налице повече от един милиард номера и всички излезли с две нули. Допускане: тук кодирани хекс брой тъпи милиардни от секундата.
Figachit за първия ред.
Свързани статии