Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

Как защититься от взлома?

В продолжении темы про вирус на форуме

Текущий рейтинг темы: Нет
Выводить сообщения

<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
 
Dearheart
Почетный участник


Откуда: Нижний Новгород
Всего сообщений: 130
Рейтинг пользователя: 4


Ссылка


Дата регистрации на форуме:
27 дек. 2007
Начало этой темы было здесь: http://intboard.ru/post/suppor...tm#pp15852
Решил вынести обсуждение в отдельную тему, потому что считаю этот вопрос очень важным.

Итак, известно что где-то вечером 21 ноября, в файл index.php, была внедрена строка с iframe, причём в моём случае эта строка была внедрена в двух местах. Утром 23 ноября мне удалось удалить все вставки с вирусом, однако мой сайт уже попал в чёрный список, и я пока не знаю, как его оттуда убрать.

По имеющимся у хостера логам следует, что доступ к файлу был всего лишь два раза: 10 ноября и 23 ноября, причём второй - это когда я удалял вирус. Оба доступа сделаны с моего домашнего компьютера, и это действительно имело место, поскольку я вносил некоторые изменения в код. Однако до 21 ноября, форум работал нормально, и только затем вирус выдал себя тем, что из-за вставок iframe сместилось содержание станицы, а потом заорал антивирус.
Получается что либо хостер не может обнаружить у себя следов изменения файла 21 ноября, либо вирус действительно был занесён мной 10 ноября, но в течении 10 дней он себя не проявлял. Такое возможно?

У кого какие соображения по этому поводу? Мог ли файл index.php быть изменён другим php скриптом внутри хоста форума? И если бы это было так, то должны ли быть следы в логах от такого изменения?

---
Форум для родителей детей с ВПС: http://forum.dearheart.ru
Florell
Новичок


Всего сообщений: 16
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
19 нояб. 2011
Добавлю свое слово как непосредственный участник событий.
Вирус первым обнаружил я. Причем я примерно знаю промежуток, когда он мог появиться - это между 22-00 и 22-30. Просто дело в том, что до 22-00 я активно общался на форуме, а примерно в 22-30 зашел на форум и касперский стал активно ругаться на вирус.
Начал проверять. Первым делом просмотрел все файлы по дате изменения. И вот здесь было самое мое большое удивление, когда у всех файлов была старая дата (либо дата создания, либо дата заливки на хостинг).
Методом тыка я залез в index.php и обнаружил там искомую строчку. Самое главное - дата и время файла изменены не были!! Вот это для меня осталось самой большой загадкой. Да, права доступа на файлы стояли 775, но вот у господина Dearheart, насколько я понял из сообщения в предыдущем топике - 644, и это его не спасло!
Тут же вычистил файл, и все стало работать нормально. Кинулся смотреть логи, но из-за массового посещения сайта, к которому прикручен форум, а также зверзких настроек хостера, логи уже были частично затерты.
На следующий день прошелся по другим форумам, построенным на IntB - точно помню такую же ситуацию на форумах Dearheart, форум про туры в Чехию (знаю, что его создатель также участник сообщества) и еще на паре форумов, название оторых уже не вспомню. На некоторых был и ранее до заражения моего форума, вирусов не было.
Как это все возникло не понимаю. Больше не понимаю, почему дата и время файла не изменились.
Исходя из того, что одновременно подверглись заражению несколько форумов, имеющих один и тот же движок, создается впечатление что это не целенаправленная атака, направленная на Васю/Петю/Колю, а своего рода вирусная эпидемия, использующая какую либо уязвимость в форуме и/или хостинге.
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
Да, непонятно, почему дата не изменилась.
А как в текст скрипта могут быть внесены изменения? По ФТП? Или SHELL какой-нибудь залили?
Главное сейчас диагноз поставить - каким способом были внесены изменения в текст скрипта?

assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
http://www.openproj.ru/index.php - там тоже iframe генерится
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
На openproj устранил, обнаружил сейчас аналогичное и на socioclub.org. Причем дата изменения файла — 26 августа, а вирус появился недавно (на тот сайт я где-то раз в две недели захожу как минимум и точно бы нашел).
Сейчас гляну в логах FTP, что там было, а то у меня и на FTP пароль перестал работать.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Посмотрел. Взлом сделан грамотно: строка запрятана внутрь index.php в середину, да еще и дата создания файла сохранена, чтобы найти было труднее. Значит, как-то сумели вбросить код на исполнение. Пробовал поискать, где может быть сам код, но пока не нашел.
В качестве временной меры предлагаю закрыть на запись все файлы в корне форума (т.е. поставить им права 444), а так же в стилях и файл настроек. Хоть это проблему и не решит, но жизнь взломщикам усложнить может.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
4X_Pro, здравствуй.

А это вручную делается, или робот-троян.
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
21-11-2011 c 23:07:47 и по 22-11-2011 00:51:13 как-то козел долбился на форум по поводу sql-уязвимости.

с ip-адреса 85.26.233.45

Запросы типа:
/forum/index.php?t=1510%27%27+and+%27x%27%3D%27x
/forum/index.php?t=999999.9+union+all+select+0x31303235343830303536--
/forum/index.php?t=1510'+UNION+SELECT+0x73716C696E6A666C6431/*
/forum/index.php?t=1510'+UNION+SELECT+1+FROM+Administrators/*
/forum/index.php?t=582%27+and+if%281%3D1%2CBENCHMARK%281624133%2CMD5%280x41%29%29%2C0%29+and+%27x%27%3D%27x

и т.д.


4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Там скорее всего так: выполняется какой-то запрос, который забрасывает на сервер код, который делает нужные изменения. А выполняться он может как вручную, так и автоматически. На данный момент могу предположить такие варианты: либо что-то вбросили в конфиг (хотя это маловероятно) при включенном register_globals, что выполнилось как код, либо каким-то образом включили внешний файл (хотя защита вроде везде предусмотрена), либо получили доступ в админку и наделали что-то оттуда.
Вопрос ко всем, кто пострадал от взлома: у вас открытие http-адресов через fopen было разрешено или нет?

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
4X_Pro, здравствуй.
Я вот не пострадал пока. Но нужно урок из этого дела извлечь.


4X_Pro написал:
[q]
у вас открытие http-адресов через fopen было разрешено или нет?
[/q]
Что это такое? Где и как разрешают? Кто - хостер?


4X_Pro написал:
[q]
что-то вбросили в конфиг
[/q]
А какой конфиг? Где?


4X_Pro написал:
[q]
получили доступ в админку
[/q]
Админку движка или чего?




А у тебя каким образом openproj.ru и на socioclub.org взломали?
<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.0980. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!