Если взломали сайт. Ч.3

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

Сегодня немного закрутился с заказами, подгонял «хвосты» и не смог выделить достаточно времени для написания продолжении своей серии статей, посвященной моим проблемам с одним из моих сайтов после его взлома и размещения на нем скриптов фишинга.

Чтобы не возникало большой паузы между статьями — решил выложить небольшую переписку с своим хостером через Скайп, в которой поделился своими проблемами и услышал от него вариант «дырки», через которую ко мне на сайт мог попасть злоумышленник, а точнее — закинуть через эту «дырку» скрипты фишинга.

Копирую с небольшими сокращениями переписку из Скайпа. Переписка за 1 апреля этого года:

Спасибо, сейчас попробую сформулировать покороче

[01.04.2012 13:39:04]

Олег Власов: началось с того, что от вас получил Тикет с приложением от немецкого сайта, в котором был указан путь где лежит скрипт фишинга, путь к папке скрипта был такой: http://www.skininfo.ru/preview3/wp-content/plugins/antivirus/img/servicio/genDoc2.html

Благодаря указанному пути в письме — сразу нашел и удалил папку, причем, там было две папки, одна называлась — servicio, вторая — servicios, во второй было все тоже самое, кроме — был архив Flash-Player.zip, а в первой — он же, только уже разархивированный

[01.04.2012 13:40:10]

Олег Власов: Кстати, сейчас при попытке перехода по этой ссылке в Мозилле вижу предупреждение, что вы посетили мошеннический сайт (скрипт я удалил, там сейчас чисто)

В субботу, когда занялся чисткой и сменой всех паролей (на основном домене, FTP, и всех поддоменах), вдруг случайно увидел новых две папки в основной директории public_html [01.04.2012 13:41:56] Олег Власов: Имена папок — noticias и noticiase Все было также и как в первом варианте — в них лежали скрипты фишинга, с флеш-плеером и т.д.

Советую прочитать еще:  Skype может стать источником заражения компьютера

Папки я удалил, но в течение часа они опять появились, и так было три раза в течение субботы.Я опять сменил пароль FTP соединения через FileZilla, сменил пароль на основном домене, и продолжил проверку сайта на наличие вирусов (и компьютера заодно)

Сайт проверял так: скачивал всю папку паблик на компьютер и мой антивирусник автоматом нашел один вирус, сейчас не помню какой, по-моему, PhPShell. Потом стал проверять на компьютере по очереди каждую системную папку Вордпресс и сравнивал количество файлов с количеством файлов в папках начальной инсталляции. Через эту проверку нашел не-системный файл по имени — index.php, который лежал в папке /wp-includes Вордпресс, версия 3.1.1.) В нем — был код запуска флеш-плеера для скрипта фишинга. Файл я тоже удалил. Вчера рано утром при стандартной проверке счетчика обнаружил, что у меня с субботы резко вырос трафик на сайт, ссылающиеся страницы — любые варианты страниц входа на разные аккаунты, типа Windows Live, Yahoo, и так далее. Я догадался, что работает фишинг и приглашает посетителей на сайт для ввода логинов и паролей с этих страниц. Вот пример из текстового файла Логов сервера, который я сейчас вижу:

111.220.202.136 — — [01/Apr/2012:13:24:57 +0300] «GET /noticias/ HTTP/1.0» 404 5763 «http://e1.mc1616.mail.yahoo.com/mc/welcome?.gx=1&.tm=1333275497&.rand=2es6njdoc2jfm» «Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)»

Первый скрипт фишинга всех посетителей вел на страницу какого-то банка, этот — приглашает на Yahoo и другие социальные аккаунты. Скриптов нет, поэтому в ответе сервера я вижу 404. Вчера я закрывал сайт от посетителей, ставил «Техническое обслуживание». Вчера же поставил плагин — WP Ban (бан IP-адреса посетителя).

Через Лог сервера я вчера целый день вычислял IP адреса посетителей как написал выше и постарался основную массу IP закрыть (забанить). В основном эти посетители — Латинская Америка и США.

Советую прочитать еще:  Плагин Wordpress Sucuri Sitecheck Malware Scanner - проверит ваш сайт на наличие вирусов и троянов

Что еще: в своем аккаунте на вашем сервере я видел что почтовый ящик был забит на 37 Мб памяти. Эти два аккаунта Email созданы были системно, и я ни разу ими не пользовался. Я хотел их открыть и посмотреть, что там за почта, но сделать не смог и просто удалил всю почту. Сейчас там чисто, точнее, есть несколько Кб, но просмотреть не могу, сменил в почте пароль и когда вхожу — ящики пустые…

Вчера и сегодня скрипты фишинга не появляются, по крайней мере, я не вижу что посетители идут по рабочим ссылкам. Мои вопросы к вам — это попытка понять, правильно ли я все интерпретировал, а именно:

Переданный выше Лог из текстового файла — Журнал обращений Apache — я правильно понимаю, что это —

66.150.14.182 — — [01/Apr/2012:13:42:47 +0300] «GET /preview3/wp-content/plugins/antivirus/img/servicio/genDoc2.html HTTP/1.0» 404 16064 «-» «Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en) AppleWebKit/417.3 (KHTML, like Gecko) Safari/417.2»

Попытка перехода посетителя по поддельному письму, которое направляет его по указанной в письме ссылке и попытке коннекта с скриптом фишинга, которого уже нет на моем сайте?

<<< preview3/wp-content/plugins/antivirus/img/servicio/genDoc2.htmlЗдесь лежал скрипт фишинга, о котором шла речь в письме немцев, которые вы мне переслали в Тикете

А это:

89.7.50.227 — — [01/Apr/2012:13:42:45 +0300] «GET /noticia/index.php HTTP/1.0» 301 1535 «http://e1.mc1615.mail.yahoo.com/mc/welcome?.gx=1&.tm=1333276528&.rand=ehvu9kpiq3mu7» «Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.142 Safari/535.19» 89.7.50.227 — — [01/Apr/2012:13:42:45 +0300] «GET /noticia/ HTTP/1.0» 404 5827 «http://e1.mc1615.mail.yahoo.com/mc/welcome?.gx=1&.tm=1333276528&.rand=ehvu9kpiq3mu7» «Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.142 Safari/535.19»

Попытка коннекта с другим скриптом фишинга обычного посетителя? Помогите понять, правильно я все понимаю, или что-то путаю или просто не знаю?

Советую прочитать еще:  Quttera Web Malware Scanner - сканирует ваш сайт на предмет проверки вирусов, троянов и прочей нечисти

Ответ хостера:

Да, все правильно понимаете. Насчет того что данные появляются даже после сменов паролей говорит что где-то есть скрипт с помощью которого заказчивают shell на ваш аккаунт и потом уже закачивают фишинговые страницы. Если вы используете wordpress, то скорее всего нужно искать или в скинах или в плагинах где используется timtumb скрипт — это скрипт которые делает привьюхи картинок, у него особенность не проверять содержимоего того что ему передают. Таким образом можно закачать php или perl файл с shell кодом.

Thimtumb!!!! Вот он0, почти на 99%

Продолжение в понедельник и всех с наступающей святой Пасхой, здоровья, счастья и процветания.

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

2 Comments

  • · Edit

    Дождалась продолжения. Я знаю, что вы выйдете с честью из этого положения, но все равно переживаю за вас. С любым может случиться такая неприятность.

    Ответить
    • Автор · Edit

      Спасибо за пожелания, я тоже надеюсь, что все закончится благополучно. С праздником!

      Ответить

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *