18.07.2009, 10:58
|
#1
|
Мастер
Регистрация: 30.11.2008
Адрес: Бутырка
Сообщений: 660
|
Вебшелл на службе SEO
После третьего случая выявления и устранения вебшеллов на сайтах заказчиков решил поделиться, думаю, что кто-то может взять на вооружение.
Дублирую отчет моего спеца по защите:
Цитата:
Точное время заражения сайта ххххххх: 16.07.09 22.16
Вирус прописался в файлы:
./index.php
./.filemanager/index.php
./admin/index.php
Создатель вируса - русскоязычный человек, что ясно по продвигаемому им сайту <b><a
href="http://www.kadr2.ru/Bolshaja_peremena-film-399962.html">Большая перемена скачать</a></b> (по ссылке лучше
не ходить или идти с отключенной явой)
Вирус сделан, чтобы сэкономить на покупке ссылок. В последнее время часто можно встретить с такой тип снижения
ссылочного бюджета. Чаще всего это сеошники нанимают прогеров (а порой даже хостеров!) чтобы те щедрой рукой
рассыпали эту бяку по ни в чем не повинным сайтам.
Заражение произведено злоумышленником с ip 112.137.162.188 (прокси-сервер, расположенный в Малазии, на этом,
конечно, след прерывается).
Инструментом заражения являются найденные мной на сайте программы вебшелл:
./inf142_203.php
./admin/inf142_203.php
./.filemanager/inf142_203.php
(сейчас эти файлы удалены, при необходимости могу их продемонстрировать). Помимо возможности загрузки файлов на
сервер программа позволяла рассылать спам, используя сайт как отправителя почты.
И самый главный шелл представляет собой целый комплекс файлов в папке с говорящим названием ./idea1/free/ :
err404.php - основной файл вируса
field18.php
particular51.php
rather94.php
several21php
Эти файлы предоставляют злоумышленнику полный доступ к сайту для размещения там ссылок в целях копеечной наживы
в форме экономии ссылочного бюджета.
Просто какое-тот повторение ситуации с yyyyyyyyyy - ради пятирублевых ссылочек (вряд ли внутренние на таком
сайте больше стоят) их человек решил поставить на карту всю судьбу сайта.
Время появления вредоносной программы на сайте - 13 июля 2009 в 11:21
Кто и каким образом положил её туда в этот день, выяснить не представляется возможным, так как логи на этом
сайте как-то неакуратно подтерты.
Данный факт говорит в пользу версии о том, что какой-то сотрудник, имевший доступ, постарался.
Вторая версия - проделки хостеров (там бывают клерки с маленькой зарплатой и доступом к тысячам ftp-паролей).
Ваша версия с включением вируса во флэш пока не изучалась.
Тот код вставки флэша, который находится на странице сайта, хоть и выглядит подозрительно, реальной опасности в
себе не таит. А сами флэш-элементы не анализировались - это требует их декомпиляции, длительный и бюджетный
процесс, этим стоит заняться только если вдруг случится повторное заражение.
Сейчас вирус вычищен и на файлы поставлен чмод 444.
На папку http поставлен чмод 555, чтобы не было возможности писать в корень сайта.
..................
Велика вероятность, что после смены ftp-пароля борьба с вирусом будет успешно окончена.
Крайне низка вероятность, что есть еще вебшеллы (совсем исключать такую возможность никогда нельзя).
В случае повторного заражения, которое крайне маловероятно, нам предстоит долгая и непредсказуемая борьба. (В
отличие от работы, в борьбе всегда есть элемент вероятности и никогда нельзя заранее сказать перспективы, сроки и
бюджеты).
..................
хххххххххх может прийти письмо от хостера о превышении лимитов нагрузки на сервер - пусть не обращают внимания. Это
связано с ресурсоемкими командами, использованными для поисков вируса.
.....................
В ближайшее время стартует "сигнализация" для сайтов - это будет ресурс, на котором можно будет оформить подписку
на антивирусную проверку сайтов.
Сейчас проверяются сайты zzzzzzzzzzzzzz, периодичность - раз в час.
Когда я сделаю внешний интерфейс, где можно будет посмотреть результаты проверок, то услуга будет
предоставляться за 0x0x0 рублей в месяц за один сайт.
...........
|
|
|
|