Массовый брутфорс

[Einshtein]

Работаю на одного заказчика, у которого около 50 магазинов на нескольких хостингах. И вот на днях у него один за другим с разных хостов начали приходить сообщения о том, что с сайтов рассылается спам. Аккаунты были заблокированы и мы начали чистить их от хлама. Параллельно я пытался понять где была входная точка.
Первое что меня удивило, я не нашел на сайтах никаких зараженных модулей, аля варез, стучалки и т.д. Ничего подобного. Так же отличались версии движков на разных хостах, из которых происходило заражение остальных сайтов на хостинге. А один из сайтов, на отдельном хостинге, вообще был чистым, без модулей. 
В методах иньекций прослеживался один и тот же подчерк, явно это делал один и тот же человек. Удалось понять что заражение произошло из админки, через загрузку php скриптов с расширением .jpg . То есть злоумышленник получает доступ в админку, загружает шелл с расширением как у картинки через файл менеджер в папку download, далее не сложными манипуляциями получает доступ к этому шелу по прямой ссылке и получает фул доступ к фтп.
Методом исключений мы сообразили что вход в админки были получены тупо массовым брутфорсом с подбором самых популярных логин/паролей. Сайты через которые были получены доступы даже не были зарегистрированы в сети, но имели доступ admin/admin. Не спрашивайте почему пароли не были изменены...

Так же, некоторые шелы были залиты еще несколько месяцев, а иногда и лет назад. Если бы злоумышленник захотел напакостничать более жестко, он бы мог перехватывать данные покупателей и сделок и манипулировать ими, даже без нашего ведома, нам повезло что это был банальный спамер..

Короче 3 дня гемора с очисткой, заставили меня задуматься что не стоит такие простые пароли ставить даже на локалке, чтобы потом не забыть их переделать. А так же более серьезно подойти к вопросу прав на папки и правил подмены расширений в настройках сервера. 
Ну и двойная аутентификация тоже не помешает. 

Все оказалось банально просто и глупо, поэтому у кого до сих пор примитивные пароли - бегом их меняйте. 

[halfhope]

Вперед) https://strongpasswordgenerator.com/ (Справа зеленая кнопка Generate).

[florapraktik]

43 минуты назад, Einshtein сказал:

Методом исключений мы сообразили что вход в админки были получены тупо массовым брутфорсом с подбором самых популярных логин/паролей. Сайты через которые были получены доступы даже не были зарегистрированы в сети, но имели доступ admin/admin. Не спрашивайте почему пароли не были изменены...

Простите, если глупость.

Правильно-ли я понял?

У Вас на хостинге рядом с папкой рабочего сайта были папки ваших, но ненужных вам сайтов с паролями админ/админ, демо/демо и всё такое. Их нашли, через них получили доступ к всему вашему аккаунту на хостиге, так?

Проблема не в слабых паролях - на нужных (рабочих) сайтах пароли никто не подобрал, так? Проблема в том, что не надо рядом с рабочим сайтом хранить ничего, кроме рабочего сайта (т.е., вообще ничего). А так-то они и через необновлённую джумлу могут зайти (или типа того).

Или как?

ПС спасибо за статью!

 

И такой вопрос: 

Цитата

Удалось понять что заражение произошло из админки, через загрузку php скриптов с расширением .jpg . То есть злоумышленник получает доступ в админку, загружает шелл с расширением как у картинки через файл менеджер в папку download, далее не сложными манипуляциями получает доступ к этому шелу по прямой ссылке и получает фул доступ к фтп.

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

От самого себя? - Чел, который их заливал, он знал, что делает? Зачем маскировать шеллы под безобидные картинки, если ты и так знаешь, что это не совсем картинки?

Существует-ли более простой способ получить фул доступ к фтп, имея доступ в админку?

Бывает-ли такое, что скачал изображение товара с интернета, загрузил себе в магаз, а оно не картинка, ни*рена. Оно потом за тебя деньги получает с покупателей?

Например, касперский догадается, что эта картина, не картинка? Фотошоп сможет редактировать такую не-картинку?

Блин, столько вопросов!

Змінено 28 січня 2017 користувачем florapraktik

[Tom]

Все эти вопросы по сути попытка получить инструкцию как взломать магазин.Поэтому рекомендую воздержаться и от подобных публичных вопросов и от таких же ответов.Форум читает не один десяток тысяч пользователей.

[florapraktik]

4 минуты назад, Tom сказал:

Поэтому рекомендую воздержаться и от подобных публичных вопросов.

ОК.

Просто мне казалось, что я здесь единственный, кто не знает на них ответы.

[Einshtein]

1 час назад, florapraktik сказал:

Простите, если глупость.

Правильно-ли я понял?

У Вас на хостинге рядом с папкой рабочего сайта были папки ваших, но ненужных вам сайтов с паролями админ/админ, демо/демо и всё такое. Их нашли, через них получили доступ к всему вашему аккаунту на хостиге, так?

Проблема не в слабых паролях - на нужных (рабочих) сайтах пароли никто не подобрал, так? Проблема в том, что не надо рядом с рабочим сайтом хранить ничего, кроме рабочего сайта (т.е., вообще ничего). А так-то они и через необновлённую джумлу могут зайти (или типа того).

Или как?

ПС спасибо за статью!

 

И такой вопрос: 

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

От самого себя? - Чел, который их заливал, он знал, что делает? Зачем маскировать шеллы под безобидные картинки, если ты и так знаешь, что это не совсем картинки?

Существует-ли более простой способ получить фул доступ к фтп, имея доступ в админку?

Бывает-ли такое, что скачал изображение товара с интернета, загрузил себе в магаз, а оно не картинка, ни*рена. Оно потом за тебя деньги получает с покупателей?

Например, касперский догадается, что эта картина, не картинка? Фотошоп сможет редактировать такую не-картинку?

Блин, столько вопросов!

1) по одному фтп доступу лежали как рабочие сайты, так и те которые чистыми установили, но в работу пока не запускали. Пароли типа админ или демо были как на некоторых одних, так и на других. Взлом (хотя взломом это не назвать) был как раз через те сайты у которых простой пароль. Естественно если был получен доступ хотя бы к одному из сайтов по этому фтп, то и автоматом доступ был получен к остальным на этом же фтп. 
Например на одном из хостингов лежит несколько сайтов (штук 6), У каждого сайта у свой собственный фтп аккаунт. Так вот у одного из сайтов был пароль админ/админ, к нему и был получен доступ и заражены файлы, залиты шелы. Но к остальным сайтам на этом хостинге доступа получено не было, потому что пароли на них сложные, и аккаунты фтп разные. 

2) расширения аля jpg и другие нужны для того, чтобы настройки htaccess или конфиг в админке (админка - система - настройки - сервер) разрешили залить такой формат файла в директорию сайта, а дальше злоумышленник (не буду говорить каким образом) получает доступ к этому файлу, меняет расширение и получает полноценный доступ к фтп и даже к базе. 

3) Антивирусы определяют эти файлы (я имею ввиду файлы типа shell.php.jpg) как вирус, если в них конечно есть вирус...то есть антивирус не обмануть. 

 

[Einshtein]

42 минуты назад, Tom сказал:

Все эти вопросы по сути попытка получить инструкцию как взломать магазин.Поэтому рекомендую воздержаться и от подобных публичных вопросов и от таких же ответов.Форум читает не один десяток тысяч пользователей.

ой...ну я вроде особую тайну не открыл, об этом все, мало мальски кто в теме - знают, а те кто нет, подобное провернуть не смогут. Если что - удали пост

[florapraktik]

9 минут назад, Einshtein сказал:

1) 
Например на одном из хостингов лежит несколько сайтов (штук 6), У каждого сайта у свой собственный фтп аккаунт. Так вот у одного из сайтов был пароль админ/админ, к нему и был получен доступ и заражены файлы, залиты шелы. Но к остальным сайтам на этом хостинге доступа получено не было, потому что пароли на них сложные, и аккаунты фтп разные. 

2) расширения аля jpg и другие нужны для того, чтобы настройки htaccess или конфиг в админке (админка - система - настройки - сервер) разрешили залить такой формат файла в директорию сайта, а дальше злоумышленник (не буду говорить каким образом) получает доступ к этому файлу, меняет расширение и получает полноценный доступ к фтп и даже к базе. 

3) Антивирусы определяют эти файлы (я имею ввиду файлы типа shell.php.jpg) как вирус, если в них конечно есть вирус...то есть антивирус не обмануть. 

 

1) Вот цитата из соседней темы: 

Цитата

Причем если вы делаете раздельные FTP аккаунты для разных сайтов с доступом только к определенной папке это еще не означает, что сайты не будут видны друг через друга. Видите ли PHP не понимает и никогда не поймет, ограничений доступа которые у вас стоят на FTP сервере, а ведь именно PHP используется для в файловых менеджерах при взломе, не говоря уже об автоматизированных системах. Т.е. при взломе остальные сайты все равно могут быть видны.

 

2) Т.е., маскировка не от людей, а от программ. Понятно...

 

3) Это хорошо.

Змінено 28 січня 2017 користувачем florapraktik

[markimax]

Не только :)
Я на маркетплейсе opencart.com (!!!) - всем популярным модулям отзывов где разрешена загрузка картинок залил (в качестве теста)  php "шеллы" (php бомбы - почти одно и тоже)
Вот так то!
Наверняка кто то тоже "нашел"
Yoda в курсе я ему ссылок накидал на все

Нельзя в магазинах разрешать загружать пользователям файлы на сервер
Первая же атака будет через этот функционал
И если не сдастся код модуля, может "сдаться" хостер с их дырами

[markimax]

НУ а брутфорс это наше "всё"
Простые пароли взламываются элементарно

[Yoda]

Дело в том, что я в курсе и этой ситуации, про которую рассказывает Саша.
Мало того, в прошлом году один из боевых магазинов его работодателя, был очень сильно инфицирован, и заразу мы на нем ловили две недели.

История здесь и продолжение.

Но как видишь, даже на своих ошибках не получается научится с первого раза. Та история забылась потихоньку.
Магазинов там правда много, и нельзя вот так просто взять и сделать нормальные пароли а не admin/admin.

Так что тут сугубо человеческий фактор.

[Einshtein]

3 минуты назад, Yoda сказал:

Дело в том, что я в курсе и этой ситуации, про которую рассказывает Саша.
Мало того, в прошлом году один из боевых магазинов его работодателя, был очень сильно инфицирован, и заразу мы на нем ловили две недели.

История здесь и продолжение.

Но как видишь, даже на своих ошибках не получается научится с первого раза. Та история забылась потихоньку.
Магазинов там правда много, и нельзя вот так просто взять и сделать нормальные пароли а не admin/admin.

Так что тут сугубо человеческий фактор.

Да, Зак рассказывал про этот случай

[ArtemPitov]

Не стоит забывать о загрузки файлов на сервер, мы с Марком как-то на форуме жевали эту тему. Без годной настройки загрузка при любой проверки приведет к загрузки шела все зависит только от времени и опыта атакующего.

 

В 28.01.2017 в 16:02, florapraktik сказал:

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

За частую так проводят атаки если есть загрузчик, во внутрь изображения добавляется мини шел потом с помощью него загружается полноценный шел для управления сайтом жертвы    

[florapraktik]

6 минут назад, ArtemPitov сказал:

во внутрь изображения добавляется мини шел   

А само изображение видно? Оно на глаз чем-то отличается?

Ну, типа, что вообще ничего нельзя "в руки брать"? - любая картинка может заразой оказаться?

Змінено 31 січня 2017 користувачем florapraktik

[markimax]

В 31.01.2017 в 17:57, florapraktik сказал:

А само изображение видно? Оно на глаз чем-то отличается?

Ну, типа, что вообще ничего нельзя "в руки брать"? - любая картинка может заразой оказаться?

Ничем не отличается - на вид обычное изображение
Да может - если позволили загружать файлы к себе на сервер
Причем могут даже не через безопасный код модуля сломать, а через дыры хостеров. Хакерам главное чтобы была "форма" загрузки файлов на сервер, а уж дальше дело техники и времени.
Для того чтобы разрешать загружать файлы на сервер вам надо отделить этот сервер от других - раз (выделить только под изображения и файлы с отдельным IP и доменом), закрыть все дыры два и следить за сервером. Т е  это должен быть выделенный сервер как минимум с профессиональным администрированием
Т.е. мухи отдельно, котлеты отдельно. А когда у вас изображения и код магазина вместе, да еще разрешена загрузка файлов ... это как фарш котлет и мух вместе, туда еще "приправки" из загрузки пользователями цианистого калия и "давайдасвидания"  магазину. А если серверы разделены то цианистый калий достанется мухам Вот как делают на больших защищенных проектах где обязательно надо загружать пользователям файлы

К примеру facebook - https://external-amt2-1.xx.fbcdn.net/safe_image.php?d=.....

Как видите изображения не "левом" домене, на левом сервере. Еще и спрятаны "за" скриптом