Перейти к содержанию

Рекомендуемые сообщения

Работаю на одного заказчика, у которого около 50 магазинов на нескольких хостингах. И вот на днях у него один за другим с разных хостов начали приходить сообщения о том, что с сайтов рассылается спам. Аккаунты были заблокированы и мы начали чистить их от хлама. Параллельно я пытался понять где была входная точка.
Первое что меня удивило, я не нашел на сайтах никаких зараженных модулей, аля варез, стучалки и т.д. Ничего подобного. Так же отличались версии движков на разных хостах, из которых происходило заражение остальных сайтов на хостинге. А один из сайтов, на отдельном хостинге, вообще был чистым, без модулей. 
В методах иньекций прослеживался один и тот же подчерк, явно это делал один и тот же человек. Удалось понять что заражение произошло из админки, через загрузку php скриптов с расширением .jpg . То есть злоумышленник получает доступ в админку, загружает шелл с расширением как у картинки через файл менеджер в папку download, далее не сложными манипуляциями получает доступ к этому шелу по прямой ссылке и получает фул доступ к фтп.
Методом исключений мы сообразили что вход в админки были получены тупо массовым брутфорсом с подбором самых популярных логин/паролей. Сайты через которые были получены доступы даже не были зарегистрированы в сети, но имели доступ admin/admin. Не спрашивайте почему пароли не были изменены...

Так же, некоторые шелы были залиты еще несколько месяцев, а иногда и лет назад. Если бы злоумышленник захотел напакостничать более жестко, он бы мог перехватывать данные покупателей и сделок и манипулировать ими, даже без нашего ведома, нам повезло что это был банальный спамер..

Короче 3 дня гемора с очисткой, заставили меня задуматься что не стоит такие простые пароли ставить даже на локалке, чтобы потом не забыть их переделать. А так же более серьезно подойти к вопросу прав на папки и правил подмены расширений в настройках сервера. 
Ну и двойная аутентификация тоже не помешает. 

Все оказалось банально просто и глупо, поэтому у кого до сих пор примитивные пароли - бегом их меняйте. 

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
43 минуты назад, Einshtein сказал:

Методом исключений мы сообразили что вход в админки были получены тупо массовым брутфорсом с подбором самых популярных логин/паролей. Сайты через которые были получены доступы даже не были зарегистрированы в сети, но имели доступ admin/admin. Не спрашивайте почему пароли не были изменены...

Простите, если глупость.

Правильно-ли я понял?

У Вас на хостинге рядом с папкой рабочего сайта были папки ваших, но ненужных вам сайтов с паролями админ/админ, демо/демо и всё такое. Их нашли, через них получили доступ к всему вашему аккаунту на хостиге, так?

Проблема не в слабых паролях - на нужных (рабочих) сайтах пароли никто не подобрал, так? Проблема в том, что не надо рядом с рабочим сайтом хранить ничего, кроме рабочего сайта (т.е., вообще ничего). А так-то они и через необновлённую джумлу могут зайти (или типа того).

Или как?

ПС спасибо за статью!

 

И такой вопрос: 

Цитата

Удалось понять что заражение произошло из админки, через загрузку php скриптов с расширением .jpg . То есть злоумышленник получает доступ в админку, загружает шелл с расширением как у картинки через файл менеджер в папку download, далее не сложными манипуляциями получает доступ к этому шелу по прямой ссылке и получает фул доступ к фтп.

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

От самого себя? - Чел, который их заливал, он знал, что делает? Зачем маскировать шеллы под безобидные картинки, если ты и так знаешь, что это не совсем картинки?

Существует-ли более простой способ получить фул доступ к фтп, имея доступ в админку?

Бывает-ли такое, что скачал изображение товара с интернета, загрузил себе в магаз, а оно не картинка, ни*рена. Оно потом за тебя деньги получает с покупателей?

Например, касперский догадается, что эта картина, не картинка? Фотошоп сможет редактировать такую не-картинку?

Блин, столько вопросов!:-)

Изменено пользователем florapraktik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все эти вопросы по сути попытка получить инструкцию как взломать магазин.Поэтому рекомендую воздержаться и от подобных публичных вопросов и от таких же ответов.Форум читает не один десяток тысяч пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Tom сказал:

Поэтому рекомендую воздержаться и от подобных публичных вопросов.

ОК.

Просто мне казалось, что я здесь единственный, кто не знает на них ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, florapraktik сказал:

Простите, если глупость.

Правильно-ли я понял?

У Вас на хостинге рядом с папкой рабочего сайта были папки ваших, но ненужных вам сайтов с паролями админ/админ, демо/демо и всё такое. Их нашли, через них получили доступ к всему вашему аккаунту на хостиге, так?

Проблема не в слабых паролях - на нужных (рабочих) сайтах пароли никто не подобрал, так? Проблема в том, что не надо рядом с рабочим сайтом хранить ничего, кроме рабочего сайта (т.е., вообще ничего). А так-то они и через необновлённую джумлу могут зайти (или типа того).

Или как?

ПС спасибо за статью!

 

И такой вопрос: 

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

От самого себя? - Чел, который их заливал, он знал, что делает? Зачем маскировать шеллы под безобидные картинки, если ты и так знаешь, что это не совсем картинки?

Существует-ли более простой способ получить фул доступ к фтп, имея доступ в админку?

Бывает-ли такое, что скачал изображение товара с интернета, загрузил себе в магаз, а оно не картинка, ни*рена. Оно потом за тебя деньги получает с покупателей?

Например, касперский догадается, что эта картина, не картинка? Фотошоп сможет редактировать такую не-картинку?

Блин, столько вопросов!:-)

1) по одному фтп доступу лежали как рабочие сайты, так и те которые чистыми установили, но в работу пока не запускали. Пароли типа админ или демо были как на некоторых одних, так и на других. Взлом (хотя взломом это не назвать) был как раз через те сайты у которых простой пароль. Естественно если был получен доступ хотя бы к одному из сайтов по этому фтп, то и автоматом доступ был получен к остальным на этом же фтп. 
Например на одном из хостингов лежит несколько сайтов (штук 6), У каждого сайта у свой собственный фтп аккаунт. Так вот у одного из сайтов был пароль админ/админ, к нему и был получен доступ и заражены файлы, залиты шелы. Но к остальным сайтам на этом хостинге доступа получено не было, потому что пароли на них сложные, и аккаунты фтп разные. 

2) расширения аля jpg и другие нужны для того, чтобы настройки htaccess или конфиг в админке (админка - система - настройки - сервер) разрешили залить такой формат файла в директорию сайта, а дальше злоумышленник (не буду говорить каким образом) получает доступ к этому файлу, меняет расширение и получает полноценный доступ к фтп и даже к базе. 

3) Антивирусы определяют эти файлы (я имею ввиду файлы типа shell.php.jpg) как вирус, если в них конечно есть вирус...то есть антивирус не обмануть. 

 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
42 минуты назад, Tom сказал:

Все эти вопросы по сути попытка получить инструкцию как взломать магазин.Поэтому рекомендую воздержаться и от подобных публичных вопросов и от таких же ответов.Форум читает не один десяток тысяч пользователей.

ой...ну я вроде особую тайну не открыл, об этом все, мало мальски кто в теме - знают, а те кто нет, подобное провернуть не смогут. Если что - удали пост

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, Einshtein сказал:

1) 
Например на одном из хостингов лежит несколько сайтов (штук 6), У каждого сайта у свой собственный фтп аккаунт. Так вот у одного из сайтов был пароль админ/админ, к нему и был получен доступ и заражены файлы, залиты шелы. Но к остальным сайтам на этом хостинге доступа получено не было, потому что пароли на них сложные, и аккаунты фтп разные. 

2) расширения аля jpg и другие нужны для того, чтобы настройки htaccess или конфиг в админке (админка - система - настройки - сервер) разрешили залить такой формат файла в директорию сайта, а дальше злоумышленник (не буду говорить каким образом) получает доступ к этому файлу, меняет расширение и получает полноценный доступ к фтп и даже к базе. 

3) Антивирусы определяют эти файлы (я имею ввиду файлы типа shell.php.jpg) как вирус, если в них конечно есть вирус...то есть антивирус не обмануть. 

 

1) Вот цитата из соседней темы: 

Цитата

Причем если вы делаете раздельные FTP аккаунты для разных сайтов с доступом только к определенной папке это еще не означает, что сайты не будут видны друг через друга. Видите ли PHP не понимает и никогда не поймет, ограничений доступа которые у вас стоят на FTP сервере, а ведь именно PHP используется для в файловых менеджерах при взломе, не говоря уже об автоматизированных системах. Т.е. при взломе остальные сайты все равно могут быть видны.

 

2) Т.е., маскировка не от людей, а от программ. Понятно...

 

3) Это хорошо.

Изменено пользователем florapraktik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не только :)
Я на маркетплейсе opencart.com (!!!) - всем популярным модулям отзывов где разрешена загрузка картинок залил (в качестве теста)  php "шеллы" (php бомбы - почти одно и тоже)
Вот так то!
Наверняка кто то тоже "нашел"
Yoda в курсе я ему ссылок накидал на все

Нельзя в магазинах разрешать загружать пользователям файлы на сервер
Первая же атака будет через этот функционал
И если не сдастся код модуля, может "сдаться" хостер с их дырами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

НУ а брутфорс это наше "всё"
Простые пароли взламываются элементарно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дело в том, что я в курсе и этой ситуации, про которую рассказывает Саша.
Мало того, в прошлом году один из боевых магазинов его работодателя, был очень сильно инфицирован, и заразу мы на нем ловили две недели.

История здесь и продолжение.


Но как видишь, даже на своих ошибках не получается научится с первого раза. Та история забылась потихоньку.
Магазинов там правда много, и нельзя вот так просто взять и сделать нормальные пароли а не admin/admin.

Так что тут сугубо человеческий фактор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Yoda сказал:

Дело в том, что я в курсе и этой ситуации, про которую рассказывает Саша.
Мало того, в прошлом году один из боевых магазинов его работодателя, был очень сильно инфицирован, и заразу мы на нем ловили две недели.

История здесь и продолжение.


Но как видишь, даже на своих ошибках не получается научится с первого раза. Та история забылась потихоньку.
Магазинов там правда много, и нельзя вот так просто взять и сделать нормальные пароли а не admin/admin.

Так что тут сугубо человеческий фактор.

Да, Зак рассказывал про этот случай

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не стоит забывать о загрузки файлов на сервер, мы с Марком как-то на форуме жевали эту тему. Без годной настройки загрузка при любой проверки приведет к загрузки шела все зависит только от времени и опыта атакующего.

 

В 28.01.2017 в 16:02, florapraktik сказал:

Зачем нужно расширение .jpg на php скриптах? Это маскировка? От кого?

За частую так проводят атаки если есть загрузчик, во внутрь изображения добавляется мини шел потом с помощью него загружается полноценный шел для управления сайтом жертвы    

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, ArtemPitov сказал:

во внутрь изображения добавляется мини шел   

А само изображение видно? Оно на глаз чем-то отличается?

Ну, типа, что вообще ничего нельзя "в руки брать"? - любая картинка может заразой оказаться?

Изменено пользователем florapraktik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 31.01.2017 в 17:57, florapraktik сказал:

А само изображение видно? Оно на глаз чем-то отличается?

Ну, типа, что вообще ничего нельзя "в руки брать"? - любая картинка может заразой оказаться?

Ничем не отличается - на вид обычное изображение :)
Да может - если позволили загружать файлы к себе на сервер
Причем могут даже не через безопасный код модуля сломать, а через дыры хостеров. Хакерам главное чтобы была "форма" загрузки файлов на сервер, а уж дальше дело техники и времени.
Для того чтобы разрешать загружать файлы на сервер вам надо отделить этот сервер от других - раз (выделить только под изображения и файлы с отдельным IP и доменом), закрыть все дыры два и следить за сервером. Т е  это должен быть выделенный сервер как минимум с профессиональным администрированием
Т.е. мухи отдельно, котлеты отдельно. А когда у вас изображения и код магазина вместе, да еще разрешена загрузка файлов ... это как фарш котлет и мух вместе, туда еще "приправки" из загрузки пользователями цианистого калия и "давайдасвидания"  магазину. А если серверы разделены то цианистый калий достанется мухам :) Вот как делают на больших защищенных проектах где обязательно надо загружать пользователям файлы

К примеру facebook - https://external-amt2-1.xx.fbcdn.net/safe_image.php?d=.....

Как видите изображения не "левом" домене, на левом сервере. Еще и спрятаны "за" скриптом

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.