41 votos

Tengo Hackeado. Quieres entender cómo

Alguien tiene, por segunda vez, se anexa un fragmento de javascript a un sitio que ayuda a ejecutar. Este javascript secuestra Google adsense, insertando su propio número de cuenta, y pegando anuncios por todas partes.

El código siempre se anexan, siempre en un directorio específico (uno utilizado por un tercero ad programa), afecta a un número de archivos en un número de directorios dentro de este uno de los anuncios dir (20 o así) y se inserta en aproximadamente el mismo tiempo de la noche a la mañana. La cuenta de adsense pertenece a un sitio web Chino (que se encuentra en una ciudad, no a una hora de donde yo voy a estar en China el próximo mes. Tal vez debería ir a la quiebra, los jefes... es broma, más o menos), por cierto... aquí está la información en el sitio: http://serversiders.com/fhr.com.cn

Así que, ¿cómo podrían añadir un texto a estos archivos? Se relaciona con el conjunto de permisos en los archivos (que van desde 755 y 644)? El webserver de usuario (en MediaTemple por lo que debe ser seguro, sí?)? Quiero decir, si usted tiene un archivo que tiene el conjunto de permisos a 777 todavía no me acaba de agregar código a voluntad... ¿cómo podrían estar haciendo esto?

Aquí se muestra un ejemplo del código real para su placer de la vista (y como se puede ver... no mucho. El verdadero truco es cómo llegaron ahí):

<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>

Puesto que un número de gente ha mencionado, aquí es lo que he comprobado (y por comprobarse me refiero a que me miraba todo el tiempo, los archivos fueron modificados por ninguna rareza y yo grepped los archivos para PUBLICAR declaraciones y los recorridos de directorio:

  • access_log (nada en todo el tiempo excepto normal (es decir, la excesiva) msn bot de tráfico)
  • error_log (nada pero la costumbre archivo no existe errores para inocuo en busca de archivos)
  • ssl_log (nada pero la costumbre)
  • messages_log (sin acceso FTP en aquí, excepto para mí)

ACTUALIZACIÓN:* OK, solucionado. Los Hackers de China había ubican físicamente un archivo en nuestro sitio web que les permite hacer todo tipo de administrativos cosas (acceso a base de datos, borrar y crear archivos y directorios, lo que sea, que tenía acceso). Tuvimos la suerte de no hacer algo más destructivo. No había nada en el normal archivos de registro de apache, pero me encontré con un conjunto diferente de los archivos de registro en un servidor web log analyzer y la evidencia de que estaba ahí. Ellos fueron el acceso a este archivo con su propio nombre de usuario admin y la contraseña y, a continuación, la edición de cualquier cosa que necesitara, a la derecha allí en el servidor. Su archivo se ha "apache" establecer como el usuario, mientras que todos los otros archivos en nuestro sitio tiene un nombre de usuario diferente. Ahora tengo que averiguar cómo que físicamente tiene este archivo en nuestro sistema. Sospecho que la culpa de esto eventualmente resto con nuestra web de host (Media Temple), a menos que en realidad tenía nuestro inicio de sesión de FTP... no estoy seguro de cómo voy a determinar que, sin embargo, como este archivo, probablemente ha estado allí por un tiempo.

9voto

typeoneerror Puntos 242

Mi Media Temple Servidor de red las cuentas han sido "hackeado" como este un número de veces. Su seguridad es muy pobre...comenzó con CONTRASEÑAS de TEXTO sin formato el año pasado y continúa hasta este día (puede llamar a soporte técnico y me dicen "¿cuál es tu contraseña?"). Lo sé porque yo mensuales por correo electrónico acerca de cómo han cambiado todas mis contraseñas de la cuenta y que realmente ir y cambiar contraseñas de base de datos para que cada vez que hackeado. Que la empresa se ve brillante como el infierno en la superficie, pero el servidor de red es un desastre. Recomiendo la conmutación de inmediato.

Por favor, ver este post del año pasado sobre el original fiasco (advertencia, piss off). Se ha ido cuesta abajo desde allí. Pasé de acción de gracias el año pasado, lejos de mi familia y la eliminación de porno links de mis páginas web. Precioso.

Seguir la pista de la diversión en su página de estado: te dirá todo acerca de las últimas hazañas (y, sí, hay un "posible explotar" hasta que hay ahora).

9voto

Rook Puntos 1574

Primero de todo, chmod 744 NO lo desea. El punto de chmod es revocar el acceso a otras cuentas en el sistema. Chmod 700 es mucho más seguro que el chmod 744. Sin embargo Apache sólo necesita el bit de ejecución para ejecutar su aplicación php.

chmod 500 -R /your/webroot/

chown www-data:www-data -R /your/webroot/

www-data es comúnmente usado como Apache cuenta que se utiliza para ejecutar el php. También puede ejecutar este comando para ver la cuenta de usuario:

`<?php
print system("whoami");
?>`

FTP es terriblemente inseguro y es muy probable que fueron objeto de este método. El uso de FTP puede hacer que los archivos de escritura, y luego infectar a ellos de nuevo. Asegúrese de ejecutar un antivirus en todos los equipos con acceso FTP. Existen virus que oler el tráfico local para FTP nombres de usuario y contraseñas de inicio de sesión y, a continuación, e infectar los archivos. Si te preocupa la seguridad de que voy a utilizar SFTP, que cifra todo. Envío de código fuente y contraseñas a través de la red en texto claro es locura total.

Otra posibilidad es que usted está utilizando una vieja biblioteca o de la aplicación. Visita el proveedor de software del sitio y asegúrese de que está ejecutando la versión más reciente.

2voto

abarax Puntos 121

Basada en la falta de actividad en los registros de acceso, etc. y el hecho de que está ocurriendo en aproximadamente el mismo tiempo parece que se ha comprometido el servidor y tener una secuencia de comandos de shell de algún tipo de ejecutar para ejecutar la aplicación.

Has comprobado crontab para nada extraño?

¿Has probado a cambiar el nombre del directorio y de las referencias a ella (esto puede romper la secuencia de comandos de shell)?

1voto

editor Puntos 181

Esto suena muy familiar para el Wordpress hacks que afectó a una serie de Soluciones de la Red de sitios últimamente. Ya está en los Medios de comunicación Templo, es posible que usted dejó algunos archivos visibles a otros usuarios compartiendo tu máquina. Eso explicaría la falta de POST o extraño Apache registro de huellas. Si ese es el caso, sería mortal simple para inyectar código en la línea de comandos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: