Взывая к помощи коллективного разума!

[arteshuk]

ситуация следующая. Стоит санта на хостинге

на хостинге, в корне сайта, появляется некая папка (system, userи т.д.), в которой тысячи станиц....

иногда в .htaccess то же вносятся изменения....

вопрос вот в чем: дырка у хостинга или у санты?

кто как считает?

Просто хочется понять в какую сторону копать....

[mikola_design]

сказал бы что за хостинг, и что за страницы в папке, код страницы любой выложил бы, тогда было бы чуток понятней)

[arteshuk]

Да....вобщем-то код и сами страницы сейчас можно глянуть на нашем любимом сайте....


 http://santafox.ru/content/nokia-8800-instruktsiya-932.html
 http://santafox.ru/content/yaponskie-zhurnali-vyazanie-181.html

ну и страниц там таких пару тысяч.....

Осликс.....не сноси пожалуцста пока эту папку...давайте вместе искать дырку...где бы она не была..на хостинге или в санте...

Но тут ситуация посложнее ибо просто удалить папку нельзя, ибо удалится весь контент самого сайта.....

[arteshuk]

и самое интересное

все эти ссылки уже проиндексированы и яндексом и гуглом.....

http://www.google.com.ua/search?source=ig&hl=ru&rlz=1G1GGLQ_UKUA275&q=site:http://arteshuk.tk/&aq=f&aqi=&aql=&oq=#q=site:http://santafox.ru&hl=ru&rlz=1G1GGLQ_UKUA275&prmd=imvns&ei=twTmTsr2LovKsgbd0ciYCQ&start=40&sa=N&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=63c2e2d1812121e7&biw=1280&bih=709

[digi]

мдаа.. получается где-то дыра

[arteshuk]

мдаа.. получается где-то дыра

есть какие соображения где?

[arteshuk]

ссылки уже удалили

http://www.webpagescreenshot.info/img/574755-1212201144502PM

в самом низу страницы есть адрес, с которого сделан скриншот....

ну это чтоб я пустословом не выглядел....

неужели никого этот вопрос не интересует?

по моему я более чем наглядно показал, на примере сайта http://www.santafox.ru/, с чем может столкнуться каждый.....

[sanchez]

-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS

[arteshuk]

я не истерю, я пытаюсь понять, дырка в системе или на хостинге?

в моем случае не было реврайтов....была папка размером около 50 Мб.
(сейчас посмотрел папку, в ней было 2037 страниц)
у меня есть архив этой папки, если кому интересно, могу выложить архив.

в случае у Roman, залезли в .htaccess и то же там "наворочали" делов....

sanchez - я правильно понял, что насчет CMS мы можем спать спокойно и высказывать обоснованные претензии хостеру?

[Roman]

-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS

а когда Roman (тобишь я) писал и санчезу, и администрации -- все мимо ушей.
а что значит?

-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS

хостинги разные, а проблема у всех общая, может я ошибаюсь, но получается хостинги нипричем

у меня архивы этого дерьма тоже есть, могу скинуть кому надо.

[Roman]

программисты!
отпишите, что это за баг?

[Oslix]

Други, видимо это дело в санте все-таки.
У меня просьба. У кого сохранились логи взлома (ну или просто логи и сайт до сих пор содержит вредоносный код, который может проанализировать санчез) - кеньте мне информацию на ilya@santafox.ru

[arteshuk]

Господа, раз у мы такие лопухи, и логов у нас нет, я предлагаю объединить усилия и выловить-таки эту гадость.

Что мы о ней знаем?

проникает на сайт и заливается в папки

/system  - в моем случае
/content - случай взлома сайта santafox и у Roman бяка сидела там же
/components - случай у Roman

как и когда попала туда эта шняги никто из нас не знает, я кинулся, когда был в топе яндекса по непонятным запросам, вплоть до порнухи....

Возможно я придумал не самый удачный способ, но на сегодняшний день никто других вариантов не предложил....

Да, сразу оговорюсь: это не патч латающий брешь в безопасности вашего сайта, от заражения он не спасет, но поможет отловить откуда бяка залезла. Это нужно нам всем. Многие из вас делают сайты на заказ. Когда через месяц после сдачи сайта заказчику, он, как бы случайно, обнаружит, что по запросу в яндексе "самые большие сиськи Бразилии" его сайт (который кстати не хухры-мухры, а консалтинговые услуги) на первом месте в поисковой выдаче, последствия для вас несложно себе представить......

Итак, суть способа такова:
Скрипт делает проверку папок на сервере, в случае если видит "не родную" папку, админ получает письмо в почту.
(тут мы убиваем еще одного зайца, знаем время взлома, проще будет ковырять логи)

В приложении к сообщению есть файл  virus_on_santafox.zip, скачиваем, открываем любым редактором (хоть блокнотом)
первая строка кода:

Код: [Выделить]

$email_admin = 'arteshuk@gmail.com'; // укажите свой емаил!!!!В ней пишите мыло, на которое получите уведомление в случае заражения.

Далее сохраняем файл и его надо залить в папку
/modules/evalmod/files/
Далее, через модуль "Произвольный код", создаем действие "выполнить код из файла", где указываем мой файлик.

Идем с шаблон главной страницы сайта, создаем (в любом удобном месте) метку, на которую выводим выше созданное действие.

Все!

Для тех кому лень настраивать модуль, в приложении файлик index.php. В нем надо изменить мыло на свое и залить в корень вместо имеющегося там файла index.php. Эффект будет тот же, что и при настройке модуля произвольного кода.

ВНИМАНИЕ!!! Не бойтесь этого делать, скрипт работает МОЛЧА, никаких изменений на сайте, ни на зараженном, ни на чистом вы не увидите!!!

Теперь поясню как это работает:

Как только, в известные нам папки попадет "левый" файлик, админ тут же получит на почту сообщение типа:

VIRUS on SantaFox
     от root@arteshuk.tk
site:arteshuk.tk on folder: system

где arteshuk.tk - это зараженный сайт, system - это папка в которой все это дело лежит

как только вы получили это сообщение, тут же пишем в эту тему, или Oslix, дальше мы расскажем что делать....

ТЕПЕРЬ ВНИМАНИЕ!

1. Данный скрипт правильно работает на версиях от 2.05 и старше!!! (младше я пока не проверял)
Если кто-то хочет поставить себе такую ловушку на другие версии, пишите мне, я напишу под любую имеющуюся.

Мои опасения оказались напрасны, смело ставьте на любую версию санты, но смотрим пункт 2!!!

2. В корне сайта, у вас не должно быть "левых папок", т.е. должен быть стандартный набор папок из дистрибутива санты. Если кто хранит в корне сайта кучу всяких "левых" папок, так же пишите, я расскажу как сделать так что бы и у вас работало.


Заранее спасибо всем, кто поможет поймать бяку....ну и тем кто дочитал до конца.

Чтоб не флудить в теме, вопросы типа а как? а где, а почему а зачем, давайте в личку аську или почту  

[Roman]

кому лень настраивать модуль, можно в index.php вставить перед последним ?>

и самое главное $email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ

Код: [Выделить]

$email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ
$santa = array('','admin', 'backup', 'cache', 'components', 'content', 'include', 'modules','upload','design'); // ЕСЛИ ЕСТЬ НЕ СИСТЕМНЫЕ ПАПКИ СВОИ -- ДОБАВЬТЕ В СПИСОК
$target = './';
$weeds = array('.', '..');
$directories = array_diff(scandir('./'), $weeds);
$string = '';
$folder = '';
foreach($directories as $value)
{ if(is_dir($target.$value)) {$string .= ' '.$value;}}
$arr_santa = explode (' ', $string);
$result = array_diff($arr_santa, $santa);
if($result){
foreach($result as $folder) {
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: '.$folder.'');}}
$content = array_diff(scandir('./content'), $weeds);
$result_c = count($content);
if ($result_c !=3)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /content');
$components = array_diff(scandir('./components'), $weeds);
$result_comp = count($components);
if ($result_comp !=6)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /components');

[sanchez]

ужасное решение
1) проверка только папок
2) проверка при КАЖДОМ обращении к сайту
3) чтобы узнать время появления новых файлов-папок на сервере, достаточно посмотреть время их создания, емейлы тут ни к чему