Я администратор одного не очень большого сайта. Хочу рассказать одну интересную историю.
Вчера наш сайт заразили. Хакер, используя эксплоит, залил скрипт-резидент и поприписывал к каждому исполняемому файлу код вызывающий его. Проблема была в галерее Coppermine старой версии — дырявый скрипт (mea culpa, не уследил). Хакер применил классический Google hacking, чтобы найти галерею.
Последовательность действий очень продумана и доказать преступление хакера сложно. С немецкого IP (217.20.118.150, по видимому арендованый сервер) была прощупана версия галереи, затем через дыру в скрипте заливается скрипт-загрузчик. С того же немецкого IP этот скрипт запрашивается по HTTP, что приводит к его исполнению на стороне нашего сайта. Исполняющийся скрипт-загрузчик подсасывает с сервера IP 78.157.140.3 скрипт-резидент (обращение происходит именно по IP) copper.txt, запаковывает / записывает его в одну из папок куда разрешена запись (уже в виде php) и прописывает в первой строке всех файлов php вызывающий его код (тоже упакованый). После этого скрипт-загрузчик самостирается (не знаю виден ли на немецком сервере этот скрипт из инета, копии на нашем сервере не осталось). Далее при открытии любой страницы где используется php происходит запуск скрипта-резидента, который запрашивает исполняемый код с сервера по адресу nomcen.biz (домен сейчас соответствует тому же IP 78.157.140.3). В скрипте-приписке в каждом файле была синтаксическая ошибка, поэтому сайт просто выдавал пустые страницы (сообщение об ошибке съедалось в результате применения ob_start-а). Не будь её — скрипт-резидент тихо отрабатывал бы нужное хакеру дело.
А теперь самое интересное: доказательств что заразили с немецкого сервера у меня мало (есть только две записи в логе, сам скрипт неизвестен и где его искать в сети разумеется не известно). С IP 78.157.140.3 исполняемый код брался именно нашим сервером (работал скрипт-загрузчик). Обращение к домену тоже было скриптом работающим на нашем сайте (работа скрипта-резидента). Регистратор домена принимает притензии только по поводу спама, по поводу распространения эксплоитов они рекомендуют обращаться к хостеру.
Итого: мы видим хакерскую технологию с определённой степенью защиты от уголовного преследования.
P.S.: Данный текст не претендует на новизну и написан не для поучения. Основная мысль с которой он писался «пусть полежит здесь, может кого-нибудь заинтересует».
Вчера наш сайт заразили. Хакер, используя эксплоит, залил скрипт-резидент и поприписывал к каждому исполняемому файлу код вызывающий его. Проблема была в галерее Coppermine старой версии — дырявый скрипт (mea culpa, не уследил). Хакер применил классический Google hacking, чтобы найти галерею.
Последовательность действий очень продумана и доказать преступление хакера сложно. С немецкого IP (217.20.118.150, по видимому арендованый сервер) была прощупана версия галереи, затем через дыру в скрипте заливается скрипт-загрузчик. С того же немецкого IP этот скрипт запрашивается по HTTP, что приводит к его исполнению на стороне нашего сайта. Исполняющийся скрипт-загрузчик подсасывает с сервера IP 78.157.140.3 скрипт-резидент (обращение происходит именно по IP) copper.txt, запаковывает / записывает его в одну из папок куда разрешена запись (уже в виде php) и прописывает в первой строке всех файлов php вызывающий его код (тоже упакованый). После этого скрипт-загрузчик самостирается (не знаю виден ли на немецком сервере этот скрипт из инета, копии на нашем сервере не осталось). Далее при открытии любой страницы где используется php происходит запуск скрипта-резидента, который запрашивает исполняемый код с сервера по адресу nomcen.biz (домен сейчас соответствует тому же IP 78.157.140.3). В скрипте-приписке в каждом файле была синтаксическая ошибка, поэтому сайт просто выдавал пустые страницы (сообщение об ошибке съедалось в результате применения ob_start-а). Не будь её — скрипт-резидент тихо отрабатывал бы нужное хакеру дело.
А теперь самое интересное: доказательств что заразили с немецкого сервера у меня мало (есть только две записи в логе, сам скрипт неизвестен и где его искать в сети разумеется не известно). С IP 78.157.140.3 исполняемый код брался именно нашим сервером (работал скрипт-загрузчик). Обращение к домену тоже было скриптом работающим на нашем сайте (работа скрипта-резидента). Регистратор домена принимает притензии только по поводу спама, по поводу распространения эксплоитов они рекомендуют обращаться к хостеру.
Итого: мы видим хакерскую технологию с определённой степенью защиты от уголовного преследования.
P.S.: Данный текст не претендует на новизну и написан не для поучения. Основная мысль с которой он писался «пусть полежит здесь, может кого-нибудь заинтересует».