Вам нужно написать коллективную заявку сразу руководству хостинга hc Ru - Веб-строительство

Взломали сайты на Джумле

Dram · 2010-12-26T17:06:59.0000000Z

У меня 10 сайтов на Джумле, 2 из которых на Джумле 1,0,15 На сервере стоит фаервол и доступ по фтп, ssh есть только с двух ip Тем не менее сегодня на сайтах заметил такой код: </body> <script type="text/javascript" src="http://sell4game.ru/game.js"></script></html> Методом тыка нашел что на сайте под Джумлой 1.0.15 был изменен файл /includes/joomla.php но кусок вредоносного кода в нем я так и не нашел. Сравнил файл на сервере и файл из архива с чистой Джумлой, они отличались небольшим кодом: вот это было в нормальном файле function setPageTitle( $title=null ) { if (@$GLOBALS['mosConfig_pagetitles']) { $title = trim( htmlspecialchars( $title ) ); $title = stripslashes($title); $this->_head['title'] = $title ? $GLOBALS['mosConfig_sitename'] . ' - '. $title : $GLOBALS['mosConfig_sitename']; } } а это в измененном function setPageTitle( $title=null , $pageparams=null ) { if (@$GLOBALS['mosConfig_pagetitles']) { $title = trim( strip_tags( $title ) ); $tseparator = @$GLOBALS['mosConfig_tseparator']? $GLOBALS['mosConfig_tseparator'] : ' - '; if ( $pageparams != null ) { $pageownname = trim( htmlspecialchars( $pageparams->get('page_name') ) ); $this->_head['title'] = $pageparams->get('no_site_name') ? ( $pageownname ? $pageownname : ( $title ? $title : $GLOBALS['mosConfig_sitename'] )) : ( @$GLOBALS['mosConfig_pagetitles_first'] ? (( $pageownname ? $pageownname : $title ) . $tseparator . $GLOBALS['mosConfig_sitename']) : ( $GLOBALS['mosConfig_sitename']. $tseparator . ( $pageownname ? $pageownname : $title ))); } else { $pageownname = null; $this->_head['title'] = $title ? $title . $tseparator . $GLOBALS['mosConfig_sitename'] : $GLOBALS['mosConfig_sitename']; } } } Что тут криминального я так и не понял, но файл заменил и фрейм пропал. На сайтах под Джумлой 1.5.22 тот же фрейм появляется не на всех страницах. Распаковка чистой Джумлы поверх файлов проблему не убрала. Код шаблона чистый вроде.... Поиск по слову sell4game или sell по всем файлам сайта ничего не дал, уже и мыслей нет где искать этот код. Есть мысли у кого нить, где искать заразу?

Z1

0

ZOT321

26 декабря 2010, 23:20

#11

господа у меня vps хостинг там же, то же самое и у меня

я предлагаю: написать коллективную заявку сразу руководству хостинга hc.ru

такого допускать нельзя, сайты лежали минимум 1.5 часа

я считаю, что этот "сюрприз" был подложен на файлом уровне

и может быть даже в заявке попросить некую компенсацию, за столь вопиющие проблемы с безопасностью

как вы смотрите на моё предложение?

Google выплатит компенсацию всем, Google AdSense провёл массовое У тулбара Google обнаружена

A

51

alivar

27 декабря 2010, 04:07

#12

Есть такое ощущение, и стойкое, что сюрприз пришел с физического сервера.

А то что недавно все VPS лежали с 14:00 до 17:00 - и ничего. Компенсации не дали. Хотя лежали интернет магазины, шли новогодние продажи...

Я пока жду что ответит суппорт на то, что я вчера вечером написал.

OnkelHost.ru - Быстрый и Улучшение с 1 марта? Сайт вылетел из индекса

D

1114

Dram

27 декабря 2010, 04:33

#13

Вот получил ответ:

Здравствуйте.

По данному факту будет проведена дополнительная проверка.
Данный модуль не является стандартным. Был добавлен злоумышленниками, которые
получили доступ к серверу.
Сайты в данный момент работают.

С нашей стороны мы рекомендуем регулярно обновлять программное обеспечение на
VPS, особенно учитывая, что у Вас доступен root-доступ.
Обновить систему можно соединившись с хостингом по ssh под пользователем root
и выполнив команды apt-get update(проверить обновления), apt-get upgrade.
Также стоит отметить, что обновление ISPmanager не является обновлением всей
системы.

С уважением,
Прокудин Евгений
Служба технической поддержки,
Хостинг-Центр
тел.: +7 (495) 666-27-40
Факс: +7 (495) 514-09-57
support@hc.ru
http://hc.ru

Dram добавил 27.12.2010 в 07:34

ZOT321:

как вы смотрите на моё предложение?

Полностью согласен, руководство там адекватное, я уже пару раз жаловался, один раз даже получил месяц ВДС бесплатно. Адрес куда нужно писать boss@hc.ru

Я подпишусь....

Яндекс теперь показывает в Потеряно нечто...Где искать? icquins.net - аукцион, старт

A

51

alivar

27 декабря 2010, 05:40

#14

Как они здорово предлагают обновиться... А если стоит убунта? :) у них репозитарий весьма старый используется. Там новых заплаток нет. А скакать на новый репозитарий - может все закончится неработающим сервером - уже проходили.

Кстати на той VPS, где был взлом, стоял Debian, и все было установлено вначале этого декабря - врядли с тех пор что то поменялось. В общем я подожду официального ответа. Если че, напишем Боссу :-D

WordPress хочет помочь сайтам Разработчики WordPress принудительно обновили Яндекс.Вебмастер обновил раздел с

[Удален]

27 декабря 2010, 09:39

#15

ХЦ это рассадник вирусов. Постоянно сайты на нём заражаются вирусами. На Сёрче уже тема об этом есть, много жалоб на них. Все основные сайты давно от них перенёс и не жалею. И ваша тема очередное доказательство , им бы лишь бы спихнуть всё на клиента.

Российские пользователи Facebook массово Пользователи Bing больше других GoDaddy оповестил клиентов о

224

impossible

27 декабря 2010, 18:38

#16

и у меня эта зараза образовалась, народ кто поможет избавиться? Поддержка тупит, уже несколько часов жду... Тоже ХЦ будь он не ладен

Z1

0

ZOT321

27 декабря 2010, 21:58

#17

Dram:
Вот получил ответ:

Dram добавил 27.12.2010 в 07:34

Полностью согласен, руководство там адекватное, я уже пару раз жаловался, один раз даже получил месяц ВДС бесплатно. Адрес куда нужно писать boss@hc.ru

Я подпишусь....

Отлично, у меня уже есть единомышленники и я действительно рад слышать, что руководству не все-равно, т.к. это основополагающий фактор.

Предлагаю следующий текст письма:

========================================================================

Уважаемое руководство hc.ru, пишут вам следующие ваши клиенты:

<Я думаю, что достаточно перечислить номера договоров на VPS хостинг>

25 декабря 2010 года с определенным количеством VPS-серверов, располагающихся на вашем хостинге произошли не приятные инциденты, а именно:

Внедрение вредоносного модуля в VPS сервера.

На наш взгляд произошло внедрение модуля непосредственно с хостовой машины или машин, на которых работают наши сервера. Внедрение производилось на файлом уровне с хостовой машины. Наши знания позволяют нам с высокой долей вероятности констатировать этот факт. В следствии этого мы понесли ощутимые материальные потери, упущена прибыль, репутации нанесен ущерб.

Поскольку данное пришествие является из ряда вон выходящим, просим:

1) Дать развернутый ответ по этому инциденту.

2) Рассмотреть вопрос компенсации наших потерь.

Проблемы есть у всех, но не все готовы их решать. Нам, администраторам VPS серверов очень важно, оперативное решение проблем и понимание, что отношение к клиенту не наплевательское.

=================================

Кого устраивает текст письма и кто готов подписываться, прошу писать мне на e-mail:

badhc@sigir.ru, письмо будет отправлено 29-го числа. Кто не успеет извините.

Пишут только те, кто получил проблемы, начиная с 25-го числа.

ZOT321 добавил 28.12.2010 в 01:04

alivar:
Как они здорово предлагают обновиться... А если стоит убунта? :) у них репозитарий весьма старый используется. Там новых заплаток нет. А скакать на новый репозитарий - может все закончится неработающим сервером - уже проходили.
Кстати на той VPS, где был взлом, стоял Debian, и все было установлено вначале этого декабря - врядли с тех пор что то поменялось. В общем я подожду официального ответа. Если че, напишем Боссу :-D

у меня стоит генту

отключил их репозиторий и залил с иннета все что хотел

как специалист в области *nix технологий могу сказать, что проблема не в удаленном взломе

следов вмешательства нет, зато аккуратно подправлены файлы, к которым доступ только у рута :)

ZOT321 добавил 28.12.2010 в 01:12

impossible:
и у меня эта зараза образовалась, народ кто поможет избавиться? Поддержка тупит, уже несколько часов жду... Тоже ХЦ будь он не ладен

В моем случае, я просто отключил модуль mod_log.so в файлах конфигурации apache.

Самый простой метод - это через поиск mc в шелле пустить поиск mod_log.so в контенте файла в директории /etc. Закомментировать этот модуль и перезапустить apache.

Это проканает при условии, что вредоносный файл имеет то же имя и файлы конфигурации апача находятся в /etc

«Играем в доктора»: неправильное Яндекс.Поиск о безопасности использования Сергей Рыжиков о новой

R

0

radi

28 декабря 2010, 07:12

#18

Огромное спасибо всем в этой теме. Поддержка не чесалась сутки, в итоге вчера я не выдержал и сам всё удалил. А теперь эти ушлепки прислали письмо, в котором нет даже элементарно извинений.

Здравствуйте.

Вредоносный контент с Вашего VPS был удалён. В настоящее время отдел
системного администрирования работает над определением механизма взлома.
Предположительно, существует уязвимость в неком системном программном
обеспечении устаревшей версии на Вашем VPS (например apache, phpmyadmin).

у меня нет слов.

ZOT321 пишу в почту..

Яндекс удалил из Вебмастера Как менеджерам партнерских программ В Яндекс.Почте изменился внешний

Z1

0

ZOT321

28 декабря 2010, 08:02

#19

radi:
Огромное спасибо всем в этой теме. Поддержка не чесалась сутки, в итоге вчера я не выдержал и сам всё удалил. А теперь эти ушлепки прислали письмо, в котором нет даже элементарно извинений.

у меня нет слов.

ZOT321 пишу в почту..

Тут я могу указать на размытость формулировки проблемы. Эта валидно для обычного пользователя, но у меня, как у профессионала, эта формулировка вызывает улыбку.

Значит по поводу системного программного обеспечения. Определение системного программного обеспечения:

Систе́мное програ́ммное обеспече́ние — это комплекс программ, которые обеспечивают эффективное управление компонентами вычислительной системы, такими как процессор, оперативная память, каналы ввода-вывода, сетевое оборудование, выступая как «межслойный интерфейс» с одной стороны которого аппаратура, а с другой приложения пользователя. В отличие от прикладного программного обеспечения, системное не решает конкретные прикладные задачи, а лишь обеспечивает работу других программ, управляет аппаратными ресурсами вычислительной системы и т.д.

А сейчас мои почтенные читатели будут немного удивлены, узнав, что системное программное обеспечение администратор VPS сервера не может изменить, потому что на VPS сервере, этим программным обеспечением управляет администратор хостовой машины, т.е. служба технической поддержки HC. Например вы не можете перекомпилировать ядро на вашем VPS, вы не можете изменить оперативку и её объемы, ну и т.д. Тут мы сталкиваемся с тем, что поддержка пробует переложить ответственность на клиента. Этого допускать нельзя, с такими темпами клиент будет виноват, зато остальные, кто реально виноват в проблеме - будут белыми и пушистыми. :)

А по поводу апача и пхпадмина...

Ну не знаю прямо. Могу сказать точно, что пхпадмином отредактировать файл, у которого есть права на редактирование только у рута - весьма затруднительно и практически не реализуется.

Кстати пхпадмин уж точно не относится к системному программному обеспечению :)

Может поддержка плохо училась в школе?!

Как говорил Киркоров:

"Не люблю непрофессионалов, непрофессионалам тут делать нечего"

Итак на текущий момент получено уже два письма! От Dram и Радиста.

Активнее товарищи, получим, как минимум нормальный ответ хоть раз.

Стартап разработал новую бесплатную Как выбрать хостинг: часто Hoster.ru присоединился к тестированию

A

51

alivar

28 декабря 2010, 09:45

#20

Пхпадмин я отметаю(откуда ему столько прав?). Взлом через апач? Простите, на всей папке и на модулях стоит 644, если не ошибаюсь, владелец root (точно не помню какие права все были, но 100% не было прав на запись у группы и others). Чтобы апач был запущен из-под root надо быть тем еще оригиналом.

Вывод, файл поправлен процессом/человеком обладающим правами root, либо с физического сервера. Файл mod_log.so имел принадлежал root:root, но при этом ему было присвоено в правах разрешение на запуск(755 по-моему стояло).

Что ответила вчера поддержка после письма на boss@hc.ru:

Здравствуйте.

Данный взлом, вероятно, произошел через уязвимость в каком-либо установленном
ПО.
Причины взлома устанавливаются нашим департаментом системного
администрирования. На данный момент, последствия взлома устранены Вами
самостоятельно, по всей видимости.

После решения проблемы мы Вас обязательно уведомим в рамках текущей заявки:
201012271000XX25

Приносим извинения за длительное решение проблемы.

С уважением,
Шелехов Николай
Отдел контроля и качества
Хостинг-Центр
тел.: +7 (495) 666-27-40
Факс: +7 (495) 514-09-57
monitoring@hc.ru
http://hc.ru

Не устанавливаются плагины Wordpress centos 7 + nginx Несколько вопросов по уязвимостям

Google: E-E-A-T не является фактором ранжирования

Все что нужно знать о DDоS-атаках грамотному менеджеру

Взломали сайты на Джумле