|
|
Страници по тази тема: 1 | 2 | (покажи всички)
|
Тема
|
 Вируси по домейна ми
|
|
| Автор |
croesus (хлевоуст) |
| Публикувано | 05.05.11 01:29 |
|
|
Скоро имах супер неприятна случка. Някакви руснаци (май) са влезли в уебсайта ми и са наслагали скриптове за трафик и реклами. Обадих се на хостинг фирмата, а тя обвини мен за това. Бил съм оставил възможност за remote inclusion, което просто не е вярно. Уебсайта ми съществува от 4 години и съм гледал по логовете какви ли не опити за нелегални влизания без успех. Сега дори следа от такова нещо нямаше. Освен това съм програмист, та не съм съвсем бос да не разбирам как да се пазя от такова нещо.
Като разгледах подробно ftp лога видях обаче нещо много интересно. В определен час някой се е логнал през ftp с моето име е парола и е променил 20тина файла. Няма нито следа от brute force или нещо подобно. Няма XSS, инжекции и подобни. Уебсайта ми е прост php, не ползва никакви популярни фреймуърци и форуми. Могат да се пишат коментари по него, но никой никога не е писал нищо. Никога не съм влизал през ftp или cpanel в уебсайта си, освен от нас, където съм с Fedora 14 и FF. Не съм давал пароли на никого, защото уебсайта ми не представлява интерес за никой.
Искам да попитам можете ли да ми кажете как е успял някой да направи това? Първото, за което се сетих е middleman, но от това, което четох за такива технологии, останах с впечатление, че са много трудни за прилагане, освен това от Русия някой да сканира трафика ми през БТК ми се струва шашаво. Ако има такива възможности защо е избрал невзрачния ми сайт, а не нещо интересно? Другото разбира се е хостинг фирмата да е била поразена от вируси или някой да е изнесъл пароли на дребни сайтове.
Ще съм благодрен ако можете да дадете някаква идея как да се пазя от подобни глупости в бъдеще. Проблемът сега е, че трафикът се срина, защото два дни Гугъл го е листвал в списъка със сайтове с malicious software.
| |
|
Тема
|
Re: Вируси по домейна ми
[re: croesus]
|
|
| Автор |
AliBabach (heavy drinker) |
| Публикувано | 05.05.11 19:05 |
|
|
Най-вероятно имаш вирус или троянец, чиято любима занимавка е да изпраща паролите към сайта на определени ботове, дето пък влизат и заразяват сайтовете, от които пък заразени сайтове се заразяват следващите 'програмисти' (особено ако са с IE) и т.н.т.
/не си първия комуто се е случило, но всички се държат както когато им открият въшки "ау, ама как така, аз се къпя редовно"/
| |
|
|
|
IE не върви върху Линукси, по-горе написах че съм с Fedora. Имам около 30 пароли на ftp-та, които отварям оттук и само едно се оказа заразено.
Сега пак сканирах с clamav всичко и намери само два фишинг мейла в спама на Thunderbird.
Предполагам няма нужда да ти обяснявам, какво и как инсталирам, защото все ще си мислиш, че съм некъпан.
| |
|
|
|
Открих какво е станало. Някой е хакнал сайта на VLC (!) и е пуснал "ъпдейт" на плъгина им за FF. Оттам насетне сигурно са ми взели паролите от FireFtp и явно са хакнали най-лесната. Вируса се конфигурираше от този файл, който вече го няма:
http://193.105.240.93/data/config.txt
На 193.105.240.93 е videolan.org
| |
|
Тема
|
Re: Вируси по домейна ми
[re: croesus]
|
|
| Автор |
AliBabach (heavy drinker) |
| Публикувано | 06.05.11 19:18 |
|
|
Брех, един път и аз да позная
| |
|
|
|
Чудото във VLCто не е вирус, в това е проблема. На кого му трябва да пише вирус ако може директно да влезе в милиони браузъри? Явно е нещо съвсем прясно, защото пуснах части от кода (на това, което беше в сайта ми) в Гугъл и не намери нищо. От две седмици интернета ми беше кошмарен, но като зачистих FF и го инсталирах наново изведнъж тръгна без проблем.
Яд ме е, че забравих да прегледам лога на рутъра да видя ла*ната откъде са дърпали.
Редактирано от croesus на 07.05.11 00:16.
| |
|
Тема
|
Re: Вируси по домейна ми
[re: croesus]
|
|
| Автор |
croesus (хлевоуст) |
| Публикувано | 26.06.11 17:53 |
|
|
Оказа се, че теорията ми е била напълно погрешна. Вината за вирусите е 100% на Superhosting, открих го по чиста случайност.
Преди две години бях правил един уебсайт на един особен клиент, който реши, че сайта трябва да е скрит за парола, за да не го види някой.
Имам предвид, че защитата не беше част от софтуера на сайта, а от cPanel сложихме директно парола на public_html.
Днес клиента реши, че сайта му най-сетне трябва да види бял свят и отидох да му махна паролата, защото той я беше забравил. За тези две години, през които е събирал нафталин, сайта беше набъкал 1000 вируса, включително такъв, който се опитваше да се конфигурира от сайта на VLC. Клиента има една избушена Виста и не знае какво е нито Линукс, нито FF нито VLC. Освен това от есента на 2009 в този уебсайт не е влизал никой. Вината е изцяло в SuperHosting.
Или някой изгонен оттам е изнесъл пароли, или имат някаква брутална дупка в сигурността или е. ли му м. какво, но виновни са само те.
| |
|
|
|
А дали няма вариант някой да се е добрал до паролата за хостинга? На клиента била ли е дадена тази парола? Така може да се влиза през cpanel и това няма да се отчете в логовете, като влизане в сайта. Не че защитавам Суперхостинг, но като си помисля колко много клиенти ми искат паролата за хостингите си. Оттам най-лесно може да попадне в недобронамерени ръце (Клиентите много небрежно се отнасят към такъв тип данни). Иначе го има и варианта да е някой бивш служител на SuperHosting.
Какъв става един мръсен капиталист след като се изкъпе? Чист комунист.
| |
|
|
|
Паролата само клиента си я знаеше. Аз му качих сайта преди две години и той си го заключи.
| |
|
Тема
|
Re: Вируси по домейна ми
[re: croesus]
|
|
| Автор |
psy__ () |
| Публикувано | 09.07.11 09:49 |
|
|
Представяш ли си, как някой служител на Суперхостинг е искал да хакне точно твоя сайт и този на клиента ти.
Не знам как е станал пробива при теб, но това че програмираш и знаеш как да се предпазваш от remote inclusion, не означава, че не допускаш грешки. И тези дето пишат WP, Joomla, E107, Drupal .... etc, също са програмисти и на теория знаят как да се предпазят, но това не означава, че винаги успяват.
Относно промяната на файлове през ФТП, това е масов проблем и на камари народ разни вируси им крадат записаните в ФТП клиента паролите и след това се ползват от ботове за набутване на frames, качване на фишинг сайтове и за каквото още се сетиш.
За това е добра практика, да си сменяш паролата поне веднъж на месец, защото събраните пароли обикновено не се ползват веднага, а като се събере накуп много инфо и има реален шанс, докато дойде време да използват твоята парола, ти вече да си я сменил.
Другият вариант е, да се използват уникално "трудни пароли" от вида на:
123456
qwerasdf
123!@#
и т.н. които хората си мислят за страшно трудни и неотгатваеми.
Можеш да си сигурен, че от Суперхостинг са виждали десетки, ако не стотици пъти повече хакнати сайтове от колкото ти си виждал и звучи несериозно да ги изкарваш тях виновни за твой грешки или вируси или каквото и да е друго.
Силно вярвам, че си имат по-важна работа от това да ти хакват точно твоят единствен и уникален сайт :)
| |
|
Страници по тази тема: 1 | 2 | (покажи всички)
| 
|
|
