Сегодня хотел зайти на сайт с мероприятия и снова попал на вирус! :(

Ура! Заработало!)

Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.

Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я. :) :thumbup:

Сорри, если обсуждалось, но почему не перенести форум на какую-то более адекватную площадку? Серьезно, когда роман-кабриолет решил опозориться еще и на соседних форумах, наш сразу лег от наплыва желающих узнать начало истории, хотя уверен, что их там было не так много.
У меня есть опыт в данных вопросах — могу помочь )

Троян в теме "Willkommen" "Всех приветствую!"

Спасибо Кэп. Схеме с отжимом вап трафика через .htaccess уже года два. Я в этой теме писал это полгода назад уже - бестолку :).
Первый доступ получают с логов кейлогерров или через уязвимости паблик движков. Тут мне кажется второе.

Обясни мне какой смысл закрывать фтп/ssh если там веб шелл?

Еще раз, при желании это все находится, чиститься и закрывается за 20-30 минут. Это уровень "у меня зимние каникулы, я зарегался на ачате и стал хакером!". Почему администрация форума этого не может сделать уже полгода - большая загадка. Но дело хозяйское.

Он не связан с темой.

А почему антивирусник ругается когда я хочу открыть страничку в этой теме?

Я помню, коллега. Я пишу доступным языком, чтобы люди поняли. Мы же не на хабрахабре. Фишка в веб шеле и в том как заражались файлы.

Сначала через FTP логи найти веб шел, потом закрыть доступ FTP. Заодно поменять порт SSH.

Если полгода, то это уже не загадка.

Я с завидным постоянством транслирую информацию о проблеме администратору, а он хостингу. Видимо, не все так просто, раз не могут починить до конца. Хотя уже есть предложения предоставить понимающему человеку возможности реализовать свои умения за 20-30 минут. Кроме этого, объясните мне, пожалуйста, почему проблема не возникает на множестве компьютеров, оборудованных одним и тем же видно усом и Касперским?

Когда посетитель открывает сайт, сервер всегда видит, с какого устройства его открыли, вернее, с какого браузера. Эта возможность предусмотрена на сервере чтобы сайты можно было оптимизировать под разные категории посетителей. А вирус меняет настройку сервера таким образом, что когда тот видит посетителя на мобильнике (iphone, android), он вместо нормального сайта перенаправляет его на левый сайт, содержащий вирус. Эта настройка, как уже писал Maximus, находится в файле .htaccess. Каким образом хакеры снова модифицируют этот файл после того как админ его восстанавливает -- вот что нужно понять. В моём примере это был веб шелл - т.е., грубо говоря, страница на сайте, которую, зная адрес, может открыть любой желающий из любой точки интернета и творить с файлами на сервере всё что ему хочется.

На компах вирус вообще не должен быть виден, я не знаю на что у людей срабатывает Касперский. У меня на компе ни разу вообще не ругался. Его нельзя обнаружить, открыв сайт на компе, в принципе. Возможно, просто у кого-то браузер так настроен, что сервер думает, что это мобильный клиент.

Не-не, в блеклисты попадает видимо.

Могу посоветовать просто хостинг площадку. Со своей стороны готов стукнуть владельцу/админу с просьбой уделить особое внимание вирусу и проблемам безопасности при переезде.
Локация - свой ДЦ в Праге.

Да ну, ради этой ерунды менять хостинг... Главное, что всё можно прекрасно найти в логах, почему никто этим не займётся, не понятно.

Проблемой занимаемся, 2 специалиста работают, отслеживают логи

Опять вирус был прошлой ночью.

эм...
Я правильно понимаю, что:
1. .htaccess переписывается изредка, в произвольное время
2. всем лениво искать проблему в хостинге, потому что он дремуч, запущен и никому не нужен?

Ну поставьте тогда переписывать .htaccess по крону на нужный - не? Зачем каждый раз админам руками восстанавливать - пусть восстанавливается периодически само, нагрузка от этого мизерная ;)
С правами можно попробовать поиграться, в конце концов. Если нормально нет желания искать проблему - ну столько ж подпорок можно придумать!

Я даже предлагать не стал такое решение, это кривизна называется. Там где-то лежит веб-шел через который всё это и делается. Почему по логам не могут проследить это, для меня загадка.

А может там апач под рутом работает.

я не спорю, что это кривизна. Но лучше такая кривизна, чем пол года наступать на одни и те же грабли, потому что лень/не достаточно квалификации искать причину ;)

На мой вкус, по крону переписывать файл - куда более разумный костыль, чем просить всех пользователей изменять user agent ;)

Я думаю, вирусняк найдёт и исходный htaccess и его тоже перезапишет. Что тогда, ещё одну задачу cron создавать для перезаписи исходного htacсess -- и так до бесконечности? :)

Такой умный вирусняк? Исходный можно генерировать. Но я практически уверена, что вирусняк достаточно туп, чтобы искать .htaccess по названию.
Можно заливать с другого, явно не зараженного, хоста - по крону же. Вариантов море, а у меня хорошая фантазия. :D

Прочитав,В очередной раз убедился что профи быть во всем нереально;) как в анекдоте-мама сказала в бидоне....

я что-то видимо не понимаю... чем мой вариант плох? При отсутствии у советующего доступа к серверу и фидбека от тех, у кого доступ есть.

Можно арендовать ещё один сервер и оттуда раз в сутки полностью перезаливать весь сайт. :)

В примере, который случился у моих друзей, .htaccess всех сайтов были отредактированы вручную! Т.е. это не вирус, это взлом. Ломанули ftp аккаунт, залили веб-шелл, исправили файлы htaccess во всех папках, где были действующие сайты.

Пока на сервере будет лежать веб шелл, ничего хорошего не будет.

Быдлокодинг наше все! :D

К тому что в компах я полный профан....:) читаю не понимаю

Проблема лежит не в техническом аспекте, а в человеческом факторе. Потому мы можем тут долго блистать изысканностью решений, но это все бессмысленно.

Mex3 предлагает запустить на сервере программу, которая будет с заданным интервалом восстанавливать повреждённые вирусом файлы. Т.е. просто тупо перезаписывать их из резервной копии, вместо того чтобы найти каким образом хакер туда залезает.

p.s. Там возможно вообще не было изначально .htaccess, т.е. достаточно просто его удалять.

А вы когда нибудь поражали неподвижную цель на расстоянии 1.5 км и более? С подвижными целями еще забавней;) арифметика почти одинакова))))

Я не верю в существование реального человека, который с завидным упорством будет вручную править .htaccess за кроном, который, скажем, раз в час будет перезаливать нормальный файл.

Это что-то вроде social engineering - есть ленивые админы сервера. Ленивые, но не шибко умные кулхацкеры решили этим воспользоваться - мозгов для полной автоматизации и захвата мира у них не хватило, они "на глаз" оценили потенциальную прибыль с ресурса, оценили трудозатраты по своей ручной работе. Им совершенно неважно, что там с этим конкретным ресурсом на самом деле. Скорее всего - он не первый и он не последний. Когда поток прибыли уменьшается - они "пробегаются ручками" по списку серверов. Он не достаточно большой и не так часто это нужно делать, чтоб им городить какую-то разумную автоматизацию.
Так вот, к чему это я.

Мы видим, что не очень аккуратными админами воспользовались не очень аккуратные злоумышленники, вероятнее всего. Будет там что-то по крону переписываться или нет - они, вероятнее всего, и не заметят даже - если они после ручного исправления файла тут же не активизировались раньше. Точно также продолжат изредка заходить и править руками - тогда, когда будет плановый обход.
Хоть и выглядит это решение криво - но оно весьма эффективно. Злоумышленники не замечают подвоха, вероятнее всего, наши админы спят. Идиллия, практически. В минусе - общая кривизна решения и некоторая погрешность из-за частоты обновления.

Если внимательно подумать, то выкорчевать веб-шелл - тоже не панацея. Он же как-то оказался на этом сервера. Почему они не могут повторить этот трюк снова? В этом случае нашим ленивым админам надо будет поднапрячься сильнее. Во-первых, найти сам веб-шелл. Но не забываем, что наши злоумышленники, скорее всего, действовали по какой-то кальке - и у них есть последовательность действий от и до, которую они в любой момент могут воспроизвести вручную. Нет никакого смысла выкорчевывать только веб-шелл. Если ftp аккаунт был взломан - то пока не будет сделано никаких особых действий по аккаунту - его с тем же успехом смогут точно также взламывать. Поэтому подчистить недостаточно, нужно вычищать всю цепочку действий, которая привела к данному исходу.

Я, конечно, всецело за второй вариант. Но есть 2 нюанса:
1. уже прошло пол года, а воз и ныне там
2. я не понимаю, почему пользователи мобильных устройств должны есть кактус, пока ленивые админы решают задачу о сферических конях в вакууме. Почему бы не использовать подпорку как временное решение, если задачу не получается решить сразу? (А пол года - это очень сильно не сразу, имхо).

Я предлагаю тупо сделать пользователям удобно, пока админы ждут правильного расположения звезд на небе для идейно правильного решения проблемы.

Ну я ещё могу рута попросить, но кто ж мне его тут даст? :D

Рута попросить...это кто вообще или что??????
Почему нельзя просто вкусно поужинать?!!!!!!

это способ порабощения окружающего мира мной :D Может я хочу свои вирусы с этого форума рассылать, с блекджеком?

можно и вкусно поужинать, одно другому не мешает.

А можно этого парня,Рута? Не брать на ужин? Пожалста!!! мне с ним поговорить точно не о чем....

Не, нельзя. Это часть меня. А меня или целиком, или никак :D

mex3, да я не против. Но это всё равно что подливать каждый день в мотор масло вместо того чтобы устранить течь.

Шел скорее всего был залит через брут-форсеный ftp аккаунт. Т.е. надо:

1. Проверить список ftp аккаунтов, удалить лишние, сменить пароли на dhjkDFsh5hjk546Djkh456 вместо qwerty12345.

2. Найти веб шелл и удалить его.

3. ВСЁ.

Ведь наличие на сервере веб шела означает также и полный доступ к БД.

Тогда целиком;)

Согласись, что если нет денег на переборку мотора - или например она даже уже запланирована, но через месяц, допустим - то имеет смысл каждый день подливать масло в мотор, а не ездить, пока не загорится лампочка о низком уровне, потом ещё сколько-то с горящей лампочкой, потом доливать и так до бесконечности..?

Я думаю, надо не только ftp-аккаунты проверять, например. Надо в целом устранять бардак в системе, который там, возможно, имеет место быть.

Я бы не дал mex3 рута, это точно.