Взлом сайтов на CMS


Участились случаи взлома web-сайтов на всех серверах, предпочтительно CMS Joomla и Wordpress, в этой статье мы хотим рассказать как и для чего это делается, и какие меры можно предпринять для защиты.

Если сайт был взломан, мало просто удалить загруженный PHP Shell скрипт, или PHP скрипт рассылающий спам, нужно найти причину взлома сайта, чаще всего это уязвимость в самой CMS, или же в плагине(модуле) к ней, либо украденный пароль от FTP аккаунта.
Процесс взлома сайтов происходит специальными ботнетами, сейчас в логах практически любого сайта, даже только что зарегистрированного домена можно увидеть что то вроде этого:

"GET /dbadmin/scripts/setup.php HTTP/1.1" 404 2445 "-" "ZmEu"
"GET /myadmin/scripts/setup.php HTTP/1.1" 404 2445 "-" "ZmEu"
"GET /mysql-admin/scripts/setup.php HTTP/1.1" 404 2449 "-" "ZmEu"

Боты используют известные эксплоиты к популярным CMS(Чаще всего Joomla и Wordpress), взламывают сайты, устанавливают на них свои скрипты и дальше могут использовать взломанный сайт в любых целях. Троянские программы крадут пароли от Вашего FTP, подключаются к аккаунту и заражают Ваши сайты вирусным кодом, который в свою очередь заражает посетителей сайтов, после чего круг повторяется.
Что обычно происходит с сайтом после взлома:

  • Дефейс сайта — главная страница сайта заменяется на другую, обычно с размещением Турецкого флага и устрашающей музыки на фоне, или же простые угрозы. Содержимое сайта обычно не удаляют.
  • Заражение страниц сайта вредоносным кодом. Обычно вирусы прописывают в конец файлов и выглядит это примерно так:
  • <script type="text/javascript" src="<?php eval(base64_decode("DjsdgY3b... 
  • или так
  • <script src="http://*******.dyndns.info/rss.js"></script>
  • Рассылка большого количества спама с Вашего аккаунта
  • Редирект для мобильных устройств при посещении Вашего сайта, прописывают в .htaccess
  • 
    RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR] 
    RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp" [NC]
    RewriteRule (.*) http://ссылка_для_перенаправления [L]
  • Загрузка PHP Shell и выполнение любых вышеперечисленных действий, и даже попытки взлома сервера провайдера.
После взлома практически всегда остаются файлы, которые использовались злоумышленниками, это PHP Shell, или же скрипт, для рассылки спама.

Каким образом скрипты попадают в аккаунт? Обычно это происходит по следующему сценарию:
Через какую-либо уязвимость в скрипте загружают PHP Shell, или получают через уязвимость в CMS доступ к админ-панели самой CMS и загружают PHP Shell через встроенный менеджер файлов.
Затем через PHP Shell могут сделать все что им нужно.
Пример работы PHP Shell:

Изнутри PHP Shell обычно выглядит так:

<?php
$auth_pass = "xxxxxxxxx";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x..... много-много кода в base64


Наш сайт взломали и загрузили вредоносное ПО, приступим к поиску.
Как правило, загруженные скрипты называются довольно необычно и выделяются среди стандартных скриптов внутри CMS, например, для сайта с CMS Joomla будет необычно увидеть в корне файл wp-config.php, некоторые взломщики используют более интересные названия файлов, но их так же обычно не составляет труда вычислить:
  • a210891d.php
  • sd3434.php.2323
  • default.php
Файлы могут находиться в любой папке сайта, но чаще всего — корневая директория сайта и временные папки(/tmp, /uploads, /cache)
Так же обязательно нужно осмотреть .htaccess, индексный файл, и файлы конфигурации скрипта, примеры того, что обычно туда добавляют, или как может выглядеть Web PHP Shell указано выше.

Что бы избежать подобных неприятностей, мы рекомендуем следующее:
  • Своевременное обновление Вашей CMS и модулей к ней
  • Выставление корректных прав на папки и файлы
  • Не сохранять пароли от админки и от FTP в браузерах и FTP-клиентах
  • Загрузка CMS с официальных сайтов(некоторые создатели готовых сборок CMS с модулями любят внедрять в код шеллы и прочие гадости).

Рекомендации по очистке сайта:
  • Закройте доступ к сайту для посетителей
  • Найдите причину взлома
  • Смените пароль от FTP
  • Восстановите сайт из резервной копии, это поможет сделать откат всех изменений на сайте
  • Обновите CMS и модули
  • Проверьте права на папки и файлы


Если Вы нашли подозрительные файлы, или подозрительный код в некоторых файлах сайта в своем аккаунте, и не можете самостоятельно понять их происхождение, Вы можете обратиться в нашу службу поддержки, и попросить посмотреть эти файлы.
  • 0

Комментарии (1)

0
хорошая новость, спасибо за инфу, пригодится однозначно +
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.