Napadení webu + smazaná databáze

necesap · 2012-03-28 10:23:04

Dobrý den,
již druhým dnem se snažím vyřešit problémy na doméně ivao.cz, případně ivao.mzf.cz

Včera docházelo, z mě dosud neznámých důvodů, k přepisování .htaccessu (včetně jeho práv). Do původního htaccessu se dopsala data způsobující redirect kamsi do Ruska a přepsání errordocuments také do ruska. K tomuto jevu došlo na několika dalších doménách, do kterých mám přístup. Připustil jsem tedy, že nějakým způsobem unikla hesla ven. Problém jsem vyřešil změnou hesel a přidáním IP restrikcí FTP účtům, které mají právo k daným doménám a soubory .htaccess opravil všude manuálně. Před provedenými změnami se .htaccess vracel do napadeného tvaru během několika sekund, po změnách již zůstal korektní. Situace se vyřešila.

Nicméně, a to je důvod proč píšu sem, dnes ráno jsem s hrůzou zjistil, že databáze se jménem ivaocz byla smazána. K údržbě databází včera došlo, nicméně úplně jiných a právě tato zůstala nezměněná. Včera jsem PC opouštěl s tím, že vše funguje, jak má, dnes nikoli. Oba výše zmíněné weby hlásí "unable to connect to mysql db", protože tam prostě není. Pokud se přihláším do myadmina, s účtem, ze kterého má přistupovat web, v levém sloupci s databázema není vůbec, ale zhola nic.

V souvislosti s tímto se zde chci zeptat, jakým způsobem mohla být databáze smazána, případně zda nejde o souvislost s plánem migrace databází?
Zároveň se chci zeptat, zda je možné provést obnovení dat ze zálohy? V adminu to totiž nejde, protože tam ta databáze vůbec není uvedená.
Co udělat pro to, aby k podobným situacím nedocházelo i v budoucnu?

Předem děkuji za jakoukoli odpověď

Update 12:07: Je technicky možné, aby při mazání domény došlo ke smazání databáze úplně jiné domény? Protože to tak vypadá. Databáze určená pro smazanou doménu zůstala a zmizela databáze aktivního webu.

admin · 2012-03-28 15:27:10

defaultne je ftp ze zahranici blokovano

db si znovu zalozte a pak by mela byt videt v zalohach

Ruseni domen neni na ruseni db nijak navazane. Jedina moznost jak mohla zmizet je ze nemela dele jak 30 dnu zadny pristup.

necesap · 2012-03-28 17:30:00

Děkuji,
zálohy tam skutečně byly a tedy se podařilo celý web obnovit do původního stavu.

Nicméně mi lehce vrtá hlavou, jak je možné, poškodit .htaccess soubory na několika doménách najednou, přesný popis problému je zde: http://sucuri.net/malware/malware-entry-mwhta7
Zda se jedná pouze o mé zanedbání bezpečnosti ve smyslu jednoduchých hesel, případně nějaký cílený útok. Jsou někde k dispozici logy transakcí na FTP :?:

Ještě jednou děkuji

JF · 2012-03-28 21:08:48

prístupy na FTP sa nelogujú, zrejme slabé heslo, prípadne slabá ochrana PC a nejaký vírus odosiela heslá niekomu kto ich zneužíva

necesap · 2012-03-28 21:56:55

Dobře, díky.

Vzdáleného útočníka jsem se pokusil vyloučit tím, že jsem omezil všem odpovídajícím FTP účtům přístupy na určitou IP. Nepovedlo se, za chvíli to tam bylo zas.

U jednoho z těch dvou účtů (ten druhý byl bezpečně vypnutý úplně), jsem provedl analýzu všech paketů a nic takového, co by mohlo způsobovat přepsání .htaccessů x domén jsem nenašel - což si myslím, že vylučuje problém viru v PC. I přesto došlo k přepsání.

Problém tedy začínám hledat na vyšší úrovni. Přímo v kódu všech webů.. to bude dlouhá noc :oops: .. tak, že php by mohlo být schopno mazat a generovat .htaccess soubory ve své vlastní struktuře. Čímž mi ale nesedí vždy stejný čas úpravy těch souborů.

Inu, je to boj :-)

Ale díky !

JF · 2012-03-28 22:20:49

Potom je dosť možné že na FTP máš nejaký PHP súbor na ktorý niekto v presne stanovenom čase pristupuje a tým prepisuje súbor .htaccess

necesap · 2012-03-28 22:52:30

Ano, nad tím jsem uvažoval a dospěl k názoru, že to také nebude ono.

:idea:
Založil jsem doménu: csa447test.mzf.cz která je na tom samém účtu jako výše uvedené (10 dom). Úplně prázdná, jen index.php s printem textu uvnitř. Během několika málo minut se v ní (a všech dalších) vytvořil .htaccess s redirectem do Rus.

Domnívám se, že není možné aby php soubor z jedné domény ovlivňoval obsah ftp složek jiných domén, byť na stejném účtu. Tedy, že souborem neco.mzf.cz/cokoli.php, nemohu upravit/vytvořit .htaccess od domeny necojineho.mzf.cz i za předpokladu, že oba účty spravuji já jedním účtem. Nebo ano?

Nějaké nápady?

JF · 2012-03-29 04:42:35

pomocou skriptu môžeš z jednej domény zapisovať do druhej, pokiaľ sa domény nachádzajú v jednom konte

necesap · 2012-03-30 11:07:33

Aha, a dá se tomuto (pro mě celkem nežádoucímu) jevu zabránit ?

JF · 2012-03-30 20:26:34

ak nájdeš súbor ktorým sa ti nabúravajú tak áno, zmažeš ho a je to, skús pomeniť heslá do FTP, do administrácie daného CMS atď

necesap · 2012-04-05 21:15:24

Tak škodlivý kód se najít nepodařilo. Je to jako hledat jehlu v kupce sena.
Napadá mě už snad jen jednotlivé domény rozházet do "svých" účtů - tedy je decentralizovat nějak a počkat, na které doméně se problém projeví a tu patřičně ošetřit. :?
Při pokusu o stažení všech dat z FTP (abych je mohl proparsovat na výskyt podezřelých řetězců) připojení každých x-minut padlo, a z už tak zdlouhavého sosání se vyklubala nikdynekončící noční můra.

.htaccessy jsem dočasně "obešel" cronem, který je přepisuje zpět do původního tvaru. :oops:

I přes veškerou snahu byla včera jedna z domén odstavená právě kvůli tomuto problému. Paráda. :cry:

PS: Proč ten cron cronuje jen občas? Pak by možná problém přemlátil dřív, než by ta doména spadla do blokace :?:

JF · 2012-04-06 10:05:33

cron sa spúšťa v tebou určenom intervale, sťahovanie s FTP môžeš urýchliť napr vytvorením si ZIP archívu pomocou skriptu (návod je tu na fóre v patričnej časti)

mistrice · 2012-04-06 14:44:34

Mám stejný problém... dnes se mi začal tvořit soubor .htaccess a v něm nějaké kód na přesměrování do RUS. Ovšem vůbec nevím co tím. Po smazaní změně všech hesel jak do FTP, CMS atd... problém stále přetrvává.

necesap · 2012-04-20 15:45:07

Hurá, aspoň nejsem sám.
Problém s .htaccessy stále řeším externím cronem (protože ten, co nabízí endora dost rád "vynechává" - viz poslední odstavení jedné z domén v důsledku tohoto....) na php, které mi přepisuje php do správného tvaru.

Zdá se, že problém je buď nějaká díra v Joomle, kdesi mezi servery, nebo zde mezi židlí a klávesnicí.

JF · 2012-04-20 17:34:32

Skúste opravenému .htaccessu nastaviť atribúty na 400 - mohlo by pomôcť. Prípadne máte zavírený PC a vírus odosiela vaš login a heslo čo máte uložené vo FTP klientovi niekam do sveta a oni to menia.

Jimmy · 2012-08-26 10:57:49

Máme podobný problém na webu, který s Endorou teda nemá nic společného a vidím to na problém nějakého pluginu v Joomle... A vidím to na problém joomly 1.5 která problémy má, to je známá věc.

Předělání atribut nepomáhá, .htaccess si zase předělá atributy jak chce... Když si do nich napíšu cokoliv, přelinkování na rusko se PŘIDÁ... Příjde mi to už jako boj s větrnými mlýny... Co se týče odesílání hesel... Tam to nevidím moc reálně, heslo mám X let uložené a případný virus by je přes detekci kláves nevyčetlo, snad jen že by odeslal celej win_ftp.ini z Total Commandera:-D Jako fakt nevím no... Už mě to dere, pač Chrome a Firefox hází varování o nebezpečným webu...

JF · 2012-08-26 12:34:49

Odstráňte súbor ktorý to spôsobuje, na tomto fóre to bolo už niekoľkokrát preberané a tiež boli uvedené súbory o ktoré sa jednalo. Následne nezabudnite každý modul, komponent aktualizovať, prípadne si preveriť vydavateľa, alebo stránku s ktorej ste doplnok stiahli či naozaj patrí vydavateľovi. Mne osobne sa to na poslednej aktualizácií Joomly 1.5.26 nestalo a preto netuším kde presne môže byť pes zakopaný

kksmirice · 2012-08-26 12:46:34

Jimmy napsal:

... heslo mám X let uložené a případný virus by je přes detekci kláves nevyčetlo, snad jen že by odeslal celej win_ftp.ini z Total Commandera:-D ...

O úniku hesel z TCMD bylo popsáno také dost článků. Snad poslední verzi se dá trochu věřit. Já osobně hesla k žádnému FTP účtu nemám uložena (pamatuji si je). Navíc je v TCMD poznámka právě u hesla - "Upozornění: Uložení hesla není zabezpečeno".

Co se týče problému přesměrovávání - jak psal JF - mnohokráte probíráno i s uvedením souboru. Počítejte s tím, že daný soubor může měnit název, to že změníte všechna hesla a ponecháte soubor na webu nic nevyřešíte. Je tam a tak nic nebrání jeho spuštění...

Již admin zde také zmiňoval problém s přetěžováním serveru, který způsobila nějaká bezpečnostní díra v systému Joomla! - osobně jsem přesvědčen, že se jedná o doplněk, který nebyl schválen a prověřen.

Na svém webu mám také Joomla! v základní verzi a nic podobné se na mém webu neděje, ale aktualizovat verze by mělo být povinností každého uživatele. Jde především o jeho data!!!

JF · 2012-08-26 15:19:54

Prípadne v TCM je možné zabezpečiť heslá hlavným heslom ktoré bude nutné i tak zadať ale na základe neho je šifrované a dešifrované heslo pre FTP.

#1 2012-03-28 10:23:04

Re: Napadení webu + smazaná databáze

#2 2012-03-28 15:27:10

Re: Napadení webu + smazaná databáze

#3 2012-03-28 17:30:00

Re: Napadení webu + smazaná databáze

#4 2012-03-28 21:08:48

Re: Napadení webu + smazaná databáze

#5 2012-03-28 21:56:55

Re: Napadení webu + smazaná databáze

#6 2012-03-28 22:20:49

Re: Napadení webu + smazaná databáze

#7 2012-03-28 22:52:30

Re: Napadení webu + smazaná databáze

#8 2012-03-29 04:42:35

Re: Napadení webu + smazaná databáze

#9 2012-03-30 11:07:33

Re: Napadení webu + smazaná databáze

#10 2012-03-30 20:26:34

Re: Napadení webu + smazaná databáze

#11 2012-04-05 21:15:24

Re: Napadení webu + smazaná databáze

#12 2012-04-06 10:05:33

Re: Napadení webu + smazaná databáze

#13 2012-04-06 14:44:34

Re: Napadení webu + smazaná databáze

#14 2012-04-20 15:45:07

Re: Napadení webu + smazaná databáze

#15 2012-04-20 17:34:32

Re: Napadení webu + smazaná databáze

#16 2012-08-26 10:57:49

Re: Napadení webu + smazaná databáze

#17 2012-08-26 12:34:49

Re: Napadení webu + smazaná databáze

#18 2012-08-26 12:46:34

Re: Napadení webu + smazaná databáze

#19 2012-08-26 15:19:54

Re: Napadení webu + smazaná databáze

Zápatí