hacked by Hmei7 - HELP!

N1ck

N1ck

Active Member
Ето че и мен ме хакнаха. Няколко wp блога на UK хостинг.

Аз ще се оправя лесно и бързо, защото имам архиви.

НО! Въпроса е как ме е хакнал гадината и как да се предпазя?

Има ли експерти които могат да помогнат?

Благодаря!

П.П. Ако ми отворите очите защо съм хакнат и как да се предпазя ще си платя, но мисля, че ще е полезно да се каже публично и да се помогне на всички.
 
  • Like
Реакции: Brad
От: hacked by Hmei7 - HELP!

Как влизаш през FTP, с коя програма? Много често проблема е точно там, на мен също ми се е случвало това. Може и друго да е, но на мен така ми се хакваха сайтове на времето и докато се усетя какво е се чудех какво да направя - оказа се че е от вирус на компютъра ми и от FTP клиента, бях му дал да ми пази паролите. Сега съм с WinScp и никакво помнене на пароли.
 
От: hacked by Hmei7 - HELP!

Ето какво намерих - прясно е от 20 февруари 2012

Според този човек, проблмеа е в хостинга и нищо не може да се направи, освен да се смени хостинга и да си ъпдейтваш плъгните.

Като че ли хакера получава достъп и прецаква много сайтове наред с един замах.

Например, аз имам 5 домейна и той е хакнал 2 от тях. Другите 3 си стоят (за сега)

Ползвам FTP Voyager. Но едва ли това е проблема.
 
От: hacked by Hmei7 - HELP!

Ако си на споделен хостиг е възможно, повечето подобни сгантяги сменят само индекс страницата .... само правят проблеми и се маха за 5 мин, ама докато се усетиш ....
Има няколко прости правила да повишиш сигурността поне аз така правя:
- Използвай лицензирани темплейти или безплатни от сигурни сайтове, не кракнати, хакнати, откраднати и прочие.
- използвай тръстет плъгини
- Използвай различни пароли за различните хостигни - знам, че е най-удобно с една парола, но разберат ли ти я останалите също може да станат жертва.
- Пощенската кутия трябва да е също добре защитена без значение дали е на абв гмайл или собствена. На пощата се съхранява информацията не само за хостинга, но за пейпал и други ...

Повечето можещи хакери, предполагам, че няма да се занимават с малки сайтове, ако не са ги ядосали нещо или на етническа основа. За това горните мерки предполагам, че ще помогнат.

Не са перфектни, може и да има още и ще се радвам ако някой друг колега сподели.
 
От: hacked by Hmei7 - HELP!

за вп улизат през темплейти и плъгини гадините...
 
От: hacked by Hmei7 - HELP!

Ха! Гадината променя фаловете - header.php в активната тема са станали


Код: 
hacked by Hmei7<?php exit;?>
 
разгледай какви папки и файлове имаш в момента, виж какво е променяно последно. възможно е да са ти качили цяла папка с л**на. виж цпу-то дали върти като вентилатор и ако да - разбери от какво е

ъпдейтни всичко
смени паролите на уордпресите
хостинга

и аз ще се повторя ама:

- различни пароли за всичко
- сложни пароли
- всичко трябва да е ъпдейтнато във всеки един момент
- ползвай темплейти или с платен лиценз или от тръстед източници (в общи линии само уордпрес.орг)
- има плъгини за повишаване на секюрити, чекване на теми и т.н. епа ползвай ги
http://wordpress.org/extend/plugins/wp-security-scan/
http://wordpress.org/extend/plugins/theme-check/
http://wordpress.org/extend/plugins/plugin-check/
- използвай плъгини само от тръстед източници или с лиценз
- не пипай из кода на уордпреса освен ако наистина не знаеш какво правиш - някои отварят цели портали с някоя проста заявка
 
От: hacked by Hmei7 - HELP!

Като изключим виросаните нещица ползващите се болшинството (нали е free :0) често самият хостинг бива хакнат. Достатъчна е само една дупка. Единствения публичен демонстративен хак, който досега съм правил, беше да регистрирам два акаунта и от единия да скапя другия. Хакерът може както да ползва и той част от хостинга (за няколко долара), така и просто да е мернал дупка в някой сайт разположен на този хостинг. В повечето случаи обаче хакерите пробиват през самия сайт, който се опитват да хакнат.
От години ползвам dedicated сървър и проблем досега не съм имал. Само жалки опити.

Спасението е в неизползването на неща с неясен произход (софтуер, плъгини, темплейти и т.н.). Ако на един хостинг много често стават хакове, то трябва да смениш хостинга.
 
От: hacked by Hmei7 - HELP!

Благодаря за съветите,

не намирам други променено освен header.php в текущата активна тема, и при това на всички сайтовете, които са в един shared акаунт.

Явно пича е получил достъп до сървъра, но ако е така, защо ще променя само header.php?

ktomov? Какво е твоето мнение? Може ли съвет?

Ще сненям хостинга - тва е ясно,

Бях на eukhost, сега съм на webhosting uk com , кажете някой СВЕСТЕН със cPanel и сървъри в UK
 
От: hacked by Hmei7 - HELP!

N1ck каза:
Ха! Гадината променя фаловете - header.php в активната тема са станали
Код: 
hacked by Hmei7<?php exit;?>
Увеличете...

1) Имаш ли логове кои страници са достъпвани по време на хакването?
1а) Има ли в тия логове файлове, които не са част от нормалната ти инсталация?

Играчка е да се разбере, няма да е много лесно сигурно... въпреки, че може и да е лесно,
тоя хакер е добряк, в смисъл, хаквал е сайтовете на асус, ай би ем и сименс и просто
им е оставял следи да видят, че имат какво да подобрят по сигурността, не им е развалял нищо
и може наистина да научим нещо ако успеем да възстановим действията му.
 
От: От: hacked by Hmei7 - HELP!

Alf каза:
1) Имаш ли логове кои страници са достъпвани по време на хакването?
1а) Има ли в тия логове файлове, които не са част от нормалната ти инсталация?

Играчка е да се разбере, няма да е много лесно сигурно... въпреки, че може и да е лесно,
тоя хакер е добряк, в смисъл, хаквал е сайтовете на асус, ай би ем и сименс и просто
им е оставял следи да видят, че имат какво да подобрят по сигурността, не им е развалял нищо
и може наистина да научим нещо ако успеем да възстановим действията му.
Увеличете...

Ами аз като клиент на shared hosting имам RAW Logs на апачето. Ама често да си призная, не мога да се оправя с тях до такава степен, а и затова отворих темата.

Както казах имам архив и всичко мога да възстановя бързо и лесно, до следващият път.

Идеята тук е наистина да се опитаме да разберем, как тоя пич го прави и как да се защитим.

Чакам съпорта на хостинга да отговори - препдолагам за си заляли от оплаквания. Те трябва да решат проблема, щото е при тях, вярвам, не при мен.

Или някой (може и аз да съм) има шибан сайт през който са ханали сървъра, или сървъра е кофти защитен - то друг вариянт няма.

Ама си мисля - добрият хостинг би трябвало да не може да се хакне, нали? Имам предвид, че зад хостнга седят админи на които само това им е работата. При корпоративните сайтове е по-трудно - те са огромни и имат огромен персонал и е по-трудно, мисля. Или може би греша?

Аз няма VPS точно, защото не мога да се грижа за него - те ти дават роот достъп и се оправяй както можеш.

Аз предпочитам шаред, за да има кой да се грижи за сигурността.

Но, какво мислят експертите?
 
сортираи файловете по дата (разгледай всико от последния ден - включително от под папаките да не са качили още нещо (виж дали темите не ползват timtumb.php / tumb.пhp (най лесно със сърч) иначе гледан напсоелдък продължват да сканират директно директорията за теми за темплейти който се знае че го имат за това (не е нужно да е активна темата може със някоя просто качена тема защото тимтумнб е отделен скрипт) и дава достъп до папките ти ако урдпресите са като адон домейни (подпапки) могат всички да ошляпат...

иначе как хават вскичи сайтове на машина... само теоритично го знам не гарнатирам че съм 100% прав... най бързия php handler е DSO обаче дсо е с права роот не е с права като на конкретния потребител падне ли един сайт добият ли една парола може да хакнат всички на машината защо се ползва дсо ами работят кеширания има малък мемори принт може да качиш повече сайтове на сървара... или не е забранено потребителите да си пишат по директориите...

Възстановяване след хакнат сайт (wordpress и др))
 
Последно редактирано от модератор:
От: hacked by Hmei7 - HELP!

Сигурно ще е на сървърно ниво, тоя хостинг изглежда не го бива. Иначе ако искаш дай да видим лога за деня в който е станал хака.

Между другото, това заслужава отделна тема, но - как решаваш кой е експерт при положение, че не разбираш от материята? Има някои хора, които звучат като експерти, но истината е, че просто имат объркана мисъл, звучаща сложно, но без капка техническа истина в нея и има конкретен пример за това в тоя форум за човек, който си го счел за експерт явно.
 
От: hacked by Hmei7 - HELP!

Той този "Hmei7" известен хакер бил.

"Indonesian hacker Hacker named "Hmei7" previously in news for hacking Microsoft and IBM , yesterday hack and deface 6 domains of Siemens company."

източник
 
От: hacked by Hmei7 - HELP!

Аз също бях поразен от същия мизерник, но слава богу всичко е възстановено и вече работи.
На същия хостинг съм и всички WP сайтове не работеха. Другите акаунти на същия хостинг не са засегнати.
Ако твоите NS са тези ns39.redbackinternet.net, ns40.redbackinternet.net, може да се окаже, че сме на един и същ сървър.
 
Ей го моето мнение - не четете. Писал съм тук за новооткрита дупка в wordpress която масово се ползва в момента
http://www.predpriemach.com/showthread.php?t=30912&p=290421#post290421

@N1ck Отвори блога от подписа си и отиди на адрес wp-admin/install.php за да видиш изненада.
@Brad същото се отнася и за теб. Пробата беше с матраците ...

Резултата и в двата случая You appear to have already installed WordPress. To reinstall please clear your old database tables first.

Не съм сигурен дали са ползвали точно тази дупка, но варианта да е така е повече от 90%.
 
От: hacked by Hmei7 - HELP!

Мерси много, ktomov. Ще прочета внимателно темата и ще послушам съветите ти.

От съпорта отговориха на запитването ми само с това:

"We have checked and it seems to be WP theme which may be exploit and hacker inserted the codes in index files. "
 
От: hacked by Hmei7 - HELP!

За да се проследят действията му са необходими не само Apache логовете, но и тези от SSH (това при споделен хостинг е малко проблемно). Начините да ти редактира този файл са два (поне аз се сещам за толкова) - чрез SSH или FTP. Спомням си наскоро как с недостатъчно ограничен SSH акаунт (мой) се сдобих с акаунт с големи MySQL права. Естествено, не злоупотребих, но ми става смешно как човек не се грижи за собствената си сигурност.
Между другото, хрумна ми нещо. С достъпа, който имаш от хостинга, виждаш ли файлове, които не са свързани с твоя акаунт (това става с излизане в по-горни директории). Пробвай и с Apache права чрез PHP.
Ето ти набързо изфабрикуван код, който ще ти изброява списък с всички файлове/директории намиращи се в посочената директория:
Код: 
<?php
$dir=opendir("/var");
while (false!=($f_name=readdir($dir))){
	if (($f_name!=".")&&($f_name!="..")){
		echo("$f_name\n"); //смени '\n' с '<br />' ако искаш да го гледаш в браузър
	}
}
?>
Домързя ме да го наглася да работи с кликане по линкове, така че ако сам не подобриш скрипта, просто сменяй ръчно пътя дето е посочен на opendir. Не знам на каква дистрибуция са точно и какви настойки имат, но сайтовете пускани от Apache по принцип се намират в подпапка във '/var'. Ако мернеш данни от чужди сайтове, непременно направи report както тук, така и на хостинг доставчика. Същото важи и ако мернеш директории и файлове, които с FTP достъпа си не виждаш. Възможно е този "гений" да има акаунт на този сървър и чрез него чат-пат да пресяга съседите просто за майтап.
Вероятността това да сработи е почти никаква. Това е тест за свръх дебилност все пак.
 
Не че в случая май ще е от полза но аз ползвам това в .haccess на wp-admin

Код: 
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]


RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] 
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] 
RewriteCond %{QUERY_STRING} tag\= [NC,OR] 
RewriteCond %{QUERY_STRING} ftp\:  [NC,OR] 
RewriteCond %{QUERY_STRING} http\:  [NC,OR] 
RewriteCond %{QUERY_STRING} https\:  [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR] 
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cPath=http://(.*)$ [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(execute|exec|sp_executesql|request|select|insert|union|declare|drop|delete|create|alter|update|order|char|set|cast|convert|meta|script|truncate).* [NC] 
RewriteRule ^(.*)$ - [F,L]
 
От: hacked by Hmei7 - HELP!

Горе не съм бил много умен. Вместо да се разкарваш из директориите (не че не е добра идея), за път напиши просто '../' като този скрипт го сложи в най-главната си директория (т.е. до index.php).
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе