Хакерами убито несколько сайтов на е107, с версией ядра ниже 0.7.21 (обновлено)

Сегодня утром на почту пришли сообщения о блокировке нескольких хостингов с сайтами на е107, созданными вашим покорным слугой, по причине орудования на оных вредоносного скрипта. Сайты, которые делал уже очень давно, людям, которые давно уже про них забыли и не обновляют их, но всё равно не приятно...


Вот письмо, полученное мной от хостера накануне:

Мы установили факт работы вредоносного программного обеспечения с Вашей услуги
хостинга ХХХХХ.

Мы предполагаем, что Ваша услуга хостинга была взломана.

В настоящее время Ваша услуга хостинга заблокирована в соответствии с
регламентом оказания услуги хостинга.

Вам предоставлен доступ к услуге хостинга по протоколу FTP, для подключения
используйте IP-адрес сервера 1.2.3.4.
Пароли доступа изменены и высланы Вам ранее на контактный адрес по договору.

Вам следует:
- проверить свой компьютер на наличие вирусов;
- проверить содержимое сайта и удалить вредоносный код;
- проверить скрипты сайта на наличие уязвимостей и устранить их;
- обновить систему управления сайтом до актуальной версии;
- на тарифных планах 201 и 301 вместо доступа по протоколу FTP в дальнейшем
использовать протокол SFTP.

Для работы по протоколу SFTP можно использовать программу WinSCP, скачать её
можно на странице http://winscp.net/eng/download.php . Настройки описаны на
странице http://hosting.nic.ru/support/sftp/index.shtml .

Обращаем Ваше внимание, что при работе с услугой хостинга крайне нежелательно
сохранять в программах-клиентах пароли доступа > в целях исключения их кражи.

Просим Вас предоставить отчет о проделанной работе по устранению последствий и
причин взлома.

Предупреждаем Вас, что в повторном случае нарушения регламента услуги хостинга
действие услуги может быть полностью прекращено.
В этом случае для данного домена услуга хостинга и почты предоставляться более
не будет.


Дополнительная информация:

PID  TT  STAT      TIME COMMAND
13533  ??  S      0:00.03 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
13711  ??  S      0:00.09 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
46951  ??  Ss     0:01.48 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
46954  ??  S      0:00.00 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
57986  ??  S      0:07.99 [bash] (perl5.8.8)
58040  ??  S      0:07.83 [eth0] (perl5.8.8)
61449  ??  S      0:08.17 /sbin/syslogd (perl5.8.8)
28185  p1  S      0:00.03 /bin/bash
28199  p1  R+     0:00.00 ps axf


Будьте внимательны!

Обновите версию ядра вашей cms e107, не ждите до тех пор пока вам об этом сообщат)

Основные уязвимые места:

Файлик contact.php - огромная дыра, удалите его немедленно, если версия CMS e107 ниже 0.7.21. Используйте в качестве файла контактов любую страничку. А лучше немедленно обновитесь, если Вас еще не взломали.

Проверьте все файлы, что кажутся Вам посторонними:

1. Те файлы, дата создания которых сильно отличается от даты создания всех остальных файлов.
2. Проверьте на наличие посторонних файлов таких как: class.php, find.sh, xmlrpc.php - это лишь часть файлов, которые могут быть загружены подобным образом.
3. Перепроверьте права на все каталоги. Дополнительно читай тут!.
4. Создайте в файле .htaccess переадресацию с contact.php на news.php или index.php

redirect /contact.php /news.php


Дополнение от разработчиков:

1. Запускайте веб-сервер под юзером apache.apache
2. Сделайте владельцем всех исполняемых файлов вашего сайта "all executive core files (*.php, *.sc, *.bb and so on)" другому пользователю, например е107 с правами 644
3. Поставьте права на все папки 755
4. Сделайте владельцем всех директорий юзера e107
5. Сделайте владельцем директорий типа /e107_files/public/avatars итд... пользователя apache.apache (для того, чтобы апач/пхп мог писать в эти папки)
6. Напишите в конфиге апача правила запрета исполнения php-файлов из папок типа /e107_files/public/avatars....


Будьте внимательны! Это не угрозы, а реальная возможность потерять свой сайт, пусть не на всегда, но все же. Не дайте хакерам потешить своё самолюбие, следите за гигиеной ваших серверов и хостингов и к Вам потянутся.

Аминь!

Ниже приведены обрывки содержания нескольких вредоносных скриптов...

Продолжить чтение

Комментарии


BIZON сказал:
Вот и до одного моего знакомого добрались хакеры.. Описал проблему на форуме.

Вы должны войти, чтобы отправлять комментарии на этот сайт - пожалуйста, либо войдите, либо - если вы еще не зарегистрированы - [щелкните] здесь , чтобы зарегистрироваться