взлом нескольких сайтов

началось все с того, что недельку назад админка начала глючить на сайте biathlon.kz.
решил посмотреть, что же за хня такая твориться с админкой. тем боее, что писало про трабл с файлом config. зашел по фтп, открыл файло и обалдел. там лежат такой вот код:
и появилась папка ajax в папке includes. попробовал тупо удалить папку — не удаляется. попробовал перезалить файл конфигов — тоже мимо кассы. вообщем, откатил сайт назад. пока вроде ничего нет. версия 1.6. теперь вот буду искать, кто обновит до 1.7 или последующих версий.
Помимо BIATHLON.kz взломаны еще и следующие сайты (просто тупо посмотрел ссылки в коде):
megaspravka.ru/core/jquery/index.html
www.kurort.su/ajax/index.html
holux.ru/ajax/index.html
www.weekend.dn.ua/includes/ajax/index.html
itmaster.org.ua/ajax/index.html
www.dvlp.ru/kernel/index.html
www.koshki.info/ajax/index.html
если порыться — наверное и еще есть. пишу не для того, чтобы создать панику или кого-то в чем-то обвинить. просто товарисчи админы этих сайтов — обратите внимание.

фига се.

что тут можно сказать....
виноваты сами 99%!
У людей, которые не пренебрегают базовыми правилами безопасности и обновляются от релиза к релизу таких проблем нет.

категорически согласный! сами мы виноватыи. кстати, кто сможет шаблон сайта biathlon.kz перенатянуть с 1.6 на 1.7? (не спец я в дивах).

вот интересное сегодня нашел в папке images\blackholes
зашел туда через браузер, и меня приветствовала команда хакеров
Hacked by bL4cK HoleS team

вопрос, может это связанно с уязвимостью CKeditor?
помимо сегодняшнего взлома, было тоже самое позавчера, только висело это на главной странице
после того я поменял пароли, поставил 20 символов, далее проверил компьютер на трояны\вирусы, в фтп более через менеджеры не входил, заливал файлы через www.net2ftp.com/ который поддерживает наш хостинг

какие действия предпринять, чтобы этого не происходило?
может кто сталкивался с этим?

почитайте тут базовые правила безопасности. Стояли бы нормальные права, ничего бы не было, но при условии что вас похерили через веб.
ну и гуглите на эту тему.

Своя история… вирусы лезли на сайт… личили всем миром, а оказалось все дело в недобросовесном хостинге, вот. К размышлению, всякое бывает.

почитайте тут базовые правила безопасности.

не могли бы вы разъяснить пункт №5

Разумеется, что владельцем ваших файлов должен быть пользователь какой угодно, но НО НЕ тот от которого запускается веб сервер.

не совсем понял о чем речь…

PrazdNik, каждая программа запускается от какого-либо пользователя, в случае с web сервером как правило от пользователя www-data (это для unix like, если веб сервер на win там иначе). Так вот владельцем ваших файлов и директорий не должен быть пользователь www-data, иначе атакующий получив шел на вашем сервере через веб сможет писать/изменять/удалять ваши файлы. А если соответственно владелец ваших файлов vasya и права доступа 644 на файлы, то атакующие сделать ничего не сможет, кроме как записать в директории с правами 777, но у нас же там присутствует файл .htaccess)), который запрещает выполнение php скриптов. Так же существуют много проектов, увеличивающих безопасность php — suphp, Suhosin и т.п.
Я продемонстрировал просто пример, разумеется ситуация может быть другая, главное принцип. А так же не стоит забывать про другие методы проникновения — фтп ssh и т.п. Но и тут спасет грамотно настроенный iptables (файрвол), а своевременно обновленная ОС так же путь к спокойной безаварийной жизни.

спасибо, вроде понял) один момент… как все таки назначается владелец файлов?

как все таки назначается владелец файлов?

chown vasya:vasya (имя_пользователя: имя_группы)

ага, спасибо

PrazdNik, каждая программа запускается от какого-либо пользователя, в случае с web сервером как правило от пользователя www-data (это для unix like, если веб сервер на win там иначе).

а у меня как раз файл конфиг стоит от ввв-дата. и я его не могу никак изменить или перезалить по фтп.

а у меня как раз файл конфиг стоит от ввв-дата. и я его не могу никак изменить или перезалить по фтп.

смените владельца файла по фтп, если позволяют настройки фтп или по ssh на хост и там уже chown

Способы попадания вирусов на Ваш сайт.

От вирусов на сайтах могут пострадать даже опытные веб-мастера. Каким образом? Известно, что большое количество вирусов распространяется посредством размещения кода на зараженных сайтах. Вы используете надежный браузер, однако другие программы (например, программы регистрации в каталогах) могут использовать ядро Internet Explorer для своей работы, что представляет значительную угрозу безопасности.
Даже если не хранить пароли на диске и в настройках FTP-клиента, всегда остается несколько способов их утечки. Например — трояны-кейлоггеры, которые считывают пароль с клавиатуры при его вводе. Второй — снифферы, прослушивающие Вашу локальную сеть на предмет передачи пароля (ведь FTP пароли не шифруются, передаваясь в открытом виде). Достаточно иметь в своей локальной сети один зараженный компьютер, и доступ к сайту по FTP может стать достоянием общественности. Кроме того, утечка FTP-пароля может произойти по вине (в том числе и неосознанной) третьих лиц, которые получали пароль для проведения работ на сайте и подобных действий.
Существует два основных способа попадания вирусов на Ваш сайт:

• Получение непосредственного доступа к веб-серверу, используя уязвимости в серверных программах, некорректную настройку служб сервера или уязвимости скриптов сайта. Обладая полным доступом к серверу (либо части сервера в случае виртуального хостинга) злоумышленник размещает на сайтах вредоносный код, который пытается заразить всех посетителей сайта. Известны случаи массового взлома хостинг-площадок с целью размещения вирусов на сайтах клиентов.

• Второй способ попадания вируса на сайт — воровство паролей от ftp, ssh, mysql и внедрение вируса на сайт извне, используя данные пароли. Чаще всего подобным воровством занимаются вирусы, расположенные на посещаемых пользователем сайтах. Используя уязвимости в браузерах (чаще всего Internet Explorer) вирусы проникают на компьютер посетителя, воруют пароли для доступа к сайту и размещают на сайте вирус, который будет заражать очередных пользователей, продолжая таким образом цепочку распространения.
Подводя итог, можно говорить о том, что даже отказ от ftp и использование безопасных протоколов передачи данных (ssh), использование безопасных браузеров (Mozilla, Firefox) не дает полной уверенности, что на Вашем сайте никогда не окажутся вирусы.

Что делать, если на Вашем сайте обнаружен вирус

• При заходе на сайт антивирусная программа сообщает об опасности;
• пользователи сайта жалуются на некорректную работу или вирусы;
• при заходе на сайт наблюдаются JS-ошибки, редиректы, подгружаются посторонние ресурсы, в общем — любое нестандартное поведение сайта;
• в исходном коде наблюдаются посторонние включения либо модификации существующих;
• браузер или поисковая система препятствуют заходу на сайт, предупреждая об опасности;
• сайт потерял позиции в поисковых системах.

1. Прежде всего необходимо убедиться, что Ваш компьютер не заражен вирусом, используйте для этого, к примеру, бесплатные утилиты CureIt, AVZ или Clam. Необходимо провести полную проверку своего компьютера на вирусы, иначе любые дальнейшие действия могут быть бессмысленными.
2. Далее, используя Firefox или Opera, в настройках своего хостинга измените пароли для доступа к FTP, ssh, MySQL (возможно, для этого придется обратиться в техподдержку). В настоящее время для большинства известных вирусов достаточно изменения пароля на FTP. Изменение пароля необходимо, поскольку «зная» пароли доступа, вирусы могут повторно проникнуть на сайт.
3. После этого необходимо удалить код вируса из скриптов сайта (или базы данных). Код вируса может выглядеть как не имеющий отношения к вашему сайту iframe (элементы, загружающие посторонние адреса, обычно расположены близко к концу страницы ) или подозрительный Javascript (содержит eval и набор «бессмысленных» символов или чисел — %0a%76%61%72%20%57%64%68%3d%27%64%65%39%33%36%66 или 121,101,101,104,97,97,46,114). В особо сложных случаях авторы вирусов более изобретательны. После удаления вредоносных кодов необходимо убедиться в их отсутствии на всех страницах сайта (используя Firefox или Opera с отключенным JavaScript).

Более подробнее? Можете посмотреть hacker-pro.net/showthread.php?t=22397 (скопируйте ссылку и вставьте в адресную строку Вашего браузера)

Предупреждение: Моё личное мнение в данном вопросе не всегда может совпадать с содержанием приведённой информации.