Старый 24.06.2013, 22:02 #1 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,200
Записей в дневнике: 17
Сказал(а) спасибо: 2,047
Поблагодарили 2,658 раз(а) в 1,924 сообщениях
Репутация: 2668
Veter Veter вне форума
Администратор
Дополнительная информация
Восклицание

Взлом vBulletin через htaccess


Еще одна тема обзора уязвимостей, с которой столкнулся совсем недавно. Это взлом воблы и перенаправление трафика через .htaccess.

Первый признак, что с вашим форумом что-то не так - это исчезновение трафика с Яндекса.

Чтобы кто ни говорил, а именно Яндекс реагирует самый первый, если ваш форум заболел.

Итак, мы имеем пациента vBulletin 3.8.5 с установленным и пропатченным vbSEO. Форум хостится на шаред хостинге в Германии, и Яндекс обнаружил на форуме вредоносный код.

Интересный момент:
Сегодня проверка Яндекса вредоносный код показывает, завтра видит форум чистым. И так несколько раз подряд.

Что же на самом деле случилось с форумом, и почему он "угрожает безопасности вашего компьютера"? Именно такая надпись появляется, если просто забить URL в поисковую строку Яндекса.

Беглый обзор файлов в файловой системе по последним изменениям не дал ничего интересного. Все изменения были произведены достаточно давно: в феврале, а то еще и позже, но просмотр .htaccess в корневой папке показал, что туда злоумышленник прописал следующие строки:

Код:

Блок отключен
То есть в результате мы имеем следующее. При посещении вашего форума с компьютера не происходит абсолютно ничего. Как только пользователь переходит с мобильного устройства, его с вашего форума перекидывает на те пару сайтов, что мы видим в коде выше.


Теперь немного отвлечемся и я вкратце расскажу зачем это кому-то нужно.

Собственно сам ваш форум никому не нужен. Злоумышленнику важен трафик вашего форума, и если он достаточно большой, и если ваш форум посещают часто с мобильных устройств, то для них это золотое дно. Пользователь, зайдя на ваш форум со смартфона, вместо общения с вашими пользователями попадает на левый сайт, который предлагает, например обновить флэш плеер, или что-то еще. После обновления у вас на мобильном устройстве появляется вирус, который списывает деньги со счета. В одних случаях это немного, в других порядка 490 руб и выше. 490 руб это средняя планка.

В некоторых случаях сам взлом происходит через уязвимости самого движка, хаков, модулей и тд. Как мы помним истории периодически потрясают Рунет. Например, пациент мог быть вполне взломан во время той истории Найдена уязвимость vbSEO , и как выяснилось пропатчен форум был не до конца. Но, существует и иной вариант.

Многие форумы хостятся на шаред хостинге. То есть получается что на одном сервере уютно живет множество сайтов. 200, 300 и более. Все сайты разные, работают на самых разных движках, защищенных и нет, и если хостер не очень сильно заботится о безопасности, то через уязвимость на одном из них злоумышленник получает доступ к phpMyAdmin.
Лично у меня были несколько случаев взлома сайтов через Директ Админ.

Как лечить?
  • Проверить наличие изменений в файловой системе по дате. Если изменения есть, но вы ничего не меняли, заменить файлы из дистрибутива.
  • Проверить исходный код страницы форума на наличие сторонних скриптов, или непонятного кода.
  • В данном случае проверить ВСЕ файлы .htaccess форума. Как правило они изменяются все.
  • Сменить пароли на FTF, пароли базы данных, пароли панели управления хостинга, админские пароли.

Возможно сменить хостинг.
Veter вне форума   Ответить с цитированиемОтветить с цитированием
5 пользователя(ей) сказали cпасибо:
Helenka (25.06.2013), lukamal (25.06.2013), Sayf (25.06.2013), Ночная странница (25.08.2013), Прометей (24.06.2013)

Старый 24.06.2013, 23:43 #2 (Ссылка)
Аватар для Прометей
Вебмастер
 
Регистрация: 15.08.2012
Адрес: Планета Земля
Моя смс: vBulletin 3.8.4 PL2
Возраст: 56
Сообщений: 888
Сказал(а) спасибо: 564
Поблагодарили 210 раз(а) в 147 сообщениях
Репутация: 230
Прометей Прометей вне форума
Вебмастер
Дополнительная информация
По умолчанию

Спасибо, хорошая статья. Сам столкнулся с этим полтора года тому назад. Было всё так, как Вы пишите: человек пытался зайти на форум с мобильного устройства и его просили обновить флеш плеер. Скачав файл js и запустив его он потерял 500 руб. При анализе были обнаружены изменения в файлах хотгагес.
Прометей вне форума   Ответить с цитированиемОтветить с цитированием
Ответ
v.partners

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Раскрутка через доски объявлений carluchano SEO и поисковое продвижение 11 27.12.2013 18:08
Перенаправление .htaccess Pumpkin Вопросы от новичков 2 27.07.2012 16:36
Перенаправления через .htaccess batman vBulletin 12 17.04.2012 21:33
Как сделать авторизацию через Open ID? Сергей . Сайтостроение 1 08.04.2011 18:46


Текущее время: 20:49. Часовой пояс GMT +3.

Powered by vBulletin®
Copyright ©2000 - 2018, WMboard.
Перевод: zCarot
 

Форум вебмастеров

Здесь делают сайты, учатся на них зарабатывать. Ты новичёк, и ничего не понимаешь в создании сайтов и в интернет заработке? Не знаешь ответа на вопрос по сайтостроению? Мучают вопросы сео оптимизации?

Не беда, присоединяйся к сообществу вебмастеров, и зарабатывай вместе с нами!