28 апреля 2010

Рабочее: sap ы, хостинги и прочее

Началось все прозаично: по наводке нашего SEO специалиста были обнаружены переходы с sape.ru на сайт одного из наших клиентов, размещенных на хостинге U.
Анализ кода показал, что сайт был скомпрометирован через FTP,и шаблоны были аккуратно модифицированы хидден дивом с кодом сапы (без всяких папок с доступом апача на запись и т.п.)
Поскольку, по некоторым внутренним причинам, увод ФТП пароля с рабочего места разработчиков был маловероятен(исключен), по гениальной идее @antyrat были наобум проверены первые пару десятков сайтов
"hosted on the same IP"

В первой двадцатке было обнаружено число потенциальных "коллег" с аналогичным способом маскировки сапо ссылок.

http://my.uablog.info/
http://www.cerkva.info/
http://www.fainer.com.ua/
http://www.brand4kids.com.ua/
http://vashamebel.net/
http://www.dr-kostiuk.net.ua/
http://maximym.kh.ua/
http://lvivbud.com.ua/
http://www.oxorona.com/

значительно превышающее среднее разумное число взломанных сайпов на сотню.
Во всех случаях сапо код был замаскирован [div style="overflow:hidden;width:100%;height:10px"]

По гарячим следам был написан комплейнт в сапу:

Добрый день.
На сайтах наших клиентов был размещен несанционированный Sape код

http://www.zzz.org/
http://yyy.com.ua/

md5 аккаунта:
define('_SAPE_USER', '%MD5%');

Кроме того, путем исследования других сайтов на том же сервере хостера - были обнаружены "коллеги"

http://my.uablog.info/
http://www.cerkva.info/
http://www.fainer.com.ua/
http://www.brand4kids.com.ua/
http://vashamebel.net/
http://www.dr-kostiuk.net.ua/
http://maximym.kh.ua/
http://lvivbud.com.ua/

Во всех случаях код с линками сапы был замаскирован дивом
[div style="overflow:hidden;width:100%;height:10px"]

По нашим сайтам мы бы хотели заблокировать умного товарища, и провести его по процедуре комплейнта Вашей системы. Также, если подтвердится, что сайты (все или часть) выше привязаны к тому же аккаунту Сейп, пожалуйста сообщите - это будет означать что возможно скомпрометирован хостинг на котором размещены сайты наших клиентов.

С уважением,
Вячеслав %SURNAME%,
%должность%


саппорт сапы радует адекватностью, был получен ответ

Здравствуйте, подтвердите владение сайтами. Тогда мы сможем перенести сайт на ваш аккаунт или исключить его из системы навсегда, так же сможем сообщить почту и кошелек злоумышленника. К сожалению дать ответа по другим сайтам мы вам не можем, только самим владельцам сайтов.
Подтвердив права, получили засвеченный в интернете емейл мадам (типаж абсолютно не "умного сапоинжектора" ) + ВМ кошелек. По паспорту - полугодичной давности. Аккаунт умника заблокировали за нарушение правил системы и мошенничество. Тот факт, что после блокировки аккаунта на части сайтов выше в течение часа попропадали блоки сапы, оставив только див маскировки - можно считать косвенным подтверждением, что возможно они висели на этом же аккаунте.На всякий случай списался с несколькими вебстудиями, попавшими в выборку, чтобы сравнить сигнатуру сапоюзера в коде. Ждем ответа.

Итого, на руках набор следующих фактов
а) различные сайты, разработчики ЦМС
б) схожий способ инъекции
в) коррекция шаблонов сайта путем авторизированного захода через фтп с данными клиента.
г) _возможно_ один аккаунт сейпы который контролировал все площадки

Конечно можно все свалить на гениальных хакеров, но принцип скальпеля оккама подсказывает совсем другую версию.

UPD: 29/04/2010 Моя версия совсем не в том что "хостер У или его сотрудники размещают код", как в комменте 1. Возможные варианты
а) в експлойте рабочих машин неизвестным для антивируса трояном. (Против этого играет разделенность проектов во времени, разработчиках, и соотв. сохраненном доступе в фтп клиентах)
б) в получении доступа третьим лицом к хостинг машине
в) в получении доступа третьим лицом к некоторым логинам клиентов хостинг машины

+ смущает привязанность множественности случаев к одному боксу.

Мораль: не забывайте периодически проверять свои сайты на саппорте.

Кредиты статьи:
SEO Олегу - за правильную интерпретацию данных гугл аналитики
AntyRat и Мыколе - за локализацию проблемы, и гениальную идею взять выборку who is hosted on the same ip
Саппорту SAPE - за адекватность.

3 комментария:

podarok комментирует...

не доказуємо!

Я теж в тій звязці...
Теж поставили код

Теж забрав сайти в sape до себе

Те, що це робив славнозвісний U - важко доказати...
Майже нереально

Маю кодID користувача в системі SAPE який це робив (впевнений, що аналогычний до Вашого)

83a36af32dc1a2385a5988e8381da2af

І шо?

Vyacheslav комментирует...

Є ще звісно варіанти з троянами у системі - але у такому випадку ареал сайтів з сейпою був значно ширшим, а не в межах одного визначеного боксу.

Одному з проектів на тому ж хостінгу з подібною проблемою сапорт взагалі надав відповідь


Assigned To: %USERNAME%
[April 27, 2010]

Answer: Hello,

Поломали не нас а тех кому хватило ума создавать папки с правами 777

%USERNAME%,
%DEPUTY%

podarok комментирует...

це мені дали таку відповідь 8)))

у нас просто спільні знайомі з Вами

Архив блога

What to do?

Problem:
you have site designed in a dark theme, saying dark background, white font.
By default google toolbar autocomplete cracks html for inputs or selects containg "email" "name" "address" and other buzzwords and changes background to yellow. As a result when visitor fills form, he enters text as white on yellow and can not easy validate his input
What to do?

Таги

Followers

item http://www.voronenko.com/2010/04/sap.html