Анализ кода показал, что сайт был скомпрометирован через FTP,и шаблоны были аккуратно модифицированы хидден дивом с кодом сапы (без всяких папок с доступом апача на запись и т.п.)
Поскольку, по некоторым внутренним причинам, увод ФТП пароля с рабочего места разработчиков был маловероятен(исключен), по гениальной идее @antyrat были наобум проверены первые пару десятков сайтов
"hosted on the same IP"
В первой двадцатке было обнаружено число потенциальных "коллег" с аналогичным способом маскировки сапо ссылок.
http://my.uablog.info/
http://www.cerkva.info/
http://www.fainer.com.ua/
http://www.brand4kids.com.ua/
http://vashamebel.net/
http://www.dr-kostiuk.net.ua/
http://maximym.kh.ua/
http://lvivbud.com.ua/
http://www.oxorona.com/
значительно превышающее среднее разумное число взломанных сайпов на сотню.
Во всех случаях сапо код был замаскирован [div style="overflow:hidden;width:100%;height:10px"]
По гарячим следам был написан комплейнт в сапу:
Добрый день.
На сайтах наших клиентов был размещен несанционированный Sape кодhttp://www.zzz.org/
http://yyy.com.ua/md5 аккаунта:
define('_SAPE_USER', '%MD5%');Кроме того, путем исследования других сайтов на том же сервере хостера - были обнаружены "коллеги"
http://my.uablog.info/
http://www.cerkva.info/
http://www.fainer.com.ua/
http://www.brand4kids.com.ua/
http://vashamebel.net/
http://www.dr-kostiuk.net.ua/
http://maximym.kh.ua/
http://lvivbud.com.ua/Во всех случаях код с линками сапы был замаскирован дивом
[div style="overflow:hidden;width:100%;height:10px"]По нашим сайтам мы бы хотели заблокировать умного товарища, и провести его по процедуре комплейнта Вашей системы. Также, если подтвердится, что сайты (все или часть) выше привязаны к тому же аккаунту Сейп, пожалуйста сообщите - это будет означать что возможно скомпрометирован хостинг на котором размещены сайты наших клиентов.
С уважением,
Вячеслав %SURNAME%,
%должность%
саппорт сапы радует адекватностью, был получен ответ
Здравствуйте, подтвердите владение сайтами. Тогда мы сможем перенести сайт на ваш аккаунт или исключить его из системы навсегда, так же сможем сообщить почту и кошелек злоумышленника. К сожалению дать ответа по другим сайтам мы вам не можем, только самим владельцам сайтов.Подтвердив права, получили засвеченный в интернете емейл мадам (типаж абсолютно не "умного сапоинжектора" ) + ВМ кошелек. По паспорту - полугодичной давности. Аккаунт умника заблокировали за нарушение правил системы и мошенничество. Тот факт, что после блокировки аккаунта на части сайтов выше в течение часа попропадали блоки сапы, оставив только див маскировки - можно считать косвенным подтверждением, что возможно они висели на этом же аккаунте.На всякий случай списался с несколькими вебстудиями, попавшими в выборку, чтобы сравнить сигнатуру сапоюзера в коде. Ждем ответа.
Итого, на руках набор следующих фактов
а) различные сайты, разработчики ЦМС
б) схожий способ инъекции
в) коррекция шаблонов сайта путем авторизированного захода через фтп с данными клиента.
г) _возможно_ один аккаунт сейпы который контролировал все площадки
Конечно можно все свалить на гениальных хакеров, но принцип скальпеля оккама подсказывает совсем другую версию.
UPD: 29/04/2010 Моя версия совсем не в том что "хостер У или его сотрудники размещают код", как в комменте 1. Возможные варианты
а) в експлойте рабочих машин неизвестным для антивируса трояном. (Против этого играет разделенность проектов во времени, разработчиках, и соотв. сохраненном доступе в фтп клиентах)
б) в получении доступа третьим лицом к хостинг машине
в) в получении доступа третьим лицом к некоторым логинам клиентов хостинг машины
+ смущает привязанность множественности случаев к одному боксу.
Мораль: не забывайте периодически проверять свои сайты на саппорте.
Кредиты статьи:
SEO Олегу - за правильную интерпретацию данных гугл аналитики
AntyRat и Мыколе - за локализацию проблемы, и гениальную идею взять выборку who is hosted on the same ip
Саппорту SAPE - за адекватность.
3 комментария:
не доказуємо!
Я теж в тій звязці...
Теж поставили код
Теж забрав сайти в sape до себе
Те, що це робив славнозвісний U - важко доказати...
Майже нереально
Маю кодID користувача в системі SAPE який це робив (впевнений, що аналогычний до Вашого)
83a36af32dc1a2385a5988e8381da2af
І шо?
Є ще звісно варіанти з троянами у системі - але у такому випадку ареал сайтів з сейпою був значно ширшим, а не в межах одного визначеного боксу.
Одному з проектів на тому ж хостінгу з подібною проблемою сапорт взагалі надав відповідь
Assigned To: %USERNAME%
[April 27, 2010]
Answer: Hello,
Поломали не нас а тех кому хватило ума создавать папки с правами 777
%USERNAME%,
%DEPUTY%
це мені дали таку відповідь 8)))
у нас просто спільні знайомі з Вами
Отправить комментарий