Подвергались ли ваши ресурсы взлому?

Достаточно актуальная тема в последнее время, постоянно вижу топики с сообщениями о различных взломах. Интересно выяснить масштаб охвата среди вебмастеров.

Итак, опрос звучит так - "Подвергались ли ваши ресурсы взлому?"

Варианты ответов подразумевают некоторую шкалу по градациям:

- Да, ломали много раз.
- Да, ломали несколько раз.
- Да, ломали однажды.
- Нет, не ломали.

Интересно так же послушать советы от вебмастеров по общим правилам защиты от взломов, которые мы можем оформить в памятку на будущее.

Самый первый совет добавлю от себя - где возможно, защищайте админку для доступа к своему скрипту чего-либо по своему ИП адресу, помимо использования логина и пароля для авторизации. Это же относится и к доступу по ftp.

Последний раз редактировалось: Desperate Andy (13/08/08 в 01:16), всего редактировалось 1 раз

Было, было дело... чтоб у них от сладкого анус слипся

Насчет блока по ИПу полностью согласен! Это самое наипервейшее что нужно делать. Причем насколько я понимаю ссх-доступ вообще блочится на уровне хостера, еще до самого сервера. Сильно не разбираюсь в тонкостях.

Как вариант защиты можно админить на одной машине а ботить на другой )

соответственно на админской машине не должно быть не почты не ФТПи нечего.

+1 за ИП

ломали несколько раз..
Первый раз вирусы были на моем компьютере, залили на все фтп

ну и один фрихост спонсоровский ломали несколько раз.. считаю что проблема не у меня..т.к. другие мои фтп не тронуты

убрала из тотал коммандера пароли на фтп и завела доступ по ip к одному из фтп, завела бы и в остальных, но на виртуалах это к сожалению не везде возможно

Пытались ддосить (один щегол московский через немецкий прокси), потом прислал письмо с требованием выплатить 10000 руб. За день разобрались.

animal писал:

Пытались ддосить (один щегол московский через немецкий прокси)

эмм... он что, с одной машины ДДОСил?

arachnO писал:

эмм... он что, с одной машины ДДОСил? :x

"Пытались"
:)))

Не с одной. Удалось понять, кто. Инет маленький, однако.

Вообще наиболее популярных способов взлома всего два:
1. Твой десктоп троянится, туда засылается шпион, который пиздит все пароли и регулярно высылает их налево. При этом никто конкретно тебе насолить не пытается, просто сканируют Сеть на наиболее известные дырки в софте. А потом пароли на твои фтп продают на кардерских форумах. Их покупают, залазят а фтп, вешаюь кучу ифреймов, если повезет. Если не повезет, делают деструктивные действия.

2. В твоем сервере находится дырка. В основном это происходит из-за установленных устаревших версий Open Source софта - wordpress, всякие там CMS, phpmyadmin не закрытый, awstats (особо популярен), openads ,phpadsnew и т.д. Только зазевалсяуспеваешь зазеваться и подержать устаревшую версию у себя на хосте - лови ремотшелл.

У меня способом 2 на моей памяти было 3 взлома. Что может сделать взломшик, найдя дырку в открытых WEB-скриптах?

а) Поменять содержимое некоторых файлов, которые доступны на запись с правами 666, 777.
б) Залить новые файлы в папки с правами 777. У меня раз туда залили целый фишинг сайт
в) Проспамить, используя дырки в софте.
г) залить т.н. remote script shell. Это обычно пхпшня лабудень, которая через веб позволяет выполнять любые SHELL команды от юзера вебсервера. Тут тоже мало чего приятного. Если ты дырку и закроешь позже, то у взломщика все равно будет ремот шелл на твоем серваке.

Оградиться от этого популярнейшего способа взлома можно. Дважды подумайте, прежде чем устанавливать индийские Open Source Web наработки. Не ставьте бета версии. Если вы считаете, что следить за свежестью установленной версии вам будет лень - ждите трояна. Иначе обновляйтесь почаще.

Разумеется, можно применить на стороне конфигурации веб сервера некоторые мероприятия по безопасности: отключить опасные функции пхп - exec, system, popen, pathrough - через них все и лезут. Настроить сейф мод, обязательно open_basedir. Если есть возможность использовать параноидальный вариант установки апача, если ресурс будет популярным, вообще советую придумать chroot для него.

Но наиболее злой способ взлома - это доставка на твой сервачог такой хреновины как RootKit. Пролезает через критические уязвимости рутовых сетевых служб. Отсюда следствие - не устанавливайте себе на сервак малоизвестный опенсорс софт сомнительных версий. Вы или ваш админ должны точно знать сколько рутовых сетевых служб запущено на сервере и какая из них слушает какой порт.

Один мой знакомый как то раз позволил хостеру поставить бекап-софт Symatec NetBackup. Это рутовая сетевая служба, как оказалось имеет ряд критических уязвимостей, да еще ее поставили на внешний интерфейс. Туда пролез RootKit. А руткит это пиздец. Эта поебень встраивается везде в системе - в мажорные файлы типа ifconfig, top, ps, cat, прописывается в модули ядра, прописывается в RC скрипты, короче она создает целую прослойку между системой и рутом и там пребывает взломщик, имея БОЛЬШИЕ права чем системный администратор.

Разумеется, взломщик имеет права рута. И RootKit абсолютно скрывает от сисадмина следы пребывания взломщика вплоть до выборочной чистки логов. Обнаружить эту штуку очень трудно. Лечится полной переустановкой системы.

Однажды сломали все мои ресы сразу. Я подхватил трояна ,который спи*дил все фтп пароли и засунул на все паги до которых дотянулся свой код.
Лечил так: нашел и убил трояна на компе ,поменял все фтп пароли ,почистил все паги на сайтах от левого кода.

Еще была попытка сломать один мой сайт через sql инъекцию. Стырили админский пасс ,но он был в md5 и разбрутить не смогли.
Я поставил версию скрипта с защитой от кавычки ну и пасс естественно поменял - больше года уже всё спокойно.

Wicher писал:

засунул на все паги до которых дотянулся свой код

в этом случае юниксовая приблуда sed просто не заменима

Еще один случай вспомнил. Поставил себе на домен банерокрутилку phpadsnew, Добавил пачку банеров и забил болт - пусть себе вертятся.

Когда где то спустя полгода, сервер потух... Я стучусь к хостеру, а он мне: ты типа спамер ебаный, иди нах отсюда. Я ему, ты че типа совсем превед? Он говорит, вот у тебя такой то домен, на него идет спам, более того, с твоего сервера идет спам.

Оказалось, я не следил за свежестью phpadsnew и его ломанули. Выложили целую копию банковского сайта какого то, позакидывали удочки, проспамили (через мой же сервер) и сидят фишат - только знают что свежие дампы собирают бля.

Ну я это казино-рояль быстро прикрыл, объяснил хостеру, взаимно извинились, заодно снес нахрен весь Open Source (ну кроме системного) с сервера

Потом еще когда был жив Xpowerlinks, на нем стоял целый рассадник ОС: phpbb, phpfaq, phphelpdesk и еще какая то PHP-поебень. Стоило мне отвлечься от проекта на месяц-другой, как весь этот софт один за другим сначала дефейснули (заменили морды на "Hacked by MoNsTrOpiDARR"), потом начали развлекаться с полученым небольшим доступом к бд. Конечно как только увидел, все снес к едреней фене.

Когда я пришел в Империю АЕ, их доставали эти троянские охотники за паролями. Особенно меня заебал один кекс. Видать он все таки где то выудил копию /etc/passwd и где то ее часть подобрал.

Но это хакер был спокойный. Он жил на фтп очень тихо и никому не мешал. Спокойно там чето компилял, собирал, тестил. Использовал фтп-путсышки всегда. Хуй знает, я не нашел в его действиях ничего вредоносного. Но глаза сука мазолил.

Только вычищу его барахло с тазика, через пару дней запускаю сканилку, он уже на других акках болтается. А акков там были сотни, если не тысячи. И менять все западло.

Уже доходило до того, что я ему не менял пароли на скомпрометированные акки, а просто оставлял там текстовый файл "ИДИ НАХУЙ ОТСЮДА, ЗАЕБАЛ ЖЕ". По фтп логам смотрел, читааает Но мне он ниче не писал )

Короче меня заебло это "Ну-погоди", поебался, порылся и сделал всем виртуальные фтп акки с индивидуальным принудительным ограничением по айпи. Даже если этот кекс знал все пароли, это ему с тех пор не помогло в общем.

еще ломали statpress - плагин статистики WP,
тут на форуме писали, что все плагины статистик дырявые..но вроде можно поправить код и ситуация улучшится

может кто знает что править? или хотя бы в сторону какой уязвимости копать..

Держу админки от скриптов дома на денвере,на хостинге только необходимый минимум для работы сайта.
Удаляю все временные файлы,куки,историю перед перезагрузкой,храню все пароли в записной книжке.
Взломов пока не было (опыт работы 4 мес.),переодически нахожу в логах 404 запросы типа /wplogin.php.Толи черви,толи дети балуют,АйПишки кстати немецкие.
В теме выше прочитал про уязвимость awstats,отключу,логи один хрен в текстовом редакторе смотрю
А тема более чем актуальна,хацкеров больше чем мастеров.С удовольствием почитаю советы матёрых по защите сайта на вирт.хосте.

awstats опасен, если ты их перловые скрипты вовне незащищенные выкладываешь. там есть еще утилитка buildstaticpages.pl - она по крону запускается и генерирует HTML паги статистики. При этом скрипты awstats можно и даже нужно вовне не выкладывать. В этом случае awstats не опасен.

Взломать пыталась, но пока к счастью не особо получалось )
Один рес был сделан на очень популярной, но дырявенькой CMS. Слава богу когда я его делал узнал что под него уже есть эксп Ну я конечно всё отпачил под себя (попутно оптимизировав и вырезав всё не нужное) и ресурс спокойно зажил. Где-то через год нашёлся мудень который захотел меня нагнуть. Естественно тем самым экспом ) В день делал он от 20 до 50 попыток (не знаю где он столько проксей набирал, потому что каждый адрес банился )). Так продолжалось где-то месяц и ничем не кончилось - взломать у него не получилось. Но видимо это был не начинающий хацкер, а конкурент, потому что на меня намылилась обуза в гугл (появилась надпись что ресурс может нанести вред (на сайте был попап)) и жестоко песимизировал яндекс (сайт в индексе, но трафа нету ( видимо наобузил что ссылки продаю). Вот такие вот уроды

Ну ещё на один из моих блогов какой-то румын залил index.html. Смысл сего действа не понятен - посмотреть на него можно было только через фтп ) Дырку подлатал и всё.

Регулярное сканирование сайтов ботами в поисках уязвимостей за атаку не считаю.

Думаю Open Source не так уж и опасен при грамотном подходе. Всё необходимо переделывать и оптимизировать, ну или на крайняк за новостями и багами этой системы следить и всё будет нормально.

Я опенсорс скрипты считаю по дефалту дырявыми. И из этого соображения принимаю остальные решения и меры предосторожности.

Неправильно считаешь. К примеру совершенно неопенсорсный AT3 ломают из релиза в релиз причем покруче чем опенсорсный вордпресс.
А метод борьбы с руткитами не переустановка системы а периодическая сверка контрольных сумм файлов.

Gourad писал:

Неправильно считаешь.

Брендовые продукты с закрытым кодом тоже не исключение. Хотя бы винды взять.

Но опен сорс это хай риск по любому. По тому что:
1. Зачастую пишется студентами-недоучками в качестве лабораторной работы. Хотя в последнее время тенденция на создание качественных продуктов пошла. Например, вордпресс, но...
2. Массовое использование опенсорса ввиду бесплатности хорошо стимулирует хацкеров на поиск дырок
3. Поиск дырок в опенсорсе это довольно простая задача, т.к. исходник открыт для всех.

- Да, ломали однажды.
DEFACED BY LUCIFERCIHAN FUCK GERMANY FUCK BELGIUM FUCK SWITZERLAND FUCK EUROPE FUCK FRANCE FUCK USA
уже года два висит на сайте, лень убрать

1) Ограничение доступа в админку по IP
2) Использование SFTP вместо FTP

Если хочется ездить по всяким Таиландам, и безопасно админить проекты, решение такое: Ставится запароленная прокси, IP которой разрешен для доступа в админку. Ну или через VPN ходить.

kit писал:

1) Ограничение доступа в админку по IP 2) Использование SFTP вместо FTP

Это не панацея. Если кто то одарит тебя хорошим трояном то ты для него будешь проксей на все свои сайты.

Pentarh писал:

Брендовые продукты с закрытым кодом тоже не исключение. Хотя бы винды взять..

Ну давай к примеру возьмем фрю и линукс. Сколько там за последний год дырок найдено? сколько из них срабатывают лишь при определенной фазе луны? Я бы лично относил к хайриску не опенсорс, а говноскрипты не важно в сорцах они или нет.

а я у себя припомнить могу только перенаправление пхпдевс на левую страничку с "хакед би блаблабла".

При этом "хак" был в панели регистранта доменов старгеник, т.е. даже не уверен, что поломали меня, а не регистранта. Вылечилось сменой пароля и заново установленным днс.

А вообще было дело, сам по молодости ломал ресурсы спамеров, обычно пользовался наличием опен соурс софта