Вредоносное ПО на сайте клиента - Идеи?

Question

Недавно нам позвонил один из наших клиентов, который пожаловался на то, что на их сайте есть какой-то "странно выглядящий код" внизу страницы. Мы проверили исходный код и обнаружили, что около 800 байт вредоносного кода javascript было добавлено в файл templates/master после тега </html>. Я не буду публиковать указанный код, потому что он выглядел особенно неприятно.

Насколько я могу судить, этот файл не может быть каким-либо образом отредактирован, если только у кого-то нет прямого доступа к серверу и / или данным для входа на FTP. Сам файл был изменен, что исключает любую SQL-атаку. Помимо человека, получающего физические данные и модифицирующего этот файл вручную, будут ли еще какие-то логические объяснения тому, что произошло? Кто-нибудь еще сталкивался с чем-то подобным?

Answer 1

Места, которые я бы проверял:

• Время изменения файла (чтобы увидеть, когда это произошло)
• HTTP-сервер регистрирует признаки забавных GET-параметров (например, ?foo=exec('...'))
• Журналы FTP-сервера
• Журналы SSH (что-то подобное случилось со мной однажды, и это было потому, что кто-то выдал свой пароль)

Кроме того, я бы сразу ограничил доступ для записи ко всем файлам сайта, просто чтобы быть в безопасности от той же атаки (конечно, вектор все еще открыт, но это лучше, чем ничего). 1016 *

Answer 2

Вы не указываете, но если вы не должны использовать FTP на производственном сервере в любом случае, потому что это по своей сути небезопасно (среди прочего, он передает учетные данные в виде открытого текста, что позволяет вам легко подвергнуться атаке с помощью прослушивания). Всегда используйте SFTP.

Если вы используете обычный FTP, это, скорее всего, вектор атаки, особенно потому, что изменение файлов - это все, что произошло. Если бы ваша машина была полностью пробита, я бы ожидал увидеть нечто большее.

Answer 3

Если у злоумышленника нет доступа к другому файлу, вероятно, в коде есть эксплойт, позволяющий пользователю выполнить произвольный код. Использование passthru (), exec () и eval () являются распространенными проблемами здесь. Если на той же машине работает FTP, это, как правило, сильный вектор атаки.

Я не уверен, что категорически исключил бы атаку SQL (особенно отраженную в сочетании с вышеупомянутыми эксплойтами), но также не ясно, будет ли она тоже.

---

На ваш вопрос, это может быть либо автоматический, либо личный таргетинг, сложно сказать с учетом уровня детализации. Как уже говорили другие, отключите как можно больше паролей, ограничьте доступ к серверу, а затем начните проверять журналы, чтобы увидеть, где что-то пошло не так. Это будет более успешным, чем разорвать само приложение.

Answer 4

Вот как я это вижу. Используете программу FTP? Ваши файлы журнала ftp, хранящие пароли, пути и т. Д., Получают. Пароли расшифровываются.

Старайтесь не хранить пароли FTP в клиенте FTP. Или сделайте как выше, используйте SFTP. У нас была похожая проблема, и, похоже, она пришла с одного компьютера с набором логинов FTP. Кроме того, поскольку у этого компьютера было много предыдущих странных проблем с ним. Javascript не будет работать правильно, нечетные тайм-ауты сессии или просто удалены. Что для меня означает, что на этом компьютере что-то есть.

Answer 5

Почти наверняка скомпрометированные учетные данные, позволяющие кому-либо изменять код удаленно. Находится ли сервер на сайте?

Answer 6

Чтобы обнаружить существующий вредоносный код, я рекомендую вам использовать хороший антивирусный механизм сканирования на сервере для обнаружения вредоносного кода в файлах веб-сайта. Много раз, сервер не уязвим, но сайт есть! Чтобы предотвратить это, используйте брандмауэр веб-приложений , который может просматривать каждый запрос для обнаружения и блокировки попытки атаки.

Answer 7

Обязательно найдите и удалите все подозрительные файлы на вашем сайте. Если у них был доступ к FTP, скорее всего, они оставили где-нибудь скрипт бэкдора, который позволил бы им загружать / изменять файлы на вашем сайте через определенный URL-адрес даже после изменения пароля FTP или перехода на использование SFTP.

Попробуйте запустить найденный скрипт здесь , если вы используете PHP.