Dziwne pliki na serwerze

[Jurij]

Witam,

 

Od listopada (kiedy to wyszły na jaw luki bezpieczeństwa ipb) regularnie monitoruję zawartość folderów na FTP. Naturalnie jak tylko wyjdzie jakaś łatka bezpieczeństwa, to natychmiast jest aplikowana. Sęk w tym, że w grudniu znalazłem na serwerze dziwne pliki default.php. Były w systemowych folderach i w głównym katalogu. Usunąłem wszystkie. Niestety problem powrócił 13 grudnia. Po małym śledztwie wyszło na jaw, że jeden z administratorów w momencie utworzenia się tych plików robił coś na serwerze. Stwierdził, że na pewno nie ma żadnego syfu na komputerze, pokazał nawet screen ze skanowania esetem. Cóż, natychmiast naturalnie skasowałem pliki default.php i od tamtej pory był spokój. Pliki już się nie tworzą. Z tym, że po uruchomieniu narzędzia z centrum bezpieczeństwa w acp odkryłem, że plik .htaccess był modyfikowany. Oto co w nim znalazłem:

 

 

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^[a-z0-9]{1,4}[.](htm|pdf|jar) default.php [L]
</IfModule>


php_value memory_limit 256M
<IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

Czy to powinno tam być? Nie wiem w ogóle co to robi. Niestety skasowalem wszystkie pliki default.php, więc nie mogę załączyć.

 

Sęk w tym, że mamy blokowane maile rejestracji  i powiadomień, bo administrator serwera twierdzi, że rozsyłamy jakiś spam. Wszystkie podejrzane pliki zostały skasowane, hasło do ftp zmienione, nie ma ustawionych żadnych podejrzanych zadań uruchamianych cyklicznie... To tylko moje podejrzenie, że obie sprawy mogą się łączyć. A może to dwie zupełnie odrębne kwestie? Co robić w takiej sytuacji?

 

[DawPi]

Maile nadal są wysyłane mimo tego, że na FTP czysto wg Ciebie? Ten wpis do .htaccess jest bardzo niebezpieczny, w połączeniu oczywiście z tym usuniętym plikiem. To był na pewno atak.

[Jurij]

Skasowałem tę linijkę i ponownie nadpisałem plik .htaccess na serwerze. Pozostałe linijki są w porządku? Wieczorem jeszcze raz przejrzę ftp pod kątem modyfikowanych plików...

 

 

Maile nadal są wysyłane mimo tego, że na FTP czysto wg Ciebie?

 

Z tego co mi wiadomo, to ip serwera jest blokowane co kilka dni. Teraz jest odblokowane, zobaczymy czy znowu zablokują. Samo skasowanie plików default.php powinno pomóc? Niektórzy mowią, że do plików na atakowanym serwerze dopisywany jest złośliwy kod. Czyli jeśli taki kod jest dopisany, zmienia się automatycznie data modyfikacji takiego pliku, tak? Bo przejrzałem ftp pod kątem dat modyfikacji pliku i oprócz default.php i .htaccess nie napotkałem niczego niepokojącego. Tzn. zmodyfikowane zostały tylko pliki skryptu przez łatki oraz logi i sitemap.xml. Czy rozsyłanie spamu może mieć wpływ na obciążenie serwera?

[DawPi]

Niby tak, ale ja robię to inaczej - pobrał wszystkie pliki z FTP, potem porównał je programem Winmerge i dopiero na tej podstawie cokolwiek wysnuwał czy coś było modyfikowane czy nie. W wyniku takiego badania wyświetlą Ci się też pliki widoczne tylko na FTP, a nie w domyślnej paczce - to również należy skrupulatnie przejrzeć czy nie ma tam czegoś podejrzanego.

 

Odnośnie pliku htaccess - zawartość jest modyfikowana - prawidłową znajdziesz w ACP.

[barthav]

Jurij, zalecam aktualizację skryptu forum do najnowszej wersji. Wersje 3.3.4 i niżej mają lukę, na którą może dostać się exploit. Mailing masz zablokowany z powodu cyklicznych prób wysyłania spamu z Twojego serwera. Usunięcie plików .php nie da nic. Podczas ataku do plików dopisywany jest złosliwy kod, jest on odpowiednio szyfrowany, eset tego nie wykryje. Musisz zajrzeć do logów i przeanalizować wszystko. Kopia całego FTP mile wskazana.

[Jurij]

Przecież luka została załatana. Nie będę na razie aktualizował do 3.4.1 bo moim skromnym zdaniem ta wersja jest dziurawa jak szwajcarski ser i ma masę innych problemów, z edycją tekstu i tagów code włącznie.

 

 

Mailing masz zablokowany z powodu cyklicznych prób wysyłania spamu z Twojego serwera. Usunięcie plików .php nie da nic.

Zatem co da? Teraz jest już odblokowany. Zobaczymy czy znowu zablokują...

 

Podczas ataku do plików dopisywany jest złosliwy kod, jest on odpowiednio szyfrowany, eset tego nie wykryje. Musisz zajrzeć do logów i przeanalizować wszystko.

 

Na co zwracać uwagę? Przeskanowałem serwer w ACP pod kątem modyfikowanych w ostatnim miesiącu plików - oprócz naprawionego już .htaccess nic nie wzbudziło moich podejrzeń.

 

 

Kopia całego FTP mile wskazana.

 

W nocy sobie skopiuję wszystko z serwera (oprócz downloadu bo tego jest 60GB plików i nie ma fizycznie takiej możliwości) i sprawdzę tym winmerge...

Edytowane 9 Stycznia 2013 przez Jurij

[barthav]

Usunięcie plików o rozszerzeniu .php może nie pomóc, nadal mogą pozostać szkodliwe pliki (w podkatalogach). Po ściągnięciu plików z FTP, wyszukaj dodatkowo podejrzanych plików .php, html. Przez html najłatwiej uaktywować wirusa. Obowiązkowo sprawdź winmerg'em. Dla przykładu ciąg znaków "

$v8d777f38 = $v3c6e0b8a;" zaszyfrowany w pliku .php odwołuje się do wirusa. Używasz tripwire ? .

http://forum.invisionize.pl/topic/34402-prosty-monitoring-plikow-serwera-zabezpieczenie-przed-atakami-za-pomoca-skryptu/?hl=tripwire

Edytowane 10 Stycznia 2013 przez barthav

[Jurij]

Tripwire nie używam. Raz kiedyś próbowałem, ale chyba nie działało. Ten winmerge coś nie bardzo chce porównywać całe katalogi, a plik po pliku - nie ma na to szans przy kilku tysiącach plików. Z resztą na dysku po dacie nie poznam, bo po skopiowaniu z serwera mają datę modyfikacji z momentu kopiowania. Na 99,9% jestem pewien, że forum jest wyczyszczone. Narzędzia z ACP => Centrum bezpieczeństwa nie wyświetlają żadnych modyfikowanych podejrzanych plików w ciągu ostatniego miesiąca (oprócz tych z 27 grudnia, kiedy wyszła łatka bezpieczeństwa). Tak się zastanawiam, bo gdyby doszło do przeniesienia forum, może prościej by było zainstalować od nowa czyste forum, zabezpieczyć, zaimportować download, galerię i bazę sql?

[DawPi]

Nie ma takiej operacji, jak nowe forum i import bazy. To strata czasu i możliwość powstania trudnych do usunięcia błędów.

Odnośnie skanera w ACP - jest mniej niż słaby, ale wystarczający w większości przypadków. Nie w tych niestety, które borykają właścicieli forów na IP.Board od pewnego czasu.

Winmerge oczywiście ma opcję porównywania katalogów:

[Jurij]

No właśnie tak jak powyżej się nie dało, bo program chciał wybierać kolejny i kolejny folder. Ale zrobiłem inaczej. Skopiowałem sobie do jednego folderu pliki po ataku, do drugiego folderu rozpakowałem czyste ipb 3.3.4, dorzuciłem łatkę z 27 grudnia, zaznaczyłem oba foldery w exploaratorze windowsa, kliknąłem prawym i wybrałem opcję porównaj. Po przeanalizowaniu ponad 16 000 plików raptem kilka się różniło. Głównie to grafiki stylu i ikonek które pozmieniałem oraz kilka plików .xml z tłumaczeniami. Nic szczególnego, żadnych zainfekowanych plików .php nie znalazłem. Z tym że zawartość obu folderów się naturalnie różni, bo na forum mam zainstalowane aplikacje i dodatki, których w czystej paczce ipb nie ma. Ale jak rozumiem ataki dotyczyły tylko plików skryptu ipb, tak?

[DawPi]

Pliki skryptu lub te nowe pliki na FTP.

[Jurij]

Nowych plików brak, groźnych różnic w plikach skryptu brak. Na wszelki wypadek rozpakowałem jeszcze galerię i download, przeskanowałem jeszcze raz i żadnych złośliwych kodów nie wykryłem. Myślę, że problem rozwiązany. Dzięki za pomoc!