Тут недавно мой блог был взломан. На главной страничке красовалось Hacked by XYU. Мне сразу стало хреново и не по-себе, однако довольно быстро собрался, восстановил блог, разобрался в причинах произошедшего, постарался все исправить, и даже аналогичным образом взломал другой блог, естественно вернув все на место. Но обо всем по порядку.
Взлом был произведен через залитый на один из моих сайтов shell — специальная оболочка для управления сайтом, написанная на php и довольно просто запускающаяся из браузера. Открыв, этот шлее, хакер получил полный доступ к моему хостингу, он мог беспрепятственно удалять и изменять абсолютно все файлы на всех моих сайтах. Именно поэтому он смог беспрепятственно изменить заглавный файл index.php и таким образом дефейснуть мой сайт. Восстановить блог оказалось просто — поскольку пароль доступа к хостингу они не поменяли (я думаю что и это возможно, но довольно трудно), то я свободно зашел на свой блог по FTP через Total Commander и заменил index.php на оригинальный из последней сборки wordpress. Затем я сделал бекап сайта, изменил пароли на доступ в блог и хостинг, обновил wordpress. далее сделал запрос к хостеру, чтобы он дал мне http логи для моего сайта. После просмотра логов все встало на свои места, и я почти сразу понял что произошло.
В логах почти сразу же красовался интересный запрос к моему сайту, он почему-то был сделан через другой мой сайт, о котором вообще никто не мог знать, потому что он был тестовым. Но как выяснилось именно из-за этого тестового сайта меня и взломали. Набрав в браузере ту подозрительную часть адреса, что была в http запросе в логах я увидел тот самый шелл, в заголовке было написано !c99shell Edited By KingDefacer!. Если погуглите c99shell то сможете найти кое-какую информацию по нему. Фигово то, что меня взламывали турки, и тот самый шелл у меня на турецком языке, не удобно
В общем-то шелл-то я нашел, но было не понятно каким образом он затесался ко мне на сайт. Кстати доступ к нему был через файл 404.php, который находился среди других файлов шаблона и поэтому доступ к нему был такого вида: адрессайта.com/wp-content/themes/названиетемы/404.php Если ввести этот путь в адресной строке, то сразу же открывается масса возможностей. Но я все-таки не рассказал как этот шелл попал ко мне. А попал ко мне он судя по всему из-за моей тупости. Этот тестовый сайт я делал для себя, и о нем не вроде бы не могу никто знать, но даже такое допущение не дает мне права использвать логин и пароль для доступа к админке по умолчанию. Но я ступил как всегда, и оставил логин и пароль admin, и эта информация проникла в инет: просто ввел название сайта в гугл, я тут же увидел его в списке крякнутых сайтов, то есть тех, где логин и пароль стоят по умолчанию. И теперь любой желающий может среди всего списка сайтов взять и залогиниться на сайте с правами администратора. Этим правом видимо кто-то и воспользовался, да и еще и не один человек, потому что разных шеллов было загружено несколько, в разные папки. А залить шелл на сайт было вообще проще просто — достаточно было в редакторе тем изменить код в файле 404.php на код шелла, простой копипаст. Сохранить файл, и вот он шелл готов!
Кстати, блоггерам на заметку — для того чтобы предотвратить такие действия права на все файлы желательно поставить 644, но мне пришлось ставить 555, но самое главно, что таким образом исключаются права на запись в файл. Ну еще полезная ссылка на последок: как защитить wordpress.
PS все сайты из того списка в котором оказался и мой сайт: или уже хакнуты, или таким простым способом не хакаются, или уже избавились от всех багов.
Комментариев нет:
Отправить комментарий