Помогите понять, как работает вирус, Меняет на сайтах индексную страницу

Добрый день.

Помогите пожалуйста разобраться. Вчера 2 моих сайта были хакнуты и заменена индексная страница. Больше никаких действий не сделано.

Суть в том, что один из сайтов на которых это было сделано вообще пустой. Там находилась только одна индексная страница, на которой было написано "бла бла бла". Т.е. я так понимаю поменять эту индексную страницу можно было только через фтп.

Теперь про фтп - все пароли 10-12 символов (буквы, цифры, спецзнаки - сгенерированы). На компе пароли нигде не хранятся, генерируются, забиваются в фтп клиент и восстановлению не подлежат.

ФТП клиен - FireFTP последней версии. Пароли в нем в открытом виде не хранятся на сколько мне известно. Для хранения паролей используется мастер-пароль.

Вопрос - как был осуществлен доступ к сайтам? Пароли стырили или изменения были прямо с моего компа сделаны трояном?

И еще вопрос - какое в данном случае имеет значение сложность пароля для мастер-пароль?


ЗЫ: в фтп у меня вбито 10 сайтов, хакнули только 2 из них. У знакомых был похожий случай, но пароли фтп хранились в коммандере (в открытом виде) и хакнули сразу все сайты, фтп которых были забиты в коммандер.

Адреса то можно в студию? Я не думаю, что подобрали пароль к ФТП... сбрутить пароль 10-12 символов достаточно проблематично!
Возможно кейлоггер в системе имеется, возможно сниффер в локалке...
Поменять индексную страницу можно не только через ФТП! это наиболее распространенное заблуждение... через неграмотно написанный скрипт плюс неграмотно сконфигурированный сервер БД (mysql например) можно залить шелл на твой сервер и уже творить все, что душе угодно! а не только индекс поменять...
Часто используются дыры не в скриптах, а в служебных программах, которые висят на серваках... например нашумевшие в 90е годы wu-ftpd 2.4.x и 2.6.1 FTP демоны... или вообще старое не патченное linux ядро, уязвимое по remote shell...
К счастью сказать, сейчас народ обленился и видит только то, что лежит на поверхности... хакеры доморощенные!
Пиши в асю - подскажу что к чему и как вероятней всего обстояли дела! И ЛОГИ!!! Помни про логи! Смотри в первую очередь логи апача и ФТП!

Mr_K
А какой хостер??) У меня был похожий случай. Путем нехитрых умозаключений выяснилось, что виноват оказался кривой хостинг.

А вообще советую проверить комп, например, AVZ. Можеть гадость какая сидит...)

Ну и, само собой, смотри логи - как уже сказали выше

Оба сайта на динохосте. Но на этом же хостинге и еще пара сайтов с которыми все в порядке. Есть еще на нескольких хостингах сайты, но с ними тоже все ок.

Комп уже проверил, поудалял кучу гадости. Месяца 4 не чистил, всякой бяки много нашлось, но в основном антивирус (нод32) ругается на кейгены и патчи. Какие из них действительно вредные сложно сказать, разве что по месту расположения файлов можно догадываться.

satanic, с логами я не очень дружу. Попросту говоря я даже не знаю где и какие логи просматривать. Если можно, скинь свою аську в личку или мне в аську постучи: 254606496

Вариант с кейлогером маловероятен, его бы антивирус полюбому заметил. Да и в процессах я бы его скорее всего увидел.
Сниффер - очень сомневаюсь, у меня компы в локалке независимые, т.е. нет какого то компа через который шел бы весь траф. Поэтому сниффер только на моем компе может быть, но его опять же антивирус скорее всего отловил бы, ну или хотя бы при сканировании нашел бы. Ничего похожего в логах после сканирования небыло.

Это сообщение отредактировал Mr_K - 10.03.2009 - 21:26

Вовсе не обязательно. Перехватывается влёгкую.

Я видел Ооооочень много вирусов, троянов, малвари разных мастей и еще кучу всякой нечисти, но ни разу не видел вирусов, которые самостийно дефейсят выборчно сайты...ИМХО, это не вирусная активность! Как уже сказали, вариантов дефейса несколько, вот некоторые из них:
1) Кривой скрипт php (SQL injection например) на сайте
2) был отломан хостер, и через него похекали несколько сайтов сразу
3) тебе был впарен троян класса WIN32.PSW(по классификации Лаборатории Касперского), который утянул твои пароли, чем и воспользовались при взломе (этот вариант рассматриваю как наиболее вероятный)
4) вариант со снифером/кейлогером тоже отметать не буду

Отвечаю на второй вопрос топикстартера:
В общем случае мастер пароль является ключом шифрования для всех паролей, поэтому его сложность большой роли не играет, и на безопасность хранения не особо влияет, т.к. он может не напрямую быть ключом а например ключом может быть MD5-хэш от этого пароля. Вопрос в том каким образом хранится сам мастер-пароль....и в каком виде... и храниться ли вообще...это уже надо смотреть конкретно реализацию твоего фтп-клиента.

Это сообщение отредактировал Secur/TLG - 11.03.2009 - 13:10

По поводу маловероятности сниффера - тут нельзя быть столь категоричным... даже если трафик не идет через отельный шлюз, на котором стоит сниффер, его остается возможным перехватить с любой машины... Раньше, когда использовались хабы, проблем не было вообще - все пакеты направлялись на все порты и собственно хватай не хочу... Сейчас, когда используются свичи, тоже проблема остается актуальной... ничто не мешает перевести свич в режим хаба (делается атакой типа ARP-флуд, в результате которой переполняется таблица ARP записей соответствия IP, MAC адресов и порта на свиче и он валится в режим хаба - всё на все порты)...
Но все же надо начать с изучения логов... если сервак физически не твой, а ты просто хостишься, то наверняка у хостера существует панель управления, где очень удобно можно просматривать логи (cPanel, например)... В общем надо узнавать у хостера... А если доступ есть к файловой системе - то или в /etc/httpd/logs ищи, или в /var/log/httpd/
Если оба сайта на одном хостинге, то очень велика вероятность, что сломали через хостинг... Почему не тронули остальные? просто под руку не попались!
Ася моя 15075915 стучи если что... скинь адрес хостера туда!