Оплошность привела к взлому

Автор: Руслан Бощаев. Рубрика - Вебмастерам

9 мая утром обнаружил на почте большое число писем с таким заголовком: Mail delivery failed: returning message to sender. Не обратил особого внимания, т.к. часто получаю письма с таким содержанием, когда спаммеры пытаются добавить комментарий в какой-нибудь сайт на Wordpress.

До обеда не было времени поработать в Интернете, поэтому, когда я вернулся в Сеть, то обнаружил в почтовом ящике около 3000 писем аналогичного содержания. Это, конечно же, меня впечатлило и я начал разбираться в произошедшем.

Первым делом прочитал текст письма. Оказалось, что с моего сайта (CMS Wordpress) было отправлено на разные почтовые адреса множество писем примерно такого содержания:

Dear Customer, Your ABSA online banking access has been limited. We suspected someone other than you with. Trying to access your informations. Please verify your banking information with us to show  that you are not currently away. You have to verify this as soon as possible to keep your online bank account from getting blocked.
<a href=”ссылка на мошеннический сайт”>Initiate the Process</a>
Please SIGNON to email us as mails sent to this address cannot be answered.

Как я понял из текста письма, рассылка производится для получения финансовых данных получателей. Ссылку специально на мошеннический сайт не привожу, но сам я по ссылке из любопытства перешел, на что Опера честно предупредила меня:

 

Перейдя дальше, выяснил, что сайта уже не существует. Но мне от этого легче не стало, т.к. письма-отчеты на почту сыпались как из рога изобилия – примерно 100 писем в минуту.

Продолжая анализировать текст письма, среди технической информации обнаружил, что письма отсылаются скриптом, который находится в папке /wp-content/balos.php. Перешел по адресу мой-сайт.ру /wp-content/balos.php и обнаружил интересную вещицу (см. рисунок):

взломали вордпресс 

Естественно, что сам скрипт я тут же удалил и при этом заметил, что причина взлома кроется во мне, а именно на папке wp-content стоят права доступа 777. Изменив права на папку на 755, я немного успокоился. Письма на почту по инерции продолжали идти, но уже не так интенсивно.

10 мая на почту посыпались письма с заголовком Warning: message 1SS3hP-00097E-7l delayed 24 hours, т.е. письмо не было доставлено в течение 24 часов. Но новых писем об отправке спама уже не было.

И вот уже сегодня, 11 мая, в процессе написания этой статьи я зашел на этот же сайт по фтп и в папке wp-content обнаружил еще один скрипт, который не заметил ранее – скрипт strom.php. При переходе по ссылке мой-сайт.ру/wp-content/strom.php открылась еще более впечатляющая картина оказывается мне на сервер залили файловый менеджер:

получили всю информацию о сервере 

Отсортировав файлы и папки по дате последнего изменения обнаружил, что-то изменилось в папке wp-content/plugins, и точно – лежит там файлик calina.php с закодированным содержанием:

 

Этот файл тоже снес и пока на данный момент инородных скриптов больше на сайте не могу обнаружить, надеюсь, что их все-таки нет.

Причиной произошедшего считаю мою оплошность – не выставил права на папку wp-content, либо в сборке wordpress есть еще какие-либо дыры. Время покажет…

Время показало, что я очень наивен :) и проблема моя была в том, что на сервер залили шелл. После небольшой передышки спам с моего аккаунта на хостинге возобновился, я, испробовав все, что знал, обратился в техподдержку хостинга. Техподдержка быстро среагировала и выявила источник спама и сам шелл. Для заливки шелла была использована уязвимость вордпресса timthumb.php. С помощью техподдержки с сервера были удалены все зловредные скрипты.

Ах, да, спасибо техподдержке firstvds.ru! 

Комментарии   

 
0 #2 Olga 24.04.2017 16:23
Компания ООО «ЭкоЮгСтройКлим ат» http://stroyklimat.ru34.com - продажа, монтаж, ремонт и обслуживание холодильного, климатического, вентиляционного и котельного оборудования в Волгограде, Волгоградской области и регионах РФ.

Профессиональное оборудование – очень важный элемент в системе функционировани я предприятий общественного питания, торговли, развлекательных центров. Каждая более-менее крупная организация имеет свое штатное профессионально е оборудование. Но если ремонт профессионально го оборудования требуется крупному предприятию, для которого от качественной его работы зависит вообще возможность работать, скорость выполнения ремонтных работ становится крайне важной.
Цитировать
 
 
0 #1 Olga 24.04.2017 16:22
ООО «ЭкоЮгСтройКлим ат» готово выполнить любой сложности монтаж и ремонт профессионально го оборудования в Волгограде, Волгоградской Области и регионах РФ. Главное, что отличает нашу компанию на рынке – это оперативность выполнения работ. Многолетний накопленный опыт (мы работаем с 2010 года) и собранный штат профессиональны х мастеров – профессионалов своего дела, позволяет нам проводить обслуживание профессионально го оборудования в кратчайшие сроки. С нами у вас не будет задержек в производстве, а договор на постоянное сотрудничество, заключаемый с нашими заказчиками, стабилизирует отношения и формирует доверие.

Более подробную информацию вы можете найти по ссылкам на сайте http:\\stroykli mat.ru34.com.
Цитировать
 

Добавить комментарий


Защитный код
Обновить