Почему сайт не работал?

5 комментариев

surprise

Во-первых, всех с прошедшими праздниками! wp-monalisa icon
По причинам праздничных каникул по случаю Нового года имеющимся сайтам не уделялось должного внимания. Да и что могло произойти? Все же работает! 23 декабря был последний пост на одном из сайтов, чуть позже я заходила и сюда, все вроде работало, как и должно было быть. 8 января настало время разгрести завалы почты wp-monalisa icon. Одно из писем гласило, что доступ к сайту Blackcomp.Ru утерян. Стоп! Сервер работает… Ладно, открываем сайт… Действительно… просто не работает. А этот сайт? Открывается просто белая страница, как будто накосячено в одном из php-файлов. Но я-то ничего не делала! Пришло время зайти на сервер (использовалась старенькая ось Ubuntu Server) по ssh в директорию сайта.

А там меня ждало во многих папках такое недружественное письмо wp-monalisa icon:

Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files…

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.

Здрасьте…

Далее предлагалось через некий сайт, на который можно было попасть через Tor, оплатить указанную сумму. Естественно, платить никто не собирался  . Файл датировался 28 декабря, стало быть, посмотрим логи за тот день (/var/log/apache2/access.log). Судя по логу, примерно в половину 4 утра сайт был просканирован на наличие различных плагинов на сайте.  Затем:

213.152.161.149 — — [28/Dec/2015:11:23:01 +0400] «GET /tmp/1vdm48.php?30th HTTP/1.1» 200 4248 «-» «Mozilla/5.0 (Windows NT 5.1; rv:43.0) Gecko/20100101 Firefox/43.0»
213.152.161.149 — — [28/Dec/2015:11:23:08 +0400] «POST /tmp/1vdm48.php?30th HTTP/1.1» 200 4153 «http://blackcomp.ru/tmp/1vdm48.php?30th» «Mozilla/5.0 (Windows NT 5.1; rv:43.0) Gecko/20100101 Firefox/43.0»
213.152.161.149 — — [28/Dec/2015:11:23:09 +0400] «POST /tmp/1vdm48.php?30th HTTP/1.1» 200 3265 «http://blackcomp.ru/tmp/1vdm48.php?30th» «Mozilla/5.0 (Windows NT 5.1; rv:43.0) Gecko/20100101 Firefox/43.0»
213.152.161.149 — — [28/Dec/2015:11:23:11 +0400] «POST /tmp/1vdm48.php?30th HTTP/1.1» 200 4738 «http://blackcomp.ru/tmp/1vdm48.php?30th» «Mozilla/5.0 (Windows NT 5.1; rv:43.0) Gecko/20100101 Firefox/43.0»

Затем

62.24.252.133 — — [28/Dec/2015:12:01:42 +0400] «GET /robots.txt HTTP/1.0» 200 1143 «http://blackcomp.ru/robots.txt» «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)»

И финальный аккорд — в логе пошли ответы сервера 404…
Время появления файлов README_FOR_DECRYPT.txt и README_FOR_DECRYPT.txt.encrypted — это примерно 12:02 — 12:03 по московскому времени.

Но и на этом несчастную «тушку» сайта не оставили в покое. В одну из папок положили файл rot.php (прикладываю текст). Оговорюсь сразу: я приложила только текст, сам файл не выполнится! При помощи rot.php с указанного сайта в конце файла скачивался текст программы в формате Base64, затем особым образом, а именно:

преобразовался и вызывался. Текст программы, получаемый таким образом, также у меня имеется, но выкладывать я его сюда не буду, тем более, что Вы сами можете проделать то, что написано в файле rot.php, но ИСКЛЮЧИТЕЛЬНО в ознакомительных целях.

Получаемая программа представляла из себя целый ЦУП! Перед кулхацкером открывалась страница, на которой можно было наблюдать пароли юзеров сайта, ftp-пароли, пароли-явки к БД MySql, настройки php.ini, можно было убивать базу данных сайта, массово изменять пароли для пользователей, дефейсать сайты и т.д. Для того, чтобы можно было беспрепятственно эти данные получать, создавались симлинки на файлы с данными. Судя по листингу, кулхацкер мог так узнать и поиграться с информацией многих популярных CMS.

Кстати, дефейснутые сайты, в описании которых обязательно присутствует надпись «hacked by Stupidc0de», выглядят вполне симпатично:
hacked_site
Когда открываешь пострадавшие от взлома сайты, в колонках начинает играть музыка.

Как их найти? Вбейте в поиск «hacked by Stupidc0de».

Итак, какие же выводы? Заботимся о сайтах, о правах на папки и о бэкапах на отдельные носители.

Короче говоря,
делай бэкапы


5 комментариев “Почему сайт не работал?”

  1. Admin

    Некоторое дополнение к статье. Как правило, темы, связанные с вирусом-шифровальщиком, касаются содержимого компьютеров, на которых остановлена ОС Windows различных версий. Однако в ноябре 2015 года, то есть совсем недавно, вышла статья от BitDefender LABS https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/. В том случае шифровальщик попал через какую-то дыру в Magento (платформа для создания интернет-магазина), установленную на Linux, и работал по сути так, как бы он работал в Windows — искал полезные для пользователя файлы, зашифровывал их при помощи алгоритма AES, а затем ключ и вектор инициализации алгоритма «добивал» при помощи RSA.

    Ответить
  2. eheqefonokefa

    Внимательнее надо к безопасности сайта относиться…

    Ответить
  3. aayeqedaga

    Хорошо хоть бэкапы были… У моего друга так данные на работе убили… Пришлось платить, после кулхацкер ключик прислал, все восстановили.

    Ответить
  4. ufunluvenen

    Это получается что одна попытка взлома заблокировала другую что ль? =)))))))))))))

    Ответить
  5. Admin

    Ув. eheqefonokefa, согласна, не надо было забрасывать на полмесяца…

    Ув. ufunluvenen, видимо, да, второй скрипт не сработал, так как просто не смог =)) Все уже было закриптовано =)

    Ответить

Оставьте комментарий

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url=""> <img src="" alt="" class="" width="" height="">

http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ab.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ac.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ag.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ah.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ai.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ak.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/am.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/an.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ao.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/aq.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ar.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/at.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/av.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/aw.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/ay.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/az.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bb.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bc.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/bd.gif 
http://noservice.ru/wp-content/plugins/wp-monalisa/icons/be.gif 
больше...