Хочу рассказать о нескольких простых приемах, которые позволяют найти зловредные спам-скрипты, генерирующие кучу исходящего почтового трафика, жалоб со стороны VPS-хостера и пожирающие ресурсы сервера.
Итак, имеем VPS-сервер на Linix Debian, сайт(ы) на популярном движке (WordPress, Drupal, Joomla) и почтовый сервер Exim.
И вот некий хакер используя дырявый плагин, шаблон, форму обратной связи залил в папку сайта свой зловредный скрипт рассылающий спам. Как определить где он расположен?
Способ 1. Смотрим название зловредного скрипта в заголовках писем командой:
cat /var/spool/exim4/input/*-D | grep X-PHP-Originating-Script: | sort | uniq
В ответ получим что-то типа:
X-PHP-Originating-Script: 33:test.php
Чтобы найти источник спам-рассылки на сайте, нужно в файле /etc/php5/php.ini включить логирование рассылаемой почты директивами:
mail.add_x_header = On
mail.log = /var/log/php.mail.log
Способ 2. Во всех папках сайтов смотрим подозрительные php-файлы, содержащие закодированные данные функцией base64:
Как избавиться от смс спама на телефоне Как заблокировать спам-рассылку на Android смартфонах
grep -r «base64_decode» /var/www/ > result.txt
Получим текстовый файл result.txt, содержащий строки вида:
/var/www/ ******** .ru/wp- content/uploads/2014/09/. javascript.php:return base64_decode($vE0DI59);>
/var/www/ ******** .ru/wp- content/uploads/2014/09/. dir22.php:return base64_decode($v024M41);>
/var/www/ ******** .ru/wp- content/uploads/2014/09/. info28.php:return base64_decode($v4ANRRC);>
/var/www/ ********.ru/wp- content/plugins/wp-portfolio/ cache/ajax67.php:return base64_decode($vKUK0W6);>
Там будут найдены и другие файлы, однако, обратите внимание на файлы, содержащие строки base64_decode($XXXXXX). Подобные файлы я бы без раздумий удалил, особенно если они лежат в папках типа /uploads среди картинок.
Если, тем не менее, вы сомневаетесь удалять скрипт и хотите проверить, а что за код зашифрован этой функцией, то воспользуйтесь онлайн-дешифровщиками по адресам:
- http://ddecode.com/phpdecoder/
- http://base64-encoder-online.waraxe.us/
- http://www.tareeinternet.com/scripts/decrypt.php
Способ 1 и Способ 2, примененные вместе дают высокий процент нахождения зловредных скриптов.
Совет по безопасности: рекомендую перепроверить права на папки, в которых были найдены зловреды, возможно стоит усилить безопасность, сняв права исполнения для всех. Т.е. понизить права на папку /uploads с 775(rwxrwxrw-) или 755(rwxrw-rw-) до 666(rw-rw-rw-). Таким образом, даже если хакер сможет загрузить зловредный скрипт в папку /uploads, то выполнить он его не сможет.
Команда, выставляющая права рекурсивно на все подпапки в папке /uploads:
chmod -R 666 /var/www/ ******** .ru/wp- content/uploads
P.S.: Использование сканера уязвимостей типа rkhunter не оградило от зловредов. Тем не менее я рекомендую использовать этот сканер, как дополнительный слой защиты периметра.
УДАЛИ GETCONTACT, ПОКА НЕ ПОЗДНО
P.P.S.: После удаления заразы рекомендую проверить сайт антивирусными онлайн-сканерами:
- http://antivirus-alarm.ru/proverka/
- http://vms.drweb.com/online/
- http://urlquery.net/
Источник: blog.evgenmed.com
Спам и ещё раз спам. Как найти лекарство от вируса? Часть 1
Спам в социальных сетях достиг грандиозных масштабов и самых извращенных видов, так что даже опытному вебсерферу трудно отличить обычное сообщение от спама. Рассылка спама от друзей на данный момент наиболее опасная и эффективная. Мы ведь привыкли доверять друзьям, не так ли?
Итак, в один прекрасный день вы получили сообщение от (не)знакомого человека (подчеркните нужное) примерно такого содержания: «Привет! Наверно, тебя взломали, т.к. от тебя чудовищно сыпется спам! У меня тоже такое было, я нашел (нашла) лекарство здесь: ссылка на вирусный ресурс».
И вот тут главное — не поддаться панике и не перейти по ссылке! Так как, скорей всего, вы и станете следующим таким же разносчиком спама. Будет выглядеть это примерно так: вы не сможете зайти на сайт под благовидным предлогом (профилактические работы) или неблаговидным (требование активации аккаунтов), а от вашего имени будет сыпаться рассылка всем вашим контактам. Поверьте, это самое «безобидное», так как есть еще баннерная программа, блокирующая Windows, и тут поможет только переустановка системы.
Если вам так не повезло, прочитайте советы ниже, как поступить, чтобы не потерять деньги и данные на компьютере.
Социальные сайты не требуют оплаты входа в свой профиль. Платная активация аккаунта на сайте Одноклассники.ру введена с конца 2008 г. и требуется только один раз! Все остальное — мошенничество!
ВКонтакте.ру, mail.ru никогда не требуют смс для входа в аккаунт! Не отсылайте смс, если у вас возникла страница активации вместо страницы входа — это вирус, а мошенники пытаются вытянуть из вас деньги! Администрация сайтов предупреждает обо всех изменениях на сайте, в том числе и через СМИ, и еще никто не требовал повторной активации путём отсылки смс для входа!
Мошенники, создавшие вирус, требующий смс-активации на сайтах ВКонтакте.ру, в Одноклассники.ру, в почтовой службе mail.ru, просто хотят вытянуть из вас деньги. После того как вы, по своей доверчивости, отправите смс на предлагаемый номер, ничего не произойдет, вы так же останетесь на странице активации, вирус не удалится, и вы по-прежнему не сможете зайти на упомянутые сайты… Ни в коем случае не «активируйтесь», вы лишь потеряете свои деньги.
Примечание:
Лаборатории, специализирующиеся на антивирусах, чаще всего называют только один IP-адрес хостинга, где содержится страничка с активацией — . Он принадлежит китайским провайдерам, поэтому наши подразделения по борьбе с мошенничеством в сфере высоких технологий ничего не могут с ними поделать и только разводят руками.
Так как же попал к вам вирус?
Вирус попал на ваш компьютер через программу, которую вы автоматически скачали и установили, перейдя по ссылке в присланном вам письме. Да-да, это выглядело как отсутствие страницы или непонятная надпись на странице, или еще как-то (фантазии им не занимать).
Для справки: мужчины чаще подхватывают вирусы, ведь они — благодатная аудитория ссылок на порно, т.к. редко кто отказывается поглазеть «это», особенно если его можно качать и смотреть без оплаты. А ссылочки-то заразные… Мошенники знают все о наших с вами слабостях!
В момент активации вируса пользователи отмечают, что краткое время видят какое-то чёрное окошко (это идет редактирование реестра через командную строку), которое исчезает через секунду, затем вирус сохраняет отредактированный реестр и запускает обратный отсчет, который длится от 1 секунды до 12 часов.
Всё! Неискушённые пользователи в ловушке и после уже не могут зайти на сайты (ВКонтакте.ру, Одноклассники.ру и mail.ru), а вместо главной страницы соответствующего сайта видят страницу активации. Следовательно, вас принудительно перенаправляют со страниц социальных сайтов на страничку активации.
Кстати, вирус может украсть ваш пароль и адрес почты, чтобы от вашего имени рассылать спам.
Как же вылечиться от вируса и сохранить свой аккаунт?
Например, на странице активации ВКонтакте.ру (мой опыт) вам предлагают послать платное СМС, для того чтобы войти в свой профиль. Обычно для входа просят отправить СМС не очень большой стоимости, например, 5 рублей за одно СМС, но это обман. Просто наберите в поисковике «стоимость СМС на номер такой-то» и вы будете ошарашены жадностью спамеров! Это суммы от 180 до 864 рублей! В последнее время предлагают оплатить вебмани, там суммы еще больше!
Как же это всё лечится. Этот вирус после активации просто-напросто переписывает в установленной на вашем компьютере операционной системе файл host, отвечающий за соответствие IP-адреса домена в интернете доменному имени. Вот и все. Что бы снова попасть на сайты ВКонтакте, Однокласники и mail.ru, этот файл нужно очистить.
Файл host находится в директории c:/windows/system32/drivers/etc, для быстрого доступа можете зайти так: Меню Пуск — Выполнить — C:/windows/system32/drivers/etc/hosts, находим его, открываем программой «блокнот», удаляем все адреса за исключением localhost, если есть, и сохраняем. Всё.
Также рекомендую в свойствах файла поставить галку «только чтение», тогда файл станет относительно недоступен для редактирования. Почему относительно? Потому что сейчас вирусная программа не научилась обходить эту «защиту», но время-то идёт… Вы ведь помните, что мы живем в эру высоких скоростей и новых технологий? Они распространяются и на время…
Ну вот, теперь вы знаете, как снова зайти в соцсети. А своим опытом разблокировки операционной системы я поделюсь в своей следующей статье.
Приятного и полезного вебсерфинга!
Источник: www.shkolazhizni.ru
Как выявить источник рассылки спама на сервера
Однажды пришло письмо от хостера, у которого арендуется сервер с несколькими сайтами, что рассылается спам. Сайты на хостинге старые, не обновляются, так что уязвимость вполне могла быть в одном из плагинов или в самой CMS.
Нюанс в том, что удалятьобновлять сайты возможности нет, они просто должны работать (уж не спрашивайте почему), поэтому для начала пришлось просто разобраться, что же происходит и найти, откуда идёт рассылка.
Первоначально посмотрел очередь почтовых писем в используемом MTA (exim4 в данном случае):
exim -bp | wc -l
Кол-во писем было около 130к. Чистим:
exipick -i | xargs exim -Mrm
Далее различные варианты отлова зловредов. По заголовку письма посмотреть его содержимое:
exim -Mvh 1hvdPZ-00013V-PF # 1hvdPZ-00013V-PF — ID письма в очереди
Если повезет, то будет видно что-то подобное:
X-PHP-Originating-Script: 112:pwned.php
Но в моём случае такой строки вообще не было. Далее следующий вариант – в конфиг php.ini добавить:
mail.add_x_header = On mail.log = /var/log/php-mail.log
Рестартовать и проверить, не появились ли в данном файле какие-нибудь записи, из которых можно найти зловреда.
В моём случае снова неудача, ибо файл был пуст. Сложности и путаницы добавляло то, что часть сайтов работала на php-fpm, часть – apache, приходилось в каждый закидывать файлик с phpinfo() и проверять, где какой конфиг php.ini используется и с какими параметрами.
Бывает так, что скрипты шифруются через base64. В директории с сайтами выполнил:
grep -r «base64_decode»
На выходе куча портянок, в которых через PHP Decoder смог что-то расшифровать, но ничего криминального не увидел.
Также пробежался по файлам с битами выполнения в правах:
find -type f -perm -110
Получил список странных файлов, датированных 1980 годом. Подозрительные файлы выпилил, но спам продолжал идти.
Проверил крон от имени пользователя веб-сервера:
sudo -u www-data crontab -e
Там нашлась подозрительная строчка,
*/10 * * * * perl /var/tmp/TaYFgW >/dev/null 2>https://it-lux.ru/%D0%BA%D0%B0%D0%BA-%D0%B2%D1%8B%D1%8F%D0%B2%D0%B8%D1%82%D1%8C-%D0%B8%D1%81%D1%82%D0%BE%D1%87%D0%BD%D0%B8%D0%BA-%D1%80%D0%B0%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B8-%D1%81%D0%BF%D0%B0%D0%BC%D0%B0-%D0%BD/» target=»_blank»]it-lux.ru[/mask_link]