Недавно столкнулся с занятной вещицей – вдруг обнаружил файл wish.html в корне веб-сайта. Там была веб-страничка из разряда “Вас похакали!”, какая-то группировка, то-ли немцы, то ли кто-то ещё. Дай гляну по логам:
/var/log/nginx# grep -rn wish.html
Несколько вхождений, все идёт от файла ms-wish.php – скрипт, который был залит в каталог с зачем-то мной забытым дистрибутивом вордпресса (дефолтную тему).
Все вхождения в логах с Permission Denied, т.е. вроде как файл занесли, но проэксплуатировать в полной мере не удалось – это радует.
Перешёл на группу фейсбука, там эти гаврики публикуют списки “похаканых” сайтов. Свой там не обнаружил, значит атака “захлебнулась”.
Update: нет, всё-таки обнаружил. Обновилась инфа. Но она неактуальна.
Вот страница: https://www.facebook.com/D4RK.4NG31.Official?_rdr=p
Сайтов много, разных. В основном зарубежка. Похоже была обнародована какая-то бага в плагине, и злоумышленники наваяли простой скрипт, который сканит сайты в поисках…ну того, что можно наворотить.
Что сделано
- Настроил политики tripwire стучать обо всех подозрительных файлах в каталогах веб-серверов.
- Удалил к чертям дистрибутивы wordpress и все вхождения wish.html и ms-wish.php (mass deface) в каталогах.
/var/www# find -name "wish.html" -delete
/var/www# find -name "ms-wish.php" -delete
Выводы
Удаляйте все неиспользуемые файлы, особенно это касается дистрибутивов с модулями и каталоги с правами на запись. Пока тьфу-тьфу-тьфу, не появляется проблемка.
P.S. Проверил бегло список сайтов из группы. Все, что протестил – на WordPress. Уязвимость в продукте.
Comments: