Материал просмотрен 93 раз(а)

Недавно столкнулся с занятной вещицей – вдруг обнаружил файл wish.html в корне веб-сайта. Там была веб-страничка из разряда “Вас похакали!”, какая-то группировка, то-ли немцы, то ли кто-то ещё. Дай гляну по логам:

/var/log/nginx# grep -rn wish.html

Несколько вхождений, все идёт от файла ms-wish.php – скрипт, который был залит в каталог с зачем-то мной забытым дистрибутивом вордпресса (дефолтную тему).

Все вхождения в логах с Permission Denied, т.е. вроде как файл занесли, но проэксплуатировать в полной мере не удалось – это радует.

Перешёл на группу фейсбука, там эти гаврики публикуют списки “похаканых” сайтов. Свой там не обнаружил, значит атака “захлебнулась”.

Update: нет, всё-таки обнаружил. Обновилась инфа. Но она неактуальна.

Вот страница: https://www.facebook.com/D4RK.4NG31.Official?_rdr=p

Сайтов много, разных. В основном зарубежка. Похоже была обнародована какая-то бага в плагине, и злоумышленники наваяли простой скрипт, который сканит сайты в поисках…ну того, что можно наворотить.

Что сделано

  1. Настроил политики tripwire стучать обо всех подозрительных файлах в каталогах веб-серверов.
  2. Удалил к чертям дистрибутивы wordpress и все вхождения wish.html и ms-wish.php (mass deface) в каталогах.
    /var/www# find -name "wish.html" -delete
    /var/www# find -name "ms-wish.php" -delete

Выводы

Удаляйте все неиспользуемые файлы, особенно это касается дистрибутивов с модулями и каталоги с правами на запись. Пока тьфу-тьфу-тьфу, не появляется проблемка.

P.S. Проверил бегло список сайтов из группы. Все, что протестил – на WordPress. Уязвимость в продукте.