Hack webu RS

Úvodní strana \ Všeobecně \ Redakční systémy Články \ Hack webu RS

Pondělí, 29 Srpen 2011 16:47

rslogo Jak jsme Vám před nedávnem slíbili, přinášíme podrobnosti o hacku našeho webu. Hack byl zřejmě směřován z Alžíru vzhledem k úvodí stránce, kterou po sobě zanechali (viz. níže). Ihned po zjištění hacku jsme se snažili zjistit příčiny a důsledky hacku. Začali jsme u důsledků. Změněn byl soubor index.php v kořenovém adresáři webu za statickou stránku, bez jakéhokoliv škodlivého kódu. Mimo to bylo do všech adresářů s právy 777 nahrán soubor index.html, který obsahoval škodlivý javascript kód (Google Chrome ho hlásil jako Malware). Po bližším prozkoumání kódu bylo zjištěno, že se jedná pouze o složitý cyklus, který má za úkol vytížit co nejvíce CPU počítače.

screen

Všechny soubory tedy byly smazány, adresářům nastavena práva 755 a soubor index.php byl nahrán ze zálohy. Tím skončilo odstraňování důsledků hacku a začali jsme hledat příčiny. Obávali jsme se útoků skrze některou z komponent třetí strany nebo některý bug v naší ne zrovna aktuální verzi Joomly. To se však nepotvrdilo. Divné bylo především přepsání souboru index.php, který měl práva nastaveny zcela správně a přepsat ho by tedy mělo být poměrně těžké bez přístupu na FTP.

Bohužel (bohudík) jsme byly upozorněni i na další weby, které byly hacknuty stejnou osobou (skupinou). Po konzultaci s vlastníkem domén jsme došli k závěru, že všechny napadené weby běželi na naprosto odlišných CMS, některé dokonce na vlastních aplikacích, ale naopak jsou všechny umístěny na stejném serveru u stejného hostingu.

Od hostingu se nám dostalo pouze strohé odpovědi s tím, že současná společnost hosting přebírala nedávno a nestihli ještě napravit všechny špatné nastavení apache serveru, které způsobili průnik útočníky do našich webových prostorů. S omluvou nám obnovili kompletní zálohy webů a tím vše uzavřeli.

Na závěr ještě přikládám náhled javascriptového kódu, který útočník vložil do html stránek. Pro jistotu přikládám pouze fragment.

function C2AC9E35659(B5BD8A0A2CC2){var A74B97106=58;A74B97106=A74B97106-42;return(parseInt(B5BD8A0A2CC2,A74B97106));}function D2023232F728B(B11F2EBDDE1A){var E3F8064637A3622=140;E3F8064637A3622=E3F8064637A3622-138;var B8D92D62="";