Hack webu RS
Pondělí, 29 Srpen 2011 16:47
Jak jsme Vám před nedávnem slíbili, přinášíme podrobnosti o hacku našeho webu. Hack byl zřejmě směřován z Alžíru vzhledem k úvodí stránce, kterou po sobě zanechali (viz. níže). Ihned po zjištění hacku jsme se snažili zjistit příčiny a důsledky hacku. Začali jsme u důsledků. Změněn byl soubor index.php v kořenovém adresáři webu za statickou stránku, bez jakéhokoliv škodlivého kódu. Mimo to bylo do všech adresářů s právy 777 nahrán soubor index.html, který obsahoval škodlivý javascript kód (Google Chrome ho hlásil jako Malware). Po bližším prozkoumání kódu bylo zjištěno, že se jedná pouze o složitý cyklus, který má za úkol vytížit co nejvíce CPU počítače.
Všechny soubory tedy byly smazány, adresářům nastavena práva 755 a soubor index.php byl nahrán ze zálohy. Tím skončilo odstraňování důsledků hacku a začali jsme hledat příčiny. Obávali jsme se útoků skrze některou z komponent třetí strany nebo některý bug v naší ne zrovna aktuální verzi Joomly. To se však nepotvrdilo. Divné bylo především přepsání souboru index.php, který měl práva nastaveny zcela správně a přepsat ho by tedy mělo být poměrně těžké bez přístupu na FTP.
Bohužel (bohudík) jsme byly upozorněni i na další weby, které byly hacknuty stejnou osobou (skupinou). Po konzultaci s vlastníkem domén jsme došli k závěru, že všechny napadené weby běželi na naprosto odlišných CMS, některé dokonce na vlastních aplikacích, ale naopak jsou všechny umístěny na stejném serveru u stejného hostingu.
Od hostingu se nám dostalo pouze strohé odpovědi s tím, že současná společnost hosting přebírala nedávno a nestihli ještě napravit všechny špatné nastavení apache serveru, které způsobili průnik útočníky do našich webových prostorů. S omluvou nám obnovili kompletní zálohy webů a tím vše uzavřeli.
Na závěr ještě přikládám náhled javascriptového kódu, který útočník vložil do html stránek. Pro jistotu přikládám pouze fragment.
7.22
3.0.3
3.5.1
1.5.4
1.5.1