Как я вижу, тут на форуме до сих пор не потеряла свою актуальность тема о недавней серии падений сайта, и некоторые даже задавались вопросом о том, не войдёт ли такое поведение сайта в систему.
В связи с этим я решил немного прояснить техническую сторону этого дела, поскольку я не только в этом понимаю (теперь), но и непосредственно занимался обнаружением и устранением дыры, через которую хакеры заходили на наш сервер как к себе домой.
Кроме того я объясню причину появления дыры.
Итак.
Начинку этого сайта сделали очень давно, и долго никто этим не занимался, и как эта начинка устроена, все давно забыли. Не так давно хозяева сайта решили сменить хостинг по неизвестной мне совокупности причин. Фокус заключается в том, что перенос сайта осуществлялся совсем не теми людьми, которые сайт делали, и эти люди в кодах особо не разбирались, а тупо выполнили физический перенос сайта, как их просили. Владельцы сайта не настолько разбираются в веб-технологиях, что бы знать о тонкостях настройки безопасности веб-сервера.
В результате получилось как в старой русской поговорке, которая гласит, что у семи нянек дитя без глазу. Все вместе пропустили тот момент, что сайт сделан по старым технологиям с использованием старых методов передачи данных между программными модулями.
Для того, что бы обнаружить в интернете сайты с такими методами передачи данных, достаточно дать любому поисковому серверу соответствующий запрос. После этого остаётся только проверить, включены ли на данном сервере настройки, с помощью которых можно взломать этот сайт. Какие-то хакеры, действующие через прокси-сервера (прокси скрывают адрес атакующего) влезли на сайт, и использовали часть места на сайте dalnoboi.ru для хранения своих файлов. Файлов было несколько тысяч.
Никто бы ничего не заметил, если бы эти же или какие-то другие хакеры не повесили бы на главной странице сайта и на страницы форума вируса, который был многими замечен.
Когда вирус был замечен, владельцы сайта обратились за помощью к техподдержке masterhost.ru. Техподдерка неоднократно отрапортовала об удалении вируса (и получила за это деньги), но хакеры ходили сюда как к себе домой и вешали вируса обратно.
После этого владельцы сайта обратились ко мне. Я никогда раньше с вирусами на сайтах не боролся, и дыры на сайтах не искал, но я быстро обучаюсь и человек ответственный. Сперва я удалил вируса так же, как это делала служба техподдержки masterhost.ru. Этого хватило не на долго. Потом я пробовал поиграть с правами доступа к файлам и папкам, этого хватило часов на двенадцать. Потом я был занят кучей другой работы.
Потом я слегка разобрался с программным обеспечением сайта и сделал программку, которая автоматически удаляла вируса, как только он появлялся. Этого хватило на сутки. После этого сайт подвергся массированной атаке, которую я мог наблюдать воочию, видя, как на сайте появляются новые файлы, и портятся старые. Благодаря тому, что мне удалось пронаблюдать саму атаку, я смог понять, какие программные модули использовали хакеры для взлома.
После массированной атаки сайт рухнул, и мне пришлось повесить сообщения о том, что сайт временно недоступен по техническим причинам.
После этого, когда ко мне пришёл лог (запись всех обращений к сайту, в masterhost этот файл доставляется раз в сутки в 00 часов по Москве), я смог в точности посмотреть метод взлома сайта, то есть я нашёл дыру, через которую эти козлы ходили на сайт как к себе домой.
Что бы дыру заткнуть, надо было сделать одно из двух: либо изменить настройки сервера, либо переделать часть программных модулей, а их там 720 штук. Надо было ещё найти, какие из них переделать.
Естественно, что я послал заявку в masterhost, что бы они изменили настройки. Это было в районе 2-ух часов ночи седьмого марта. Заявку техподдержка masterhost выполнила только в районе двух часов дня, когда я был занят другой работой. В ночь с седьмого на восьмое я сайт и форум восстановил (хакеры повредили некоторые файлы, которые надо было ещё найти). Имевшаяся на сайте резервная копия также содержала файлы, добавленные туда хакерами. В общем, пришлось всё чистить.
Утром восьмого я и внешний вид форума вернул к тому виду, который у него был изначально.
Резюме: дыра заткнута, сайт падать больше не будет. Вирусы на нём появляться тоже не должны.
Сайт, правда, иногда был недоступен вместе со всем masterhost.ru. Это бывает. К сожалению. Я сейчас изучаю программную начинку сайта, что бы его слегка переделать и положить на другой хост. Обо всех перерывах в работе, связанных с моей деятельностью, я буду сообщать заранее. Один перерыв будет на несколько часов. Но это скорее всего через неделю - через две. Зато после этого стабильность работы сайта повысится.
Всем привет. ДимаН.
Последний раз редактировалось DimaNProg 11 мар 2012 16:59, всего редактировалось 1 раз.
|