PHP-virus. Реалии

[Burunduk-13]

PHP-virus. Реалии

Здравствуйте, уважаемая общественность.

Сегодня столкнулся с интересной проблемой. Попросили исправить слегка дефейснутый сайт. При ближайшем рассмотрении проблемы, нашел кучу пхп-кода и штмл-кода, внедренного в различнейших местах сайта.
Изучение показало, что с вероятностью 99% внедрение происходило автоматически. Вывод: "самораспространящиеся php-virus'ы - уже реальность".
Теоретически в это верил уже пару лет назад. Как такое реализовываеться и т.т. представление имею, технические детали описывать не буду (было бы глупо ).

А теперь вопрос к общественности:
1. Встречался ли кто-нить раньше с таким чудом? Насколько они распространены?
Как я себе представляю, проблема в shared hosting.
2.1. Ввиноват ли хостер?
2.2. Возможные действия после заражения?
Возможно я не прав, и пути распространения совсем иные, нежели я себе представляю. Если да - то было бы интересно о них узнать.
3. Способы защиты, кроме как VPS?

п.с.
просьба: не писать в топике технических деталей вирусописания. Топик читаю дети. Есть личка.

 

[WP]

Да какие тут сложности непонятно, а уж тем более секреты, я тоже такое делал ради смеха когда нечего было делать. Сначала пишется скрипт который слегка дефейсит, потом делается скрипт который при запуске пытается поломать хостинг. Самый простой вариант, если apache из под nobody, это прочесть /etc/passwd и потом подменить юзера в пути до папки www (htdocs), т.к. на /home/user обычно прав нет, а на /home/user/www естественно есть. sade_mode и open_basedir обходится в зависимости от версии PHP, т.е. либо через уязвимость, либо через ssi exec например, или через Perl. Ну а дальше все по сценарию. А также нужно позаботится о том чтобы скрипт заливался и на другие сервера: пишется паучок который ищет погугли старый phpbb, или любой другой бажный скрипт который можно поломать автоматом. Вот и всё.. Способы защиты - нормальный хостинг с толковым админом, и не надо юзать бесплатные скрипты.

 

[Gorynych]

1. Встречался. Чаще всего это дыры в свободнораспространяемых CMS. Практически всегда фигурирует perl как первичный инструмент.

2.1. Относительно. Есть несколько сомнений в части прав и привелегий, но в целом - большинство дыр проистекает от самих PHP-движков.

2.2. В качестве быстрого средства использовал набор rewrite-правил, в том числе - блокирующих выполнение perl-скриптов и вызовов как неактальных. Дальше - планомерный разгреб завала и (старо как мир, но так же актуально) анализ логов.

3. Как уже писал выше - в варианте виртуального хостинга у меня основной упор на rewrite. При виртуальном хостинге на него ложится основная работа. Самый неприятный момент в этой схеме - это защита от соседей по хостингу. Для чего пробуем ужесточать права на каталоги. Но тут масса вопросов о том, как работает Апач у конкретного хостера.

Не скажу, что я уверен в абсолютной надежности своего варианта, но во всяком случае последний месяц мне нравится наблюдать упорные но пока неудачные попытки продолбить сайт тем же способом в логах

P.S. Вариант перестроенной архитектуры сервера на колокейшене расписывать сейчас не буду, я так понимаю речь не об этом

 

[Alexandre]

Вывод: "самораспространящиеся php-virus'ы - уже реальность"

бред чистой воды

Чаще всего это дыры в свободнораспространяемых CMS

а это ближе к теме

 

[Burunduk-13]

2Gorynych
> Как уже писал выше - в варианте виртуального хостинга у меня основной упор на rewrite
А можно поделиться своими rewrite правилами. Интересно.

2Alexandre

> "самораспространящиеся php-virus'ы - уже реальность"
> бред чистой воды
Можно попробовать не согласиться?
товарищ WP писал.
> ...я тоже такое делал ради смеха когда нечего было делать...
разве не реальность?

> Чаще всего это дыры в свободнораспространяемых CMS
согласен
Товарищ WP описал в принципе реальную схему работы такого вируса.
1. распространение между серверами с помощью дыр в CMS.
2. ну и попытки заразить другие сайты на сервере путем прямого доступа к файлам.
----
Чем не вирус, и заражает, и распространяется?

 

[Alexandre]

Можно попробовать не согласиться?
товарищ WP писал.

он писал и я +1 что

Чаще всего это дыры в свободнораспространяемых CMS

а что существуют вирусы для пхп сайтов - бред.

 

[Burunduk-13]

Хочеться поспорить по этому поводу все же, но.. это лучше сделать за кружечкой пива в реале...
вирус-невирус. от названия суть не изменилась.

-~{}~ 22.08.06 16:02:

ой. Я наверно понял, куда меня тыкали 4 раза!
Спасибо.

 

[Alexandre]

Хочеться поспорить по этому поводу все же, но.. это лучше сделать за кружечкой пива в реале...

Будешь в Питере - звони, поспорим, а я еще Диму и 440Hz приглашу.