CMS MODx подвержена взлому?

Не так давно (10.12.2008)пытался зайти на один из моих сайтов, однако, введя в адресную строку браузера адрес упомянутого сайта, попал на страницу ошибки хостинга, где было черным по белому написано, что мой сайт заблокирован. По той причине, что я “не продлил хостинг”. Якобы…
Я был в недоумении.

Зайдя в электронную почту, куда мне должны присылать новости от www.agava.ru (хостинг, где находится вышеупомянутый сайт), я прочел сообщение следующего содержания:

 

“Здравствуйте.
Вас беспокоит служба технической поддержки АГАВА.
Зафиксирован факт рассылки спама с участием аккаунта:
norgein0, по адресу:
http://www.site.ru//assets/snippets/reflect/www.royalbank.com/.
На данный момент мы делаем Вам предупреждение, но мы будем вынуждены
закрыть Вам доступ к сайту, если это повторится. Пожалуйста, примите меры.

Если Вы не размещали подобного контента, возможно Вы подверглись взлому,
в этом случае необходимо связаться с нами для получения необходимых
рекомендаций.

Спам рассылался не с нашего сервера, но в спам-рассылках использовались
ссылки на Ваш сайт, что также является спамом.--
С уважением, Ренат Кабиров/Специалист службы технической поддержки
E-mail: support@agava.com
Служба поддержки хостинга AGAVA
http://hosting.agava.ru/”

 

Первые секунды был несколько ошеломлен.После понял, что все произошло из-за несанкционированного действия третьих лиц, взломавших сайт путем кражи пароля доступа в панель администрирования CMS или данных для доступа по FTP. Связавшись по телефону со службой техподдержки хостинга для выяснения того, “что” я должен предпринять со своей стороны, понял, что требуется удалить “инородную” папку на моем сайте,воспользовавшись FTP-протоколом. После удаления упомянутой папки и сообщения об этом в техподдержку, мне восстановили работоспособность сайта.

Кстати, незадолго (10.12.08) до упомянутого сообщения мне было выслано письмо следующего содержания:

 

“Уважаемые сотрудники www.site.ru,

 

Мы подозреваем, что в отношении вашего вебсайта www.site.ru совершены мошеннические действия. В настоящее время ваш вебсайт предоставляет некоему лицу ресурсы для осуществления фишинга в отношении Royal Bank Of Canada.

Просим вас немедленно удалить все каталоги и файлы, являющиеся источником мошеннических действий, и предпринять меры для защиты своего вебсайта, безопасность которого в настоящее время находится под угрозой.

 

http://www.site.ru//assets/snippets/reflect/www.royalbank.com/

 

Кроме того, просим вас предоставить нам все исходные файлы-источники мошеннических действий.

 

Если у вас возникнут дополнительные вопросы или вам потребуется помощь, просим вас связаться с нами. Мы будем благодарны вам за сотрудничество. ”

 

“Уважаемые господа!

Компания "RSA" действует в сфере борьбы с мошенничеством и обеспечения безопасности. Нами заключен договор об оказании помощи по предотвращению или прекращению онлайновой деятельности, направленной против клиентов банка как потенциальных жертв мошенничества, с ведущим канадским банком Royal Bank of Canada и связанными с ним структурами (в дальнейшем -“RBC”)

Компании "RSA" стало известно, что вы предоставляете интернет-услуги мошеннической страничке, которая является частью жульнической системы типа "фишинг"**. Эта деятельность нарушает авторские права, зарегистрированные товарные знаки и иные права интеллектуальной собственности банка RBC и может нарушать уголовное законодательство Канады, Соединенных Штатов Америки и других стран.

Некое физическое или юридическое лицо широко рассылает различным пользователям сообщения электронной почты, которые выглядят как отправленные банком RBC. Эти сообщения используют имя и идентификационные признаки (включая товарные знаки) банка RBC без его разрешения. В тексте сообщений получателям предлагается проверить и передать уязвимые данные, связанные с их банковскими счетами в RBC.

Эти мошеннические сообщения содержат ссылку, которая приводит пользователей к "фальшивой" страничке в интернете, демонстрирующей защищенные авторскими правами материалы и товарные знаки банка RBC. Мошенническая страничка размещена по следующему адресу URL: http://www.site.ru//assets/snippets/reflect/www.royalbank.com/ ). Вы предоставляете услуги по этому адресу, и он находится под вашим контролем.

 

Мошенническая страничка не только представляет собой ненадлежащее использование интеллектуальной собственности банка RBC; ее целью является получение персональной информации о клиентах банка обманным путем с целью обеспечения мошеннического доступа к их банковским счетам. Лица, скрывающиеся за такими интернет-страничками, обычно занимаются деятельностью по краже личных данных, в частности, использование кредитных карточек или банковских счетов клиента без его разрешения. Более того, поскольку абсолютное большинство таких сообщений электронной почты не отправляется в адрес настоящих клиентов банка RBC, подобные действия наносят ущерб репутации и имиджу банка.

Просим вас принять все необходимые меры для немедленного отключения фальшивой интернет-странички, перекрытия ее доступа к интернету и прекращения отправки любых сообщений электронной почты, связанных с упомянутой интернет-страничкой.

Мы понимаем, что вы могли не знать о подобном незаконном использовании ваших услуг, и высоко ценим ваше сотрудничество. Мы также просим вас предпринять следующие действия:

Просим предоставить нам файл типа tar/zip, который содержит исходный код этой странички. Это даст нам возможность проанализировать его с целью предотвращения подобных атак в будущем.

Если ваша система или оборудование зафиксировали и хранят какие-либо данные о клиентах, то мы также просим отправить их нам. Это позволит известить клиентов, к которым относятся эти данные, и предпринять меры для защиты их счетов.

Мы также просим предоставить копии любых имеющихся у вас записей, которые содержат имя, контактную информацию, метод платежа или любые иные подобные сведения. Эти сведения могли бы помочь нам определить личность и местонахождение клиента, в интересах которого функционировала такая интернет-страничка.

Благодарим за сотрудничество в целях предотвращения и прекращения подобных мошеннических операций.

Искренне ваши,
Центр по борьбе с мошенничеством компании "RSA"
Тел.: +44(0)800-032-7751 (Великобритания)
Тел.: +1-866-408-7525 (США)
Тел.: + 1-800-406-8651 (CA)
Факс: +972-9-9728101 (ЕС)
Факс: +1-212-208-4644 (США)
Электронная почта: afcc@rsasecurity.com

http://www.rsa.com

For more information about RSA's AFCC http://www.rsa.com/node.aspx?id=3348

 

Копия отправлена в: Royal Bank of Canada
Computer Security Incident Response Team, RBC Information Security Services
Адрес: 315 Front St. W. - 13th Flr, Toronto, Ontario M5V 3A4
Тел: +1 - 416-348-4498
Факс: +1 - 416-348-2751
Электронная почта: CSIRT@rbc.com

 

**"Фишинг" - это мошенничество по электронной почте, в ходе которого у клиентов пытаются обманным путем выудить секретную информацию, в частности, номера кредитных или дебитных счетов, счетов для снятия денег по чекам, номера социального страхования или пароли к банковским счетам. Это делается посредством интернет-страничек или ответного сообщения по электронной почте.”


Советы во избежание подобного

“Что” было взломано (CMS или сам сайт), окончательный ответ со стопроцентной уверенностью дать не могу, однако могу дать некоторые советы, которые помогли бы всем остальным избежать подобных неприятных ситуаций.

  • Старайтесь не хранить пароли в FTP-клиентах. Лучше каждый раз, когда заливаете содержимое на сайт с помощью FTP-протокола, вводите вручную пароль
  • Почаще проверяйте свой локальный компьютер на наличие троянов, по возможности пользуйтесь антивирусами и программами-антишпионами

Кстати, один из сотрудников техподдержки вышеупомянутого хостинга посоветовал мне во избежание подобных ситуаций следующее:

Вот его сообщение:

Ваш сайт был разблокирован.

По поводу ситуации с заражением контента Вашего сайта вирусами следует
отметить, что мы отвечаем за безопасность сервера в целом, за
безопасность своего хостинга клиент отвечает самостоятельно.
Антивирусом у нас периодически проверяется почта, клиентские директории
не проверяются, т.к. под FreeBSD вирусов нет.

Раз у Вас на хостинге появляются вирусы, значит их кто-то
прописывает/закачивает - сами по себе они никак возникнуть не могут.
Скорее всего Ваш локальный компьютер, с которого Вы подключаетесь к
хостингу, заражен вирусом или содержит троян, получающий доступ к Вашим
паролям и изменяет контент сайта.

Также возможен взлом, который происходит в случаях:
- если злоумышленник каким-либо образом узнал Ваш пароль.
- плохо написанные скрипты (например, форумы).

При выполнении нижеописанных рекомендаций, взлом хостинга будет весьма
затруднительным.

    Рекомендуем:
  1. Найти и удалить все вирусное содержимое (теги iframe, скрипты, которые Вы не добавляли) со страниц вашего сайта.
  2. Сменить пароль (можно сделать в Панели управления -> Изменить пароль)
  3. Установить/проверить соответствующие права: На папки должны быть права - 0755; На php-скрипты, html, shtml файлы и прочие - 0644; На perl-скрипты - 0755.
  4. Своевременно обновлять используемые скрипты до последних версий.
  5. Проверить локальный компьютер на наличие вирусов и троянов.
  6. Избегать хранение паролей в открытом виде, например в ftp клиентах.

Кроме того, для предотвращения повторения подобных проблем в дальнейшем,
рекомендуем Вам своевременно устанавливать на компьютер все актуальные
заплатки от Microsoft, регулярно обновлять базы локального антивируса,
установить на машину брандмауэр, не запускать незнакомые файлы пришедшие
по почте и выключить, по возможности, автозагрузку ActiveX в браузере.
Примите во внимание, что Вы сами несете ответственность за свой контент.

 

С уважением, Ренат Кабиров/Специалист службы технической поддержки
E-mail: support@agava.com
Служба поддержки хостинга AGAVA
http://hosting.agava.ru/

 

Любопытно отметить тот факт, что вчера 23.12.2008 я обнаружил, что тот же самый сайт был опять заблокирован. Причина та же, на этот раз чужеродный объект был http://www.site.ru//assets/snippets/reflect/www.royalbank.com/. Пришлось проделать то же самое, что и в первый раз.

+ 0 -

Добавить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив

Нажимая на кнопку «Отправить комментарий», я даю согласие на обработку персональных данных.