Взлом сайта www.linuxcnc.org

Взлом сайта www.linuxcnc.org

Сообщение Nick » 18 ноя 2011, 11:22

Неприятная новость, некоторое время назад, был взломан сайт http://www.linuxcnc.org. Взлом скорее всего связан с использованием CMS Joomla (хотя, официальной информации по этому вопросу пока нет).

В результате взлома подменяется выдача страниц, добавляются рекламные ссылки и меняется название страницы.
Взлом сайта www.linuxcnc.org LinuxCNC.png

Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса). Похоже, что скрипты злоумышленников отслеживают поле referrer.
Также при замене поля UserAgent на GoogleBot, в выдаче появляются все те же рекламные ссылки.

Хочется пожелать администрации сайта скорейшего решения проблемы. Выражаем готовность помочь с решением проблемы.

Если кто-то выявит другие проявления взлома просьба сообщить об этом или мне или напрямую администрации linuxcnc.org.

PS Со своей стороны несколько недель назад предлагал помощь админам linuxcnc, но ответа не последовало.

PSS Всегда обидно, когда такие хорошие проекты подвергаются атакам злоумышленников. И несмотря на то, что вирус наверняка распространяется автоматически, хотелось бы пожелать, как выразился один из пользователей drupal.ru, рака яичек тем, кто ответственен за взлом этого ресурса :twisted:!
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev » 18 ноя 2011, 13:45

Nick писал(а):Взлом скорее всего связан с использованием CMS Joomla

Ник ты для людей или инопланетян пишешь? Ты сразу на русский переводи, тут пол форума профильных направляющих не видело, а ты про CMS Joomla
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
aftaev
Зачётный участник
Зачётный участник
 
Сообщения: 31976
Зарегистрирован: 04 апр 2010, 19:22
Откуда: Казахстан. Шымкент
Репутация: 5713
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev » 18 ноя 2011, 13:47

Nick писал(а):И несмотря на то, что вирус наверняка распространяется автоматически,

Так вроде Линух вирусам не есть подвержен. Иль у них сервак на Винде :)
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
aftaev
Зачётный участник
Зачётный участник
 
Сообщения: 31976
Зарегистрирован: 04 апр 2010, 19:22
Откуда: Казахстан. Шымкент
Репутация: 5713
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 18 ноя 2011, 14:04

CMS Joomla - это система управления сайтом, которая может выполнять дополнительные функции, например, поддержка форумов, блогов и прочего.
Нет безупречных систем, везде есть уязвимости, иногда они критичные, иногда нет. Например, получив доступ к моему аккаунту на этом форуме, можно стереть весь форум или написать в любом сообщении что угодно. Доступ можно получить разными путями, можно прослушивать сеть и попытаться выцепить идентификаторы сессии, можно попробовать найти уязвимость в движке форума, или воспользоваться термо-анальным-криптоанализом.

Зачастую злоумышленник узнает о той или иной уязвимости программного обеспечения, пишет вредоносный скрипт, который шарит по интернету/гуглу и инфицирует или просто переписывает уязвимые сайты.
Есть вирусы которые распространяются через сайты: Однажды на один мой сайт был инфицирован вирусом, который дописывал iFrame, если зайти на такой сайт через Internet Explorer, то IE скачает из интернета выполняемые *.exe файл и запустит его на локальном компьютере. Потом вирус ищет записи с логинами и паролями от FTP серверов, в моем случае он нашел их в настройках Total Commander. После этого вирус заходит на эти сервера и к каждому *.htm или *.php файлу приписывает элемент iFrame. Получается, что этот вирус живет и в Linux, на котором работает сервер и в Win.

Основное отличие, что в Linux заражение одного сайта никак не влияет на заражение других сайтов находящихся на том же сервере. Поэтому говорят, что вирус не под Линукс, т.к. линукс не при делах 8-) .
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение vladimir74 » 18 ноя 2011, 17:36

тут еще вопрос не столько в cms, сколько возможно под систему писали собственные модули и компоненты и как правило именно тут и появляются дыры в безопасности. Я про то что виновата может быть не joomla не linux, а человеческий фактор.
у меня в моих разработках большую часть времени занимает проверка кода на безопасность.
vladimir74
Почётный участник
Почётный участник
 
Сообщения: 544
Зарегистрирован: 25 май 2011, 14:14
Откуда: Магнитогорск
Репутация: 19
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 18 ноя 2011, 17:42

Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение vladimir74 » 18 ноя 2011, 17:55

Nick писал(а):Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.

Эта хрень вроде под вордпресс писалась, наверное под джумлу адаптировали......
vladimir74
Почётный участник
Почётный участник
 
Сообщения: 544
Зарегистрирован: 25 май 2011, 14:14
Откуда: Магнитогорск
Репутация: 19
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение roach » 21 ноя 2011, 09:43

Nick писал(а):Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса).


у меня уже полгода отображается пустая страница, приходится убирать www. - тогда нормально.
Аватара пользователя
roach
Мастер
 
Сообщения: 205
Зарегистрирован: 01 июн 2011, 07:55
Репутация: 0
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 21 ноя 2011, 12:21

Можно просто enter нажимать в строке адреса, тогда referrer будет пустой и страница будет нормально отображаться.
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение PKM » 06 дек 2011, 02:30

Похоже, что-то делают с форумом. Надеюсь, починяют :)
Аватара пользователя
PKM
Почётный участник
Почётный участник
 
Сообщения: 4261
Зарегистрирован: 31 мар 2011, 18:11
Откуда: Украина
Репутация: 703
Медальки:
Настоящее имя: Андрей

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev » 06 дек 2011, 09:43

а какой смысл было его ваще ломать? Эт же не социальная сеть где акки нужны или PayPal где деньги шастают :)
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
aftaev
Зачётный участник
Зачётный участник
 
Сообщения: 31976
Зарегистрирован: 04 апр 2010, 19:22
Откуда: Казахстан. Шымкент
Репутация: 5713
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 06 дек 2011, 09:50

Помнишь я писал про продажу ссылок? В интренете поисковики ранжируют сайты в зависимости от количества других сайтов на них ссылающихся. Считается взвешенная сумма всех ссылок ведущих на твой сайт получается твой PR. Вес ссылок определяется исходя из PR сайта ссылающегося на тебя. Итого чем больше крутых сайтов на тебя ссылается, тем выше твой сайт в поисковике. А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.

За текстовую ссылку на главной странице хорошего сайта могут платить больше, чем за баннер на той же странице ;).
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev » 06 дек 2011, 10:02

Nick писал(а):А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.

Ну взломали, разместили ссылку. Заметели хозяины левую ссылку ее стерли. Но наверно мошенники логин и пароль сменили к доступу сайта.
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
aftaev
Зачётный участник
Зачётный участник
 
Сообщения: 31976
Зарегистрирован: 04 апр 2010, 19:22
Откуда: Казахстан. Шымкент
Репутация: 5713
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 06 дек 2011, 10:17

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 06 дек 2011, 10:17

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:

Re: Взлом сайта www.linuxcnc.org

Сообщение kernel » 18 дек 2011, 17:18

Блин... я около месяца назад когда заходил, не понял сначала, с какого перепугу ссылки у них размещены.
А вообще часто подобное получается из-за пофигистического отношения к сайту (к linuxcnc это, конечно, не относится). Один из недавних примеров. Сообщаю одному из работников одной компании, что у них на сайте в самом прямом виде XSS - вставляй на страницы что хочешь (причем, не только в индексе поисковиков будет видно, например, подстановкой методом GET, но и в реальности из-за записи в БД страница будет модифицирована). Так они плюнули на это и нисколько не отреагировали. Так что...
kernel
Опытный
 
Сообщения: 158
Зарегистрирован: 12 мар 2011, 15:48
Откуда: Красноярск
Репутация: 17

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick » 18 дек 2011, 21:49

Самая жопа, что бороться с этим тяжело - нельзя наказывать сайты, которые себя продвигают использую подобные вирусы. Если будут наказывать все такие сайты, то это просто превратится в метод конкурентной борьбы - завали конкурента...
Аватара пользователя
Nick
Мастер
 
Сообщения: 22527
Зарегистрирован: 23 ноя 2009, 16:45
Откуда: Gatchina, Saint-Petersburg distr., Russia
Репутация: 1577
Заслуга: Developer
Медальки:


Вернуться в Новости и анонсы

Кто сейчас на конференции

Зарегистрированные пользователи: Alex lamaka, Alexa [Bot], Argon-11, Алексей063, Bing [Bot], Enginemaster, Enot_1, error101, evgenymcp, Google [Bot], Kiriba, Majestic-12 [Bot], mikehv, PavelTch, pegas13, гражданинъ, Sakhalin_Cat, seregamalahov, shalek, shatrovmaxim, sima8520, UAVpilot, uralpt, wzor, Yandex [bot], Ильдар

Reputation System ©'