Взлом сайта www.linuxcnc.org

Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Взлом сайта www.linuxcnc.org

Сообщение Nick »

Неприятная новость, некоторое время назад, был взломан сайт http://www.linuxcnc.org. Взлом скорее всего связан с использованием CMS Joomla (хотя, официальной информации по этому вопросу пока нет).

В результате взлома подменяется выдача страниц, добавляются рекламные ссылки и меняется название страницы.
LinuxCNC.png (11846 просмотров) <a class='original' href='./download/file.php?id=3253&sid=a88f3c508eddd38047987cd58d2d8a32&mode=view' target=_blank>Загрузить оригинал (358.17 КБ)</a>
Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса). Похоже, что скрипты злоумышленников отслеживают поле referrer.
Также при замене поля UserAgent на GoogleBot, в выдаче появляются все те же рекламные ссылки.

Хочется пожелать администрации сайта скорейшего решения проблемы. Выражаем готовность помочь с решением проблемы.

Если кто-то выявит другие проявления взлома просьба сообщить об этом или мне или напрямую администрации linuxcnc.org.

PS Со своей стороны несколько недель назад предлагал помощь админам linuxcnc, но ответа не последовало.

PSS Всегда обидно, когда такие хорошие проекты подвергаются атакам злоумышленников. И несмотря на то, что вирус наверняка распространяется автоматически, хотелось бы пожелать, как выразился один из пользователей drupal.ru, рака яичек тем, кто ответственен за взлом этого ресурса :twisted:!
aftaev
Зачётный участник
Зачётный участник
Сообщения: 34042
Зарегистрирован: 04 апр 2010, 19:22
Репутация: 6191
Откуда: Казахстан.
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev »

Nick писал(а):Взлом скорее всего связан с использованием CMS Joomla
Ник ты для людей или инопланетян пишешь? Ты сразу на русский переводи, тут пол форума профильных направляющих не видело, а ты про CMS Joomla
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
aftaev
Зачётный участник
Зачётный участник
Сообщения: 34042
Зарегистрирован: 04 апр 2010, 19:22
Репутация: 6191
Откуда: Казахстан.
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev »

Nick писал(а):И несмотря на то, что вирус наверняка распространяется автоматически,
Так вроде Линух вирусам не есть подвержен. Иль у них сервак на Винде :)
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

CMS Joomla - это система управления сайтом, которая может выполнять дополнительные функции, например, поддержка форумов, блогов и прочего.
Нет безупречных систем, везде есть уязвимости, иногда они критичные, иногда нет. Например, получив доступ к моему аккаунту на этом форуме, можно стереть весь форум или написать в любом сообщении что угодно. Доступ можно получить разными путями, можно прослушивать сеть и попытаться выцепить идентификаторы сессии, можно попробовать найти уязвимость в движке форума, или воспользоваться термо-анальным-криптоанализом.

Зачастую злоумышленник узнает о той или иной уязвимости программного обеспечения, пишет вредоносный скрипт, который шарит по интернету/гуглу и инфицирует или просто переписывает уязвимые сайты.
Есть вирусы которые распространяются через сайты: Однажды на один мой сайт был инфицирован вирусом, который дописывал iFrame, если зайти на такой сайт через Internet Explorer, то IE скачает из интернета выполняемые *.exe файл и запустит его на локальном компьютере. Потом вирус ищет записи с логинами и паролями от FTP серверов, в моем случае он нашел их в настройках Total Commander. После этого вирус заходит на эти сервера и к каждому *.htm или *.php файлу приписывает элемент iFrame. Получается, что этот вирус живет и в Linux, на котором работает сервер и в Win.

Основное отличие, что в Linux заражение одного сайта никак не влияет на заражение других сайтов находящихся на том же сервере. Поэтому говорят, что вирус не под Линукс, т.к. линукс не при делах 8-) .
vladimir74
Почётный участник
Почётный участник
Сообщения: 544
Зарегистрирован: 25 май 2011, 14:14
Репутация: 19
Откуда: Магнитогорск
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение vladimir74 »

тут еще вопрос не столько в cms, сколько возможно под систему писали собственные модули и компоненты и как правило именно тут и появляются дыры в безопасности. Я про то что виновата может быть не joomla не linux, а человеческий фактор.
у меня в моих разработках большую часть времени занимает проверка кода на безопасность.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.
vladimir74
Почётный участник
Почётный участник
Сообщения: 544
Зарегистрирован: 25 май 2011, 14:14
Репутация: 19
Откуда: Магнитогорск
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение vladimir74 »

Nick писал(а):Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.
Эта хрень вроде под вордпресс писалась, наверное под джумлу адаптировали......
Аватара пользователя
roach
Мастер
Сообщения: 205
Зарегистрирован: 01 июн 2011, 07:55
Репутация: 0
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение roach »

Nick писал(а): Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса).
у меня уже полгода отображается пустая страница, приходится убирать www. - тогда нормально.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Можно просто enter нажимать в строке адреса, тогда referrer будет пустой и страница будет нормально отображаться.
Аватара пользователя
PKM
Почётный участник
Почётный участник
Сообщения: 4263
Зарегистрирован: 31 мар 2011, 18:11
Репутация: 705
Настоящее имя: Андрей
Откуда: Украина
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение PKM »

Похоже, что-то делают с форумом. Надеюсь, починяют :)
aftaev
Зачётный участник
Зачётный участник
Сообщения: 34042
Зарегистрирован: 04 апр 2010, 19:22
Репутация: 6191
Откуда: Казахстан.
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev »

а какой смысл было его ваще ломать? Эт же не социальная сеть где акки нужны или PayPal где деньги шастают :)
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Помнишь я писал про продажу ссылок? В интренете поисковики ранжируют сайты в зависимости от количества других сайтов на них ссылающихся. Считается взвешенная сумма всех ссылок ведущих на твой сайт получается твой PR. Вес ссылок определяется исходя из PR сайта ссылающегося на тебя. Итого чем больше крутых сайтов на тебя ссылается, тем выше твой сайт в поисковике. А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.

За текстовую ссылку на главной странице хорошего сайта могут платить больше, чем за баннер на той же странице ;).
aftaev
Зачётный участник
Зачётный участник
Сообщения: 34042
Зарегистрирован: 04 апр 2010, 19:22
Репутация: 6191
Откуда: Казахстан.
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение aftaev »

Nick писал(а):А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.
Ну взломали, разместили ссылку. Заметели хозяины левую ссылку ее стерли. Но наверно мошенники логин и пароль сменили к доступу сайта.
Дилетанту сложные вещи кажутся очень простыми, и только профессионал понимает насколько сложна самая простая вещь
Кто хочет - ищет возможности, кто не хочет - ищет оправдание.
Найди работу по душе и тебе не придется работать.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.
kernel
Опытный
Сообщения: 158
Зарегистрирован: 12 мар 2011, 15:48
Репутация: 17
Откуда: Красноярск
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение kernel »

Блин... я около месяца назад когда заходил, не понял сначала, с какого перепугу ссылки у них размещены.
А вообще часто подобное получается из-за пофигистического отношения к сайту (к linuxcnc это, конечно, не относится). Один из недавних примеров. Сообщаю одному из работников одной компании, что у них на сайте в самом прямом виде XSS - вставляй на страницы что хочешь (причем, не только в индексе поисковиков будет видно, например, подстановкой методом GET, но и в реальности из-за записи в БД страница будет модифицирована). Так они плюнули на это и нисколько не отреагировали. Так что...
Аватара пользователя
Nick
Мастер
Сообщения: 22776
Зарегистрирован: 23 ноя 2009, 16:45
Репутация: 1735
Заслуга: Developer
Откуда: Gatchina, Saint-Petersburg distr., Russia
Контактная информация:

Re: Взлом сайта www.linuxcnc.org

Сообщение Nick »

Самая жопа, что бороться с этим тяжело - нельзя наказывать сайты, которые себя продвигают использую подобные вирусы. Если будут наказывать все такие сайты, то это просто превратится в метод конкурентной борьбы - завали конкурента...
Ответить

Вернуться в «Новости и анонсы»