cnc-club.ru

Неприятная новость, некоторое время назад, был взломан сайт http://www.linuxcnc.org. Взлом скорее всего связан с использованием CMS Joomla (хотя, официальной информации по этому вопросу пока нет).

В результате взлома подменяется выдача страниц, добавляются рекламные ссылки и меняется название страницы. Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса). Похоже, что скрипты злоумышленников отслеживают поле referrer.
Также при замене поля UserAgent на GoogleBot, в выдаче появляются все те же рекламные ссылки.

Хочется пожелать администрации сайта скорейшего решения проблемы. Выражаем готовность помочь с решением проблемы.

Если кто-то выявит другие проявления взлома просьба сообщить об этом или мне или напрямую администрации linuxcnc.org.

PS Со своей стороны несколько недель назад предлагал помощь админам linuxcnc, но ответа не последовало.

PSS Всегда обидно, когда такие хорошие проекты подвергаются атакам злоумышленников. И несмотря на то, что вирус наверняка распространяется автоматически, хотелось бы пожелать, как выразился один из пользователей drupal.ru, рака яичек тем, кто ответственен за взлом этого ресурса !

Nick писал(а):Взлом скорее всего связан с использованием CMS Joomla

Ник ты для людей или инопланетян пишешь? Ты сразу на русский переводи, тут пол форума профильных направляющих не видело, а ты про CMS Joomla

Nick писал(а):И несмотря на то, что вирус наверняка распространяется автоматически,

Так вроде Линух вирусам не есть подвержен. Иль у них сервак на Винде

CMS Joomla - это система управления сайтом, которая может выполнять дополнительные функции, например, поддержка форумов, блогов и прочего.
Нет безупречных систем, везде есть уязвимости, иногда они критичные, иногда нет. Например, получив доступ к моему аккаунту на этом форуме, можно стереть весь форум или написать в любом сообщении что угодно. Доступ можно получить разными путями, можно прослушивать сеть и попытаться выцепить идентификаторы сессии, можно попробовать найти уязвимость в движке форума, или воспользоваться термо-анальным-криптоанализом.

Зачастую злоумышленник узнает о той или иной уязвимости программного обеспечения, пишет вредоносный скрипт, который шарит по интернету/гуглу и инфицирует или просто переписывает уязвимые сайты.
Есть вирусы которые распространяются через сайты: Однажды на один мой сайт был инфицирован вирусом, который дописывал iFrame, если зайти на такой сайт через Internet Explorer, то IE скачает из интернета выполняемые *.exe файл и запустит его на локальном компьютере. Потом вирус ищет записи с логинами и паролями от FTP серверов, в моем случае он нашел их в настройках Total Commander. После этого вирус заходит на эти сервера и к каждому *.htm или *.php файлу приписывает элемент iFrame. Получается, что этот вирус живет и в Linux, на котором работает сервер и в Win.

Основное отличие, что в Linux заражение одного сайта никак не влияет на заражение других сайтов находящихся на том же сервере. Поэтому говорят, что вирус не под Линукс, т.к. линукс не при делах .

тут еще вопрос не столько в cms, сколько возможно под систему писали собственные модули и компоненты и как правило именно тут и появляются дыры в безопасности. Я про то что виновата может быть не joomla не linux, а человеческий фактор.
у меня в моих разработках большую часть времени занимает проверка кода на безопасность.

Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.

Nick писал(а):Это точно... Сейчас на linuxcnc как раз начали обсуждать причины, похоже на Pharma Hack http://www.elmsoftech.com/articles/3-jo ... harma-hack . Скорее всего связанно с несвоевременным обновлением ПО.

Эта хрень вроде под вордпресс писалась, наверное под джумлу адаптировали......

Nick писал(а): Сейчас проводятся работы, которые частично решили проблему, но не до конца. У меня при заходе на LinuxCNC с поиска Google при использовании Opera, страница отображается пустой (контент появляется только при ручном введении адреса).

у меня уже полгода отображается пустая страница, приходится убирать www. - тогда нормально.

Можно просто enter нажимать в строке адреса, тогда referrer будет пустой и страница будет нормально отображаться.

Похоже, что-то делают с форумом. Надеюсь, починяют

а какой смысл было его ваще ломать? Эт же не социальная сеть где акки нужны или PayPal где деньги шастают

Помнишь я писал про продажу ссылок? В интренете поисковики ранжируют сайты в зависимости от количества других сайтов на них ссылающихся. Считается взвешенная сумма всех ссылок ведущих на твой сайт получается твой PR. Вес ссылок определяется исходя из PR сайта ссылающегося на тебя. Итого чем больше крутых сайтов на тебя ссылается, тем выше твой сайт в поисковике. А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.

За текстовую ссылку на главной странице хорошего сайта могут платить больше, чем за баннер на той же странице .

Nick писал(а):А linuxcnc.org - заслуженно прославленный сайт, поэтому разместить на нем ссылки - лакомая добыча для мошенников. Вот собственно этим они и занялись.

Ну взломали, разместили ссылку. Заметели хозяины левую ссылку ее стерли. Но наверно мошенники логин и пароль сменили к доступу сайта.

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.

Там несколько хитрее, во-первых, хозяины не сразу заметили. Во-вторых, вирус поражает движок сайта, а не конкретные страницы, поэтому его не так просто удалить.

Блин... я около месяца назад когда заходил, не понял сначала, с какого перепугу ссылки у них размещены.
А вообще часто подобное получается из-за пофигистического отношения к сайту (к linuxcnc это, конечно, не относится). Один из недавних примеров. Сообщаю одному из работников одной компании, что у них на сайте в самом прямом виде XSS - вставляй на страницы что хочешь (причем, не только в индексе поисковиков будет видно, например, подстановкой методом GET, но и в реальности из-за записи в БД страница будет модифицирована). Так они плюнули на это и нисколько не отреагировали. Так что...

Самая жопа, что бороться с этим тяжело - нельзя наказывать сайты, которые себя продвигают использую подобные вирусы. Если будут наказывать все такие сайты, то это просто превратится в метод конкурентной борьбы - завали конкурента...