Муравьиный лев пойман

Не так давно сайт журнала Тропинка подвергся атаке со стороны бота, который ко всем страницам с расширением *.html и *.php дописывал яваскрипт, который, в свою очередь, должен был за счет посетителей сайта накручивать кому-то заработок.

Яваскрипт был обфускирован, т.е. закодирован в хлам, и начинался со следующей конструкции:

function zG() {....


... и дальше шла человеконепонятная белиберда килобайта на полтора. (как показала практика, вместо zG может быть что угодно).

Тупость метода внедрения яваскрипта была, по всей видимости, соразмерна жадности автора. Дело в том, что скрипт, дописывая себя к концу php страниц, не удосуживал себя проверять - в какой собственно контекст он вписывается. И нарушал тем самым напрочь php синтаксис. Страница, естественно, выдавала ошибку. Поэтому вместо желаемого эффекта кто-то ничего так и не получил, зато при заходе на сайт можно было увидеть ошибку PHP. Цель достигнута, сайт взломан :-)


После опроса команды и анализа логов FTP-сервера выяснилась следующая картина.

- У кого-то на компьютере стоял один из троянов разновидности trojan.keylogger или аналогичных, похищающих явки/пароли.

- Собственно они и были похищены.

- Этот троян честно слал то, что он наколупал, либо какому-то дяде, либо напрямую скрипту на сервере.

- Скрипт на стороннем сервере делал следующее: заходил по FTP, скачивал страницы, добавлял свой код и закачивал их обратно.

Анализ сервера показал, что находится он в Швейцарии и на нем прописаны с десяток мертвых сайтов. Whois для выбранного наугад домена показал, что тот принадлежит китайцу. Дальнейший ход мысли очевиден...


Посмеявшись, осталось только ограничить FTP-доступ по этому IP...

<limit LOGIN>
Order deny,allow
Deny from 195.78.108.
Allow from all
</Limit>

и, естественно, поменять пароли на FTP.

Мораль: проверяйте свои диски на наличие вирусов и троянов!