Фишинг?

Вот что я с утра увидел при попытке зайти на форум.

Телнет-сессия: обратите внимание на 302-й код и Location
и угадайте с одного раза, что скрывается на сайте под видом инсталлятора Firefox'а (или другого браузера, в зависимости от User-agent)

пора уже что-то делать, мне кажется. сначала спам в немеряных количествах, висящий по два дня на форуме, теперь вот эта прелесть...

Код (Text):

telnet forum.amperka.ru 80
GET / HTTP/1.1
Host: forum.amperka.ru
User-Agent: Mozilla/4.0 (compatible;)
Connection: close
 
-------------------------------------------------
 
HTTP/1.1 302 Moved Temporarily
Server: nginx/0.7.65
Date: Wed, 12 Sep 2012 05:22:13 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
X-Powered-By: PHP/5.3.2-1ubuntu4.17
Location: http://www.net-chek.ru/
Set-Cookie: arx=1; expires=Wed, 12-Sep-2012 09:22:13 GMT; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-control: private, max-age=0
Set-Cookie: xf_session=c7a32fa43c7c3970a0dedbe249706aab; path=/; httponly
Last-Modified: Wed, 12 Sep 2012 05:22:13 GMT
Content-Length: 27352
 
<!DOCTYPE html>
<html id="XenForo" lang="ru-RU" dir="LTR" class="Public LoggedOut Sidebar" xmlns:fb="http://www.facebook.com/2008/fbml">
<head>
 
    <meta charset="utf-8" />
 
        <base href="http://forum.amperka.ru/" />
        <script>
            var _b = document.getElementsByTagName('base')[0], _bH = "http://forum.amperka.ru/";
            if (_b && _b.href != _bH) _b.href = _bH;
        </script>

регистратор домена - reg.ru

 

скриншот с сайтом прикрепить не могу, но сохранил себе

 

Аналогичная ситуация. как я понимаю форум поднимали энтузиасты =) и о защите не думали, а вот и настал момент задуматься =)

 

любой скрипт рано или поздно хакнут и заразят все форумы на этом движке. надо чуть потерпеть и дождатся выхода заплатки и ее установки на скрипт.

 

эмм... кагбе, отдать заголовок без модификации файлов движка в php не получится. а если она случилась - алярм-алярм, откуда у веб-сервера права на запись в директорию со скриптами?

или того хуже - повышение привилегий

 

скрипт хранит в себе пароль к фтп, скорее всего.

 

о.О а нафига?

а если он совпадает с паролем субд/чего-то еще - еще раз алярм!

 

одно из правил безопасности - не использовать одинаковые пароли.
а скрипт может хранить, может и не хранить... в зависимости от потребностей функционала.

 

это-то понятно, но несекьюрности не отменяет

 

Вполне вероятно что авторы так зарабатывают

 

Загрузить файл > Вставить: миниатюра / полное изображение.

 

не с этим проблема у меня на работе очень урезанный инет, multipart в запросе режется только так

 

под "понятно где" подразумевается конкретный скрипт?
может, дампить http-запросы к этому адресу, а потом на тестовой машине загнать их как входные данные в скрипт под отладчиком?

на руткиты сервер не проверяли?

 

ммм.. логи авторизации вполне могут быть чистыми - зачем руткиту логиниться?

брутальный способ - поиск по имени файла (последовательности байтов) в дампе ФС - оставим на случай совсем уж отчаяния.

а вот писать все запросы одновременно с мониторингом изменения файлов (какая ФС, кстати? нотификацию изменений файлов поддерживает?) - самое оно, мне кажется. как только изменение поймали - гасим сервер и лезем в логи. не такое большое количество обращений, нет?

параноидальный режим - дампить весь входящий сетевой трафик, но никакого ж места не хватит

 

а, да - анализ трафика на предмет имени скрипта тоже можно организовать (wireshark/tcpdump/специально обученные файерволлы). вариантов написания (кодировок) там еще меньше, чем при обращении к файлу по имени

 

Больше всего интересно, кому вы вдруг понадобились? Вроде и не Яндекс, и не Хабр. Тем более, каникулы у школьников давно закончились.