Уважаемые клиенты. 

В последнее время на сайтах наших клиентов были зафиксированы многочисленные изменения файлов .htaccess и установка редиректов на зловредные сайты для мобильных устройств. Мы провели анализ и выяснили, что хакеры сканируют сайты на наличие файлов Sypex Dumper(набора скриптов для работы с базой данных) и, используя различные уязвимости в этом скрипте, изменяют файл .htaccess, а также подменяют дату создания этого файла. На данный момент мы заблокировали использование этого скрипта средствами frontend-сервера.

Просьба удалить Sypex Dumper из ваших файлов. Все найденные зараженные файлы .htaccess будут очищены в течении 2 суток.

Просим отнестить с пониманием к указанным выше мерам.

С Уважением,
команда  IT Patrol inc.

Комментарии (22)

photocol... #
5 лет 8 недель назад
старейшина

Добрый день!
Подскажите, пожалуйста, очень хотелось бы узнать, осталась ли уязвимость в новой версии Sypex Dumper 2.0.10
Спасибо

0-0-7@ma... #
5 лет 24 недели назад
старейшина

проверил http://s-horoscope.ru/

"на вирусы" на сервисе
http://2ip.ru/

он сообщил:

На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код

Это как-то может быть связано с темой ?
в чем может быть проблема?

Леонид

annya #
5 лет 22 недели назад
гость

Здравствуйте, Леонид

Пожалуйста, напишите нам тикет по этому поводу - нужно смотреть в каждом отдельном случае в чем состоит проблема.

0-0-7@ma... #
5 лет 25 недель назад
старейшина

Все найденные зараженные файлы .htaccess будут очищены в течении 2 суток.

Можно ли узнать: было или нет найдено повреждение на конкретно моём сайте?
http://s-horoscope.ru/



Леонид

annya #
5 лет 22 недели назад
гость

Здравствуйте

Напишите нам пожалуйста, тикет по этому поводу. Мы не обсуждаем вопросы наших клиентов публично - это связанно с защитой ваших персональных данных.

0-0-7@ma... #
5 лет 25 недель назад
старейшина

И что?
Этим супер-дампером теперь лучше не пользоваться??
Жаль. С ним было удобно..

Леонид

denisble... #
5 лет 25 недель назад
старейшина

теперь ясно в чём было дело, спасибо за работу.
но как же теперь без дампера :( я с ним 5 лет
неужели теперь только через phpmyadmin мучаться?

annya #
5 лет 22 недели назад
гость

Вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ).

perevezi #
5 лет 25 недель назад
старейшина

А что это вообще такое и где это искать?

sibero #
5 лет 25 недель назад
сисадмин

Проверьте, директории сайтов на наличии в них файла dumper.php или папки sxd, при обнаружении, удалите, чтобы убрать потенциальную уязвимость. Речь идет о скрипте Sypex Dumper - http://sypex.net/ для импорта-экспорта баз данных.

С уважением,
Александр
orb #
5 лет 25 недель назад
старейшина

Это отдельный скрипт для бекапа базы данных (или восстановления базы), к друпалу он отношения не имеет, поэтому кто ним не пользуется, тому не о чем волноваться.

sa.serge... #
5 лет 25 недель назад
старейшина

Хм, а мы всю голову сломали, откуда берутся эти редиректы! Приятно видеть, что команда Патрола работает и ищет причины, на других хостингах с подобной проблемой посылают и грозят отключением сайтов. Здесь проблемы решают. Это гуд.
Но без Дампера будет плохо. Надеюсь найдется решение и этой проблемы.


sibero #
5 лет 25 недель назад
сисадмин

Спасибо за добрые слова - стараемся. Вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ). Так же у нас есть на сайте phpMyAdmin , ссылки на который вы найдете на странице - http://drupalhosting.ru/rp/mysqlusers . А так же, есть удобный инструмент для работы из консоли drush

С уважением,
Александр
anemon #
5 лет 26 недель назад
старейшина

Также интересуюсь тем, какие именно версии дампера уязвимы, т.к. возможно проблему можно решить апгрейдом или дегрейдом?

sibero #
5 лет 25 недель назад
сисадмин

Sypex Dumper Lite 1.0.8 - строго не рекомендуется, в ней уязвимость позволяющая хакеру изменять файлы.
Sypex Dumper 2.0.9 - не защищена от переборщика паролей и содержит XSS уязвимость , а так же кучу раскрытых путей.
Все версии не проверяли, но раз последние содержат уязвимости, скорее всего более ранние могут содержать их ещё больше.

С уважением,
Александр
aquaria #
5 лет 26 недель назад
старейшина

да уж. sxd - удобный инструмент, и без него будет хуже. действительно интересно, все ли его версии не рекомендуются.


keereel #
5 лет 26 недель назад
старейшина

А какие версии Dumper уязвимы?
Получается, что Dumper теперь вообще под запретом?

sibero #
5 лет 25 недель назад
сисадмин

Уязвимы и Sypex Dumper 2.0.9 и Sypex Dumper Lite 1.0.8 . Особенно версия 1.0.8 , которая строго не рекомендуется к использованию. На всякий случай процитирую ответ, который давал выше "вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ) ".

С уважением,
Александр
keereel #
5 лет 24 недели назад
старейшина

Можно ли узнать, были ли атакованы сайты на моём аккаунте?
Ну и что б 2 раза не вставать - присоединяюсь к благодарностям за работу и сервис: отношение к клиентам резко отличается от поведения других хостингов. Спасибо.

annya #
5 лет 22 недели назад
гость

Здравствуйте

Чтобы узнать совершались ли атаки на ваш аккаунт, пожалуйста, напишите нам тикет - мы проверим.

kstu@mai... #
5 лет 23 недели назад
старейшина

Да переименовать папку и делов....

annya #
5 лет 22 недели назад
гость

К сожалению, переименование не устраняет уязвимость - она лишь делает ее немного более сложной для обнаружения злоумышленником. Поэтому мы рекомендуем или удалять скрипт сразу после использования, или закрывать его на .htaccess-авторизацию.