Уважаемые клиенты.
В последнее время на сайтах наших клиентов были зафиксированы многочисленные изменения файлов .htaccess и установка редиректов на зловредные сайты для мобильных устройств. Мы провели анализ и выяснили, что хакеры сканируют сайты на наличие файлов Sypex Dumper(набора скриптов для работы с базой данных) и, используя различные уязвимости в этом скрипте, изменяют файл .htaccess, а также подменяют дату создания этого файла. На данный момент мы заблокировали использование этого скрипта средствами frontend-сервера.
Просьба удалить Sypex Dumper из ваших файлов. Все найденные зараженные файлы .htaccess будут очищены в течении 2 суток.
Просим отнестить с пониманием к указанным выше мерам.
С Уважением,
команда IT Patrol inc.
- Для комментирования войдите или зарегистрируйтесь
Комментарии (22)
Добрый день!
Подскажите, пожалуйста, очень хотелось бы узнать, осталась ли уязвимость в новой версии Sypex Dumper 2.0.10
Спасибо
проверил http://s-horoscope.ru/
"на вирусы" на сервисе
http://2ip.ru/
он сообщил:
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код
Это как-то может быть связано с темой ?
в чем может быть проблема?
Леонид
Здравствуйте, Леонид
Пожалуйста, напишите нам тикет по этому поводу - нужно смотреть в каждом отдельном случае в чем состоит проблема.
Все найденные зараженные файлы .htaccess будут очищены в течении 2 суток.
Можно ли узнать: было или нет найдено повреждение на конкретно моём сайте?
http://s-horoscope.ru/
Леонид
Здравствуйте
Напишите нам пожалуйста, тикет по этому поводу. Мы не обсуждаем вопросы наших клиентов публично - это связанно с защитой ваших персональных данных.
И что?
Этим супер-дампером теперь лучше не пользоваться??
Жаль. С ним было удобно..
Леонид
теперь ясно в чём было дело, спасибо за работу.
но как же теперь без дампера :( я с ним 5 лет
неужели теперь только через phpmyadmin мучаться?
Вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ).
А что это вообще такое и где это искать?
Проверьте, директории сайтов на наличии в них файла dumper.php или папки sxd, при обнаружении, удалите, чтобы убрать потенциальную уязвимость. Речь идет о скрипте Sypex Dumper - http://sypex.net/ для импорта-экспорта баз данных.
Александр
Это отдельный скрипт для бекапа базы данных (или восстановления базы), к друпалу он отношения не имеет, поэтому кто ним не пользуется, тому не о чем волноваться.
Хм, а мы всю голову сломали, откуда берутся эти редиректы! Приятно видеть, что команда Патрола работает и ищет причины, на других хостингах с подобной проблемой посылают и грозят отключением сайтов. Здесь проблемы решают. Это гуд.
Но без Дампера будет плохо. Надеюсь найдется решение и этой проблемы.
Спасибо за добрые слова - стараемся. Вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ). Так же у нас есть на сайте phpMyAdmin , ссылки на который вы найдете на странице - http://drupalhosting.ru/rp/mysqlusers . А так же, есть удобный инструмент для работы из консоли drush
Александр
Также интересуюсь тем, какие именно версии дампера уязвимы, т.к. возможно проблему можно решить апгрейдом или дегрейдом?
Sypex Dumper Lite 1.0.8 - строго не рекомендуется, в ней уязвимость позволяющая хакеру изменять файлы.
Sypex Dumper 2.0.9 - не защищена от переборщика паролей и содержит XSS уязвимость , а так же кучу раскрытых путей.
Все версии не проверяли, но раз последние содержат уязвимости, скорее всего более ранние могут содержать их ещё больше.
Александр
да уж. sxd - удобный инструмент, и без него будет хуже. действительно интересно, все ли его версии не рекомендуются.
А какие версии Dumper уязвимы?
Получается, что Dumper теперь вообще под запретом?
Уязвимы и Sypex Dumper 2.0.9 и Sypex Dumper Lite 1.0.8 . Особенно версия 1.0.8 , которая строго не рекомендуется к использованию. На всякий случай процитирую ответ, который давал выше "вы можете пользоваться версий Sypex Dumper 2.0.9 , но при условии, что либо скрипт будет удалятся после того как вы сделаете импорт-экспорт (может не очень удобно, зато на сайте не будет бреши для хакера) или если на директорию скрипта будет выставлен пароль при помощи .htpasswd (инструкция - http://www.softtime.ru/info/apache.php?id_article=27 ) ".
Александр
Можно ли узнать, были ли атакованы сайты на моём аккаунте?
Ну и что б 2 раза не вставать - присоединяюсь к благодарностям за работу и сервис: отношение к клиентам резко отличается от поведения других хостингов. Спасибо.
Здравствуйте
Чтобы узнать совершались ли атаки на ваш аккаунт, пожалуйста, напишите нам тикет - мы проверим.
Да переименовать папку и делов....
К сожалению, переименование не устраняет уязвимость - она лишь делает ее немного более сложной для обнаружения злоумышленником. Поэтому мы рекомендуем или удалять скрипт сразу после использования, или закрывать его на .htaccess-авторизацию.