Сегодня одна хорошая знакомая обратилась за помощью. Ей сказали, что один из её веб-проектов (http://rusmystery.ru/) стал показывать людям порнуху, она обеспокоилась, проверила тоже что-то увидела, затем позвонила мне.

Из вводных данных, было: сайт хостится на Timeweb с помощью WordPress, это уже не первый взлом её проектов, но такого ещё не было.

Стал разбираться и первое что показалось странным, это то что не пускает через ssh, в ошибке указывалось на то, что на сервере нет ssh сервиса, в он однозначно там должен быть. Ладно, зашёл в админку хостинга, узнал IP площадки, залез на сервер по SSH, смотрю историю операций и вижу

тут видно, что 27 мая этого года, кто-то зашёл на сервер с помощью ssh и выполнял некоторые манипуляции с php файлом. Причём этот кто-то настолько не опытный, что думал 32 секунду над своей же ошибочной командой ls-al, затем опять повторил свою ошибку, опять подумал и ввёл вторую правильную команду, затем подумал 50 секунд и ввёл ещё 5 ошибочных команд. То-есть, тот кто пролез на сервер просто не имел навыков работы с серверами, не говоря уже о том, что он не удосужился почистить за собой следы.

Анализ файла ai-bolit.php показал, что это имитация сканера файлов хостинга на вирусы и тот кто пролез на хостинг пытался его каким то образом запустить, причём не ясно как файл там появился, возможно его закачали по FTP а может быть через файловый менеджер в панели управления хостингом, либо скачивали с помощью wget но использование wget удалили из истории (скорее всего первое)

Стал разбираться дальше и заметил, что все сайты размещённые на этом хостинге, имеют разные IP адреса, что в принципе возможно, если хозяин хостинга решил платить за это. Но хозяйка клялась, что никогда не заходила на SHH, никогда не вводила туда ни каких таких команд и не запускал вручную PHP скрипты и никогда не меняла ни каких IP адресов у своих сайтов.

Зашёл в админку TimeWeb в настройки DNS и увидел, что там всё нормально, у всех сайтов A запись соответствует правильному значению, а значит тут её ни кто не менял. Стал проверять DNS зоны и увидел странное:

в dns зоне timeweb исследуюемый сайт имел правильный IP адрес 92.53.98.90

а без указания конектного DNS сервера или с указанием DNS сервера гугла  адрес rusmystery.ru был связан с 31.41.216.88

а проверка адреса 31.41.216.88 показала, что он принадлежит нашим дорогим, любим и сумасшедшим братьям из украины

То-есть каким то чудесным образом, DNS запись домена rusmystery.ru на корневых серверах был подменена и посетители сайта попадали не сервер с оригинальным сайтом, а на подставной сервер с заражённой копией сайта. Я конечно слышал про такие чудеса, но такое было давно давно и с тех уже все пропатчили свой бинд и не позволяют подменять свои зоны.

Запрос в TimeWeb показал то, что они признали проблему, сказав

Действительно, сегодня утром злоумышленниками была произведена смена NS серверов для некоторых доменных имен.
Мы связались с регистратором R01 и в настоящее время выполняется "откат" всех изменений на предыдущее состояние.

То-есть выявился целый ряд проблем:

• неизвестно кто, 27 мая проник на сервер и провидил манипуляции с файлами, выяснить кто и откуда пришёл не представляет возможным, который нет доступа к журналам авторизации сервера виртуального хостинг.
• хостер TimeWeb не является надёжным и ответственным, иначе ни как нельзя объяснить почему любой желающий злоумышленник может менять NS сервера доменов размещённых у TimeWeb и почему они не контролируют это сами, а ждут когда сайты их клиентов начнут показывать парнуху

В качестве решения проблемы я предложил сменить хостинг и сменить систему управления сайтом.

Нормальный VDS хостинг даёт больший контроль, свободу и управляемость, к тому же можно защищать с помощью дополнительных модулей, которые не возможно установить в ограниченной среде виртуального хостинга.

Отказ от Вордпресса, как от самого популярной для взломщиков CMS мне кажется, вполне естественным и оправданным. Потому то PHP и потому что решето!