malchish.org

Форум Мальчиша-Кибальчиша
Текущее время: Вт мар 19, 2024 1:34 pm

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: Сайт заработал после взлома.
СообщениеДобавлено: Чт сен 09, 2010 8:18 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Пт авг 06, 2004 6:24 pm
Сообщения: 9072
Сайт был взломан 29 августа и был более недели в нерабочем состоянии. Были попорчены основные файлы. Ввиду отпуска сисадмина восстановление сайта затянулось, я прошу прощения у участников форума за столь длительную паузу.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Сайт заработал после взлома.
СообщениеДобавлено: Чт сен 09, 2010 8:49 pm 
Не в сети
Политик
Аватара пользователя

Зарегистрирован: Вс мар 21, 2010 9:57 pm
Сообщения: 740
Откуда: moscow
Ну расскажите же подробности - кто, как, что пропало и т.д. Очень интересно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Сайт заработал после взлома.
СообщениеДобавлено: Пт сен 10, 2010 6:35 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Пт авг 06, 2004 6:24 pm
Сообщения: 9072
Так чего тут интересного?
Взломали скорее всего через FTP-вход (как-то пароли стащили), внедрили програмку типа adware, которая начала править все файлы сайта внедряя ссылку на левый сайт. В результате при открытии моей страницы автоматически открывалось окно с рекламой. Так было задумано взломщиками, но сам их код был сырой и в результате он не только внедрял свой код, но и портил мой. В результате обращение к сайту выдавало кучу ошибок вместе с открытием их окна. Судя по IP взломщики сидят в Китае.

А восстановление сайта заняло много времени из-за того, что админ был в отъезде и неделю его просто не было. Я бы сам всё восстановил, но не было свежего бэкапа под рукой и нужно было менять пароли FTP, что мог сделать только админ сервера.

В общем, тут нет никакой сенсации, нужно просто иметь ввиду, что нет ничего абсолютно надёжного и вечного.

И если что-то подобное случится ещё раз, то ищите меня в ЖЖ, одновременно меня вряд ли везде сразу "взломают". 8)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Сайт заработал после взлома.
СообщениеДобавлено: Пт сен 17, 2010 5:20 pm 
Не в сети
Автор
Аватара пользователя

Зарегистрирован: Вс июл 18, 2010 3:24 pm
Сообщения: 155
maxon писал(а):
Взломали скорее всего через FTP-вход (как-то пароли стащили), внедрили програмку типа adware, которая начала править все файлы сайта внедряя ссылку на левый сайт.


Ищите дыру, способов утечки паролей не так уж и много: ваши кривые руки либо одно из двух {shuffle}
  • 1. Перебор тривиальных и коротких паролей. Пароли типа 123456 или qwerty12345 угадываются автоматическим перебором по словарю и перебором по пользователям (вы даже не представляете сколько людей в интернете используют пароль 123456, аккаунты с этим или аналогичными паролями постоянно встречаются всюду). Используйте нетривиальные пароли, которые проблематично угадать с третей попытки.
  • 2. Хранение мегасложных паролей где попало. Очень сложные и очень длинные пароли типа N2D$ts_i^!hf2хрен_уагадаете_jC-PA%9~pd+2jd0H8%gf2*@hIAH, которые вы не в силах запомнить в своей голове, нужно где-то хранить в безопасном месте (вам потребуется иметь защищенное хранилище паролей и ключей). В противном случае такие незапоминаемые пароли имеют свойство забываться, а если использовать процедуру восстановления пароля, то пароли высылаются, например, на указанный адрес вашей электронной почты, имеющей пароль типа qwerty12345, который на ура угадывается автоматическим перебором по словарю. Не храните пароли и ключи где попало.
  • 3. Фишинг и социальная инженерия. Вы могли стать жертвой мошенничества и ввести свой пароль в скаченную из интернета поддельную клиентскую программу-клон, или в фейковую форму левого сайта-клона, или сообщили пароль по телефону неизвестно кому, или использовали этот пароль с чужого компьютера, или доверили доступ неопытным знакомым, через которых случайно могла произойти утечка по их глупости. Проверяйте куда вы вводите свои пароли, не доверяйте левым сайтам и программам скачанным с них, убедитесь в дееспособности тех, кто знает пароль.
  • 4. Повторное использование однотипных паролей. Вы могли сами засветить этот же самый или похожий пароль при регистрирации на каком-то другом сайте или форуме в интернете. Утечка одного такого пароля позволит угадать остальные похожие пароли перебором аналогичных комбинаций по словарю. Используйте разные пароли на всех сайтах и на всех почтах.
  • 5. Отстутствие программного файрволла. У вас на компьютере отстутсвует файрволл и вы даже не догадываетесь о наличии троянов и кей-логгеров, которые сливают инфу в сеть. Вы могли установить их собственноручно, запустив какое-то скаченное из интернета безобидное приложение. Используйте программный файрволл, запретив выход в сеть всех программ кроме разрешенных, чтобы обнаружить попытки троянов слить инфу в сеть с вашего компа без вашего ведома.
  • 6. Передача паролей по сети открытым текстом. В протоколах FTP и HTTP все логины и пароли передаются по сети открытым текстом без какого-либо шифрования. Их можно элементарно перехватить в открытом виде с помощью сниффера (сетевого монитора) из вашего сегмента сети или из сегмента сети сервера, которому вы отправляете пароли. Используйте протокол шифрования данных SSL для авторизации по сети.
  • 7. Постоянный пароль на все времена. Если вы никогда не меняете пароли, то случайная компрометация пароля всего один раз позволит пользоваться вашим аккаунтом без вашего ведома длительное время, прежде чем вы обнаружите чужие следы. Периодически меняйте пароли для профилактики.

Допустим, что вы используете длинный и нетривиальный пароль, храните его только в голове и нигде повторно не используете, пользуетесь файрволлом и троянов на вашем компьютере нет.

В таком случае вот самый такой бытовой пример: ваш компьютер или сервер, которому вы подключаетесь, находится в одном сетевом сегменте с другими компьютерами. И всё! Если вы не используете шифрование, то любой желающий с другого комьютера из этого сегмента сети может перехватывать весь трафик, все ваши ICQ сообщения, все ваши HTTP и FTP адреса и запросы, все ваши логины и пароли, передающиеся открытым текстом.

Грубо говоря, ваши "взломщики" могут сидеть за соседним компьютером {rotate}
или где то в сети на пути от вас до сервера

maxon писал(а):
В результате при открытии моей страницы автоматически открывалось окно с рекламой. Так было задумано взломщиками, но сам их код был сырой и в результате он не только внедрял свой код, но и портил мой. В результате обращение к сайту выдавало кучу ошибок вместе с открытием их окна. Судя по IP взломщики сидят в Китае.


Не взломщики, а удаленный хост, через который было подключение :mrgreen:

99%, что этот удаленный хост является просто случайным последним в цепочке промежуточным сервером, через который они выходили в сеть, и IP адрес этого удаленного хоста абсолютно ничего не дает. Вероятно, это вообще обычный компьютер с трояном или чей-то другой взломанный сервер, на который ставится что-то вроде анонимного прокси или VPN сети, чтобы через него безобразничать в интернете.

Сами "взломщики" могут сидеть прямо по соседству у вас за стеной или где-то у вашего провайдера или вашего сервера, перехватив трафик с паролями из тех сегментов сети, через которые вы подключаетесь к серверу. Впрочем, они могли узнать ваши пароли и другими методами. А уже потом, зная пароли они могут подключаться на ваш сервер из любого места через любую цепочку "анонимайзеров" (обычно иностранных), адрес хоста последнего из которых вы и видите в логах.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Сайт заработал после взлома.
СообщениеДобавлено: Пт сен 17, 2010 8:47 pm 
Не в сети
Лидер
Аватара пользователя

Зарегистрирован: Вс ноя 29, 2009 6:13 am
Сообщения: 2544
Мне кажется маловероятным интерес китайских спаммеров к нам.
Зато мне представляется интересным такое совпадение: совсем недавно (летом) с похожими симптомами была взломана учётная запись Авантюриста на его собственном форуме.

_________________
Правила Форума, "Вопросы по модерации", Предупреждения,
Куда делись мои сообщения? "Демагогия", "Оффтоп"


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Реклама.