malchish.org
http://malchish.org/forum/

Сайт заработал после взлома.
http://malchish.org/forum/viewtopic.php?f=3&t=975
Страница 1 из 1

Автор:  maxon [ Чт сен 09, 2010 8:18 pm ]
Заголовок сообщения:  Сайт заработал после взлома.

Сайт был взломан 29 августа и был более недели в нерабочем состоянии. Были попорчены основные файлы. Ввиду отпуска сисадмина восстановление сайта затянулось, я прошу прощения у участников форума за столь длительную паузу.

Автор:  justsociety [ Чт сен 09, 2010 8:49 pm ]
Заголовок сообщения:  Re: Сайт заработал после взлома.

Ну расскажите же подробности - кто, как, что пропало и т.д. Очень интересно.

Автор:  maxon [ Пт сен 10, 2010 6:35 am ]
Заголовок сообщения:  Re: Сайт заработал после взлома.

Так чего тут интересного?
Взломали скорее всего через FTP-вход (как-то пароли стащили), внедрили програмку типа adware, которая начала править все файлы сайта внедряя ссылку на левый сайт. В результате при открытии моей страницы автоматически открывалось окно с рекламой. Так было задумано взломщиками, но сам их код был сырой и в результате он не только внедрял свой код, но и портил мой. В результате обращение к сайту выдавало кучу ошибок вместе с открытием их окна. Судя по IP взломщики сидят в Китае.

А восстановление сайта заняло много времени из-за того, что админ был в отъезде и неделю его просто не было. Я бы сам всё восстановил, но не было свежего бэкапа под рукой и нужно было менять пароли FTP, что мог сделать только админ сервера.

В общем, тут нет никакой сенсации, нужно просто иметь ввиду, что нет ничего абсолютно надёжного и вечного.

И если что-то подобное случится ещё раз, то ищите меня в ЖЖ, одновременно меня вряд ли везде сразу "взломают". 8)

Автор:  Пионер [ Пт сен 17, 2010 5:20 pm ]
Заголовок сообщения:  Re: Сайт заработал после взлома.

maxon писал(а):
Взломали скорее всего через FTP-вход (как-то пароли стащили), внедрили програмку типа adware, которая начала править все файлы сайта внедряя ссылку на левый сайт.


Ищите дыру, способов утечки паролей не так уж и много: ваши кривые руки либо одно из двух {shuffle}
  • 1. Перебор тривиальных и коротких паролей. Пароли типа 123456 или qwerty12345 угадываются автоматическим перебором по словарю и перебором по пользователям (вы даже не представляете сколько людей в интернете используют пароль 123456, аккаунты с этим или аналогичными паролями постоянно встречаются всюду). Используйте нетривиальные пароли, которые проблематично угадать с третей попытки.
  • 2. Хранение мегасложных паролей где попало. Очень сложные и очень длинные пароли типа N2D$ts_i^!hf2хрен_уагадаете_jC-PA%9~pd+2jd0H8%gf2*@hIAH, которые вы не в силах запомнить в своей голове, нужно где-то хранить в безопасном месте (вам потребуется иметь защищенное хранилище паролей и ключей). В противном случае такие незапоминаемые пароли имеют свойство забываться, а если использовать процедуру восстановления пароля, то пароли высылаются, например, на указанный адрес вашей электронной почты, имеющей пароль типа qwerty12345, который на ура угадывается автоматическим перебором по словарю. Не храните пароли и ключи где попало.
  • 3. Фишинг и социальная инженерия. Вы могли стать жертвой мошенничества и ввести свой пароль в скаченную из интернета поддельную клиентскую программу-клон, или в фейковую форму левого сайта-клона, или сообщили пароль по телефону неизвестно кому, или использовали этот пароль с чужого компьютера, или доверили доступ неопытным знакомым, через которых случайно могла произойти утечка по их глупости. Проверяйте куда вы вводите свои пароли, не доверяйте левым сайтам и программам скачанным с них, убедитесь в дееспособности тех, кто знает пароль.
  • 4. Повторное использование однотипных паролей. Вы могли сами засветить этот же самый или похожий пароль при регистрирации на каком-то другом сайте или форуме в интернете. Утечка одного такого пароля позволит угадать остальные похожие пароли перебором аналогичных комбинаций по словарю. Используйте разные пароли на всех сайтах и на всех почтах.
  • 5. Отстутствие программного файрволла. У вас на компьютере отстутсвует файрволл и вы даже не догадываетесь о наличии троянов и кей-логгеров, которые сливают инфу в сеть. Вы могли установить их собственноручно, запустив какое-то скаченное из интернета безобидное приложение. Используйте программный файрволл, запретив выход в сеть всех программ кроме разрешенных, чтобы обнаружить попытки троянов слить инфу в сеть с вашего компа без вашего ведома.
  • 6. Передача паролей по сети открытым текстом. В протоколах FTP и HTTP все логины и пароли передаются по сети открытым текстом без какого-либо шифрования. Их можно элементарно перехватить в открытом виде с помощью сниффера (сетевого монитора) из вашего сегмента сети или из сегмента сети сервера, которому вы отправляете пароли. Используйте протокол шифрования данных SSL для авторизации по сети.
  • 7. Постоянный пароль на все времена. Если вы никогда не меняете пароли, то случайная компрометация пароля всего один раз позволит пользоваться вашим аккаунтом без вашего ведома длительное время, прежде чем вы обнаружите чужие следы. Периодически меняйте пароли для профилактики.

Допустим, что вы используете длинный и нетривиальный пароль, храните его только в голове и нигде повторно не используете, пользуетесь файрволлом и троянов на вашем компьютере нет.

В таком случае вот самый такой бытовой пример: ваш компьютер или сервер, которому вы подключаетесь, находится в одном сетевом сегменте с другими компьютерами. И всё! Если вы не используете шифрование, то любой желающий с другого комьютера из этого сегмента сети может перехватывать весь трафик, все ваши ICQ сообщения, все ваши HTTP и FTP адреса и запросы, все ваши логины и пароли, передающиеся открытым текстом.

Грубо говоря, ваши "взломщики" могут сидеть за соседним компьютером {rotate}
или где то в сети на пути от вас до сервера

maxon писал(а):
В результате при открытии моей страницы автоматически открывалось окно с рекламой. Так было задумано взломщиками, но сам их код был сырой и в результате он не только внедрял свой код, но и портил мой. В результате обращение к сайту выдавало кучу ошибок вместе с открытием их окна. Судя по IP взломщики сидят в Китае.


Не взломщики, а удаленный хост, через который было подключение :mrgreen:

99%, что этот удаленный хост является просто случайным последним в цепочке промежуточным сервером, через который они выходили в сеть, и IP адрес этого удаленного хоста абсолютно ничего не дает. Вероятно, это вообще обычный компьютер с трояном или чей-то другой взломанный сервер, на который ставится что-то вроде анонимного прокси или VPN сети, чтобы через него безобразничать в интернете.

Сами "взломщики" могут сидеть прямо по соседству у вас за стеной или где-то у вашего провайдера или вашего сервера, перехватив трафик с паролями из тех сегментов сети, через которые вы подключаетесь к серверу. Впрочем, они могли узнать ваши пароли и другими методами. А уже потом, зная пароли они могут подключаться на ваш сервер из любого места через любую цепочку "анонимайзеров" (обычно иностранных), адрес хоста последнего из которых вы и видите в логах.

Автор:  Баламут [ Пт сен 17, 2010 8:47 pm ]
Заголовок сообщения:  Re: Сайт заработал после взлома.

Мне кажется маловероятным интерес китайских спаммеров к нам.
Зато мне представляется интересным такое совпадение: совсем недавно (летом) с похожими симптомами была взломана учётная запись Авантюриста на его собственном форуме.

Страница 1 из 1 Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/