Форум : WarCraft II

Название : Сайт был взломан

© 2005 www.runcms.org
https://www.war2.ru

URL этой темы
https://www.war2.ru/modules/newbb_plus/viewtopic.php?topic_id=2212&forum=1


 il :

29.9.16 19:31
 Вкратце, ситуация: 24 сентября хакеры нашли на сайте дырку, через которую позже, 26-го, закачали бекдор.
С помощью которого потом понаделали себе кучу новых дырок.
Как только я это обнаружил, 27-го вечером, сайт был немедленно закрыт до выяснения всех обстоятельств.

Далее пара веселых дней в разборах полетов, сравнение сайта с эталонным образом и поиск виноватых.

Результаты:
- виноватые найдены, результаты деятельности хакеров убраны, исходная дырка через которую прошел 1-й взлом - убрана.
- сайт переведен на усиленный режим безопасности, включен усиленный контроль, заодно подчищен старый мусор, который мог потенциально быть использован как дырка. Теперь повторить атаку через ту же дырку не получится, а если получится, то не получится закрепиться в системе. А если получится, то я это сразу увижу.
- поскольку на сайте хозяйничали посторонние, то неизвестно, какая информация с сайта была украдена, поэтому исходим из положения, что вся. Т.е. у хакеров есть (могут быть) все файлы, которые находились на хостинге и вся база данных сайта.
В том числе и хеши паролей всех пользователей. Ну и ваша переписка в личке форума.
Значит, исходим из предположения, что все пароли пользователей сайта могут быть расшифрованы. Точнее, подобраны перебором за некоторое короткое время. Особенно, если пароли простые и короткие.
Обращаю внимание, что поскольку хакер имеет сейчас все данные с хостинга, то есть вероятность повторного взлома в скором времени, если хакер окажется способнее меня в поиске дырок и найдет что-нибудь, что я пропустил.

Пароль на доступ к базе я поменял. Свои пароли меняйте каждый сам. В худшем случае, хакер сможет зайти под вашим аккаунтом и сделать все, на что у вашего аккаунта хватит прав. Т.е. понаписать сообщений от вашего имени или поудалять ваши сообщения. Хакер не русскоговорящий, так что очень сомневаюсь, что это ему надо.

Также, если вы используете тот же пароль в других местах, теоретически хакер может тоже получить туда доступ. Так что меняйте пароли везде, где они совпадают с тем, что тут.

Другие ресурсы: бнет-сервера, буржуйский форум, ладдер и остальные ресурсы относящиеся к вар2 - не затронуты атакой. Туда доступа хакер не получал.

 tolsty :

29.9.16 19:57
 Цитата:

виноватые найдены, результаты деятельности хакеров убраны

Хотелось бы услышать чуть другое:
виноватые найдены и убраны )))

 il :

29.9.16 23:06
 Цитата:

Хотелось бы услышать чуть другое:
виноватые найдены и убраны )))

Немного по-другому:
виноватые найдены, из сообщества один из них был убран уже давно, но убрать его из интернета - не моя компетенция...
А вот что делать с другим - пока в раздумьях. Он вроде как и не ломал, но активно поддерживал первого. Хотя сам он это отрицает. Хотя, из сообщества он вроде уже тоже сам убрался...
Санта-Барбара, в общем

[ Редактировано il в 29.9.16 22:07 ]

© 2005 www.runcms.org
https://www.war2.ru

URL этой темы
https://www.war2.ru/modules/newbb_plus/viewtopic.php?topic_id=2212&forum=1