Заиграх се с едни хакерчета

R

rombeca

Active Member
От няколко дена ме налазиха някакви копелдаци, и непрекъснато ми дефейсват сайтовете на един хост.

От начало само сменяха index.php с някаква тяхна боза, а аз си възстановявам от бекъпа. Сега нещо ги нервирах, и започнаха да трият всичко.
Качват (от някъде) един php файл, на който не му е мястото в WP и явно трие всичко, а после се самозатрива.
Какво съм направил досега:

Свалил съм файловете и съм ги сканирал - нищо нередно не виждам.
В базата данни според мен не са барали, но също е свалена и сканирана.
Видях от какво IP са влезли вчера, но това е някаква wireless мрежа в Бангладеш, и ако го банна надали ще помогне. Или да банна целия Бангладеш да ги еба? :)

Лошото е, че не знам какво да гледам повече и дали проблема е при мен или в хоста. Един сайт преместих на друг хост и вече няма проблем с него.

Може ли още нещо да се направи или да сменям хоста?
 
От: Заиграх се с едни хакерчета

хмм. говори с хостинха тогава. явно джуркат сървъра.
 
От: Заиграх се с едни хакерчета

Така като гледам май те си играят с теб, не ти с тях :) Пиши на хоста да проверят POST заявките на лога. Ако си сигурен за FTP-то и че компютъра ти е стерилен, значи те удрят през http
 
От: Заиграх се с едни хакерчета

YavorM каза:
хмм. говори с хостинха тогава. явно джуркат сървъра.
Увеличете...

Хостинга много съжалявали, и казват да си сменя паролите и да си изтрия файловете :).

Хостинга не е мой, а на приятел а аз само помагам, и си държах един сайт там, ама го махнах.

Смяташ ли, че щях да пускам цяла тема ако не съм го направил? :)
 
От: Заиграх се с едни хакерчета

s1yf0x каза:
Така като гледам май те си играят с теб, не ти с тях :) Пиши на хоста да проверят POST заявките на лога. Ако си сигурен за FTP-то и че компютъра ти е стерилен, значи те удрят през http
Увеличете...

Да де.. играем си... :)

Аз си играя да оправям, те си играят да се ебават :)

Код: 
180.234.158.36 - - [01/Feb/2013:02:21:21 -0500] "POST /wp-content/cp.php HTTP/1.1" 200 1572 "http://сайта/wp-content/cp.php" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.15 (KHTML, like Gecko) Chrome/18.0.997.0 Safari/535.15"

тва cp.php идва от някъде.
 
От: Заиграх се с едни хакерчета

E очевидно така няма как да се каже от къде влизат :)

Кажи версия на WP, какви плъгини има качени, каква тема ползва и тн. Прегледай всяко едно по отделно из нета дали има експлойти за него.

Други сайтове има ли на същия хост? Евентуално оттам да влизат, ама тогава щяха сигурно и тях да забършат.
 
От: Заиграх се с едни хакерчета

проверява се датата на създаване и последен достъп до файла cp.php с командата stat и след това се търси в ftp/http логовете за конкретния час. Проверяват се и всички променяни/създадени файлове на тази дата. Не е ядрена физика, едва ли не знаят как да се справят от хоства, вероятно това е допълнителна услуга. Така само ще си връщате бекъпи докато не стане чудо или докато не им омръзне да ви ебават.
 
От: Заиграх се с едни хакерчета

against каза:
E очевидно така няма как да се каже от къде влизат :)

Кажи версия на WP, какви плъгини има качени, каква тема ползва и тн. Прегледай всяко едно по отделно из нета дали има експлойти за него.

Други сайтове има ли на същия хост? Евентуално оттам да влизат, ама тогава щяха сигурно и тях да забършат.
Увеличете...


Wordpress е последната версия, плъгини няколко - стандартните - сайтмап и т.н., имам ги на всички сайтове и нямат грижи. Всичко е ъпдейтнато. Същото важи и за другите сайтове на тоя хост. Тоя сайт, който преместих на друг, няма грижи.

s1yf0x каза:
проверява се датата на създаване и последен достъп до файла cp.php с командата stat и след това се търси в ftp/http логовете за конкретния час. Проверяват се и всички променяни/създадени файлове на тази дата. Не е ядрена физика, едва ли не знаят как да се справят от хоства, вероятно това е допълнителна услуга. Така само ще си връщате бекъпи докато не стане чудо или докато не им омръзне да ви ебават.
Увеличете...

Аз мога ли да проверя тези неща? Хоста е споделен, ако не сте разбрали :).
Или поне ftp логове, мога ли да извадя за да съм сигурен?
 
От: Заиграх се с едни хакерчета

Да допълня, че вече интереса ми е личен и академичен :)

Личен, защото взеха да ме дразнят тия :).
Академичен, защото ако проблема е в моя телевизор да знам да не правя тези грешки друг път.

Иначе не ми дреме чак толкова, спокойно мога да зарежа и хоста, и сайта ако трябва.
 
От: Заиграх се с едни хакерчета

Не можеш да ги провериш тези неща, може да ги провери хоста. Ти можеш да ги провериш само ако има SSH достъп. Дори и да имаш достъп до логовете на ftp / http след като нямаш output-а на командата stat всичко останало е безмислено.
 
От: Заиграх се с едни хакерчета

Щом хоста е споделен и всичко ти е ъпдейтнато и проверено за вируси, значи проблема категорично не е в теб. Качили са някакъв root или shell (както и да се нарича там) достъп до машината, заради нечии друг несигурен акаунт на сървъра и оттам ебават цялата машина най-вероятно. Това си е работа на хостинга да си намерят кой откъде променя неправомерно. Сменяй хостинга по-добре, ако не се оправят нещата.
 
От: От: Заиграх се с едни хакерчета

TheCrazyBastard каза:
Щом хоста е споделен и всичко ти е ъпдейтнато и проверено за вируси, значи проблема категорично не е в теб. Качили са някакъв root или shell (както и да се нарича там) достъп до машината, заради нечии друг несигурен акаунт на сървъра и оттам ебават цялата машина най-вероятно. Това си е работа на хостинга да си намерят кой откъде променя неправомерно. Сменяй хостинга по-добре, ако не се оправят нещата.
Увеличете...

И аз така мисля, въпреки че имам малки съмнения да не крадат ftp паролата, защото се влиза от 2-3 компютъра.
Сега казах на титуляра, да си провери нещата и да пише на хоста. Ама са глас в пустиня май. :)

Както каза s1yf0x, ако кажат как е влизано ще видя какво може да се направи.
 
От: Заиграх се с едни хакерчета

По-горе те питаха къде се хоства, ако е там за където пича има съмнения, по-добре бегайте с 800 :wink:
 
От: Заиграх се с едни хакерчета

bgtupanfighter каза:
По-горе те питаха къде се хоства, ако е там за където пича има съмнения, по-добре бегайте с 800 :wink:
Увеличете...

Не е там, а не искам да казвам ако все пак аз съм си виновен :).

Всъщност това са изпратили току що на собственика на хоста, след като е писнал:
Security updates are underway in Premium Hosting servers, if you see a outage or error today this will be related to the upgrades, we will keep outages to a minimum as software is upgraded.
Увеличете...

Нещо смърдят ми се струва... :)
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе