Заиграх се с едни хакерчета

rombeca

Active Member
От няколко дена ме налазиха някакви копелдаци, и непрекъснато ми дефейсват сайтовете на един хост.

От начало само сменяха index.php с някаква тяхна боза, а аз си възстановявам от бекъпа. Сега нещо ги нервирах, и започнаха да трият всичко.
Качват (от някъде) един php файл, на който не му е мястото в WP и явно трие всичко, а после се самозатрива.
Какво съм направил досега:

Свалил съм файловете и съм ги сканирал - нищо нередно не виждам.
В базата данни според мен не са барали, но също е свалена и сканирана.
Видях от какво IP са влезли вчера, но това е някаква wireless мрежа в Бангладеш, и ако го банна надали ще помогне. Или да банна целия Бангладеш да ги еба? :)

Лошото е, че не знам какво да гледам повече и дали проблема е при мен или в хоста. Един сайт преместих на друг хост и вече няма проблем с него.

Може ли още нещо да се направи или да сменям хоста?
 

YavorM

New Member
От: Заиграх се с едни хакерчета

хмм. говори с хостинха тогава. явно джуркат сървъра.
 

s1yf0x

Well-Known Member
От: Заиграх се с едни хакерчета

Така като гледам май те си играят с теб, не ти с тях :) Пиши на хоста да проверят POST заявките на лога. Ако си сигурен за FTP-то и че компютъра ти е стерилен, значи те удрят през http
 

rombeca

Active Member
От: Заиграх се с едни хакерчета

хмм. говори с хостинха тогава. явно джуркат сървъра.

Хостинга много съжалявали, и казват да си сменя паролите и да си изтрия файловете :).

Хостинга не е мой, а на приятел а аз само помагам, и си държах един сайт там, ама го махнах.

Смяташ ли, че щях да пускам цяла тема ако не съм го направил? :)
 

rombeca

Active Member
От: Заиграх се с едни хакерчета

Така като гледам май те си играят с теб, не ти с тях :) Пиши на хоста да проверят POST заявките на лога. Ако си сигурен за FTP-то и че компютъра ти е стерилен, значи те удрят през http

Да де.. играем си... :)

Аз си играя да оправям, те си играят да се ебават :)

Код:
180.234.158.36 - - [01/Feb/2013:02:21:21 -0500] "POST /wp-content/cp.php HTTP/1.1" 200 1572 "http://сайта/wp-content/cp.php" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.15 (KHTML, like Gecko) Chrome/18.0.997.0 Safari/535.15"

тва cp.php идва от някъде.
 

against

Well-Known Member
От: Заиграх се с едни хакерчета

E очевидно така няма как да се каже от къде влизат :)

Кажи версия на WP, какви плъгини има качени, каква тема ползва и тн. Прегледай всяко едно по отделно из нета дали има експлойти за него.

Други сайтове има ли на същия хост? Евентуално оттам да влизат, ама тогава щяха сигурно и тях да забършат.
 

s1yf0x

Well-Known Member
От: Заиграх се с едни хакерчета

проверява се датата на създаване и последен достъп до файла cp.php с командата stat и след това се търси в ftp/http логовете за конкретния час. Проверяват се и всички променяни/създадени файлове на тази дата. Не е ядрена физика, едва ли не знаят как да се справят от хоства, вероятно това е допълнителна услуга. Така само ще си връщате бекъпи докато не стане чудо или докато не им омръзне да ви ебават.
 

rombeca

Active Member
От: Заиграх се с едни хакерчета

E очевидно така няма как да се каже от къде влизат :)

Кажи версия на WP, какви плъгини има качени, каква тема ползва и тн. Прегледай всяко едно по отделно из нета дали има експлойти за него.

Други сайтове има ли на същия хост? Евентуално оттам да влизат, ама тогава щяха сигурно и тях да забършат.


Wordpress е последната версия, плъгини няколко - стандартните - сайтмап и т.н., имам ги на всички сайтове и нямат грижи. Всичко е ъпдейтнато. Същото важи и за другите сайтове на тоя хост. Тоя сайт, който преместих на друг, няма грижи.

проверява се датата на създаване и последен достъп до файла cp.php с командата stat и след това се търси в ftp/http логовете за конкретния час. Проверяват се и всички променяни/създадени файлове на тази дата. Не е ядрена физика, едва ли не знаят как да се справят от хоства, вероятно това е допълнителна услуга. Така само ще си връщате бекъпи докато не стане чудо или докато не им омръзне да ви ебават.

Аз мога ли да проверя тези неща? Хоста е споделен, ако не сте разбрали :).
Или поне ftp логове, мога ли да извадя за да съм сигурен?
 

rombeca

Active Member
От: Заиграх се с едни хакерчета

Да допълня, че вече интереса ми е личен и академичен :)

Личен, защото взеха да ме дразнят тия :).
Академичен, защото ако проблема е в моя телевизор да знам да не правя тези грешки друг път.

Иначе не ми дреме чак толкова, спокойно мога да зарежа и хоста, и сайта ако трябва.
 

s1yf0x

Well-Known Member
От: Заиграх се с едни хакерчета

Не можеш да ги провериш тези неща, може да ги провери хоста. Ти можеш да ги провериш само ако има SSH достъп. Дори и да имаш достъп до логовете на ftp / http след като нямаш output-а на командата stat всичко останало е безмислено.
 

TheCrazyBastard

Well-Known Member
От: Заиграх се с едни хакерчета

Щом хоста е споделен и всичко ти е ъпдейтнато и проверено за вируси, значи проблема категорично не е в теб. Качили са някакъв root или shell (както и да се нарича там) достъп до машината, заради нечии друг несигурен акаунт на сървъра и оттам ебават цялата машина най-вероятно. Това си е работа на хостинга да си намерят кой откъде променя неправомерно. Сменяй хостинга по-добре, ако не се оправят нещата.
 

rombeca

Active Member
От: От: Заиграх се с едни хакерчета

Щом хоста е споделен и всичко ти е ъпдейтнато и проверено за вируси, значи проблема категорично не е в теб. Качили са някакъв root или shell (както и да се нарича там) достъп до машината, заради нечии друг несигурен акаунт на сървъра и оттам ебават цялата машина най-вероятно. Това си е работа на хостинга да си намерят кой откъде променя неправомерно. Сменяй хостинга по-добре, ако не се оправят нещата.

И аз така мисля, въпреки че имам малки съмнения да не крадат ftp паролата, защото се влиза от 2-3 компютъра.
Сега казах на титуляра, да си провери нещата и да пише на хоста. Ама са глас в пустиня май. :)

Както каза s1yf0x, ако кажат как е влизано ще видя какво може да се направи.
 

bgtupanfighter

Well-Known Member
От: Заиграх се с едни хакерчета

По-горе те питаха къде се хоства, ако е там за където пича има съмнения, по-добре бегайте с 800 :wink:
 

rombeca

Active Member
От: Заиграх се с едни хакерчета

По-горе те питаха къде се хоства, ако е там за където пича има съмнения, по-добре бегайте с 800 :wink:

Не е там, а не искам да казвам ако все пак аз съм си виновен :).

Всъщност това са изпратили току що на собственика на хоста, след като е писнал:
Security updates are underway in Premium Hosting servers, if you see a outage or error today this will be related to the upgrades, we will keep outages to a minimum as software is upgraded.

Нещо смърдят ми се струва... :)
 

Горе