Answer the question
In order to leave comments, you need to log in
D
D
Dmitry2016-12-23 17:57:52
Dmitry, 2016-12-23 17:57:52
How to catch a hacker, or at least take revenge?
Всем привет. Произошла такая неприятная ситуация. Ко мне обратился заказчик с просьбой избавиться от вирусов. в процессе поиска угроз я нашёл на сайте несколько файлов с принудительной авторизацией под админом, и снёс их. а также поправил изменения файлов (хакер вручную добавлял в описание товара рекламу гугл Ads). И сменил все пароли на рута и на пользователей FTP. На следующий день история повторилась. авторизация из под главного админа через файл с авторизацией в корне. изменение файла шаблона. В логах только часть информации (авторизация, изменение файла) про создание файла кем когда и как - ничего не пишется.
Прошерстил grep'ом весь сайт на поиск генерации злосчастного файла или аналогичных файлов. ничего не нашёл. включил параноика - заблочил доступы с левых айпишников в админку. по htaccess заблочил доступ к файлу авторизации, жду сегодняшней ночи. правят файлы в 2-3 ночи с разных американских айпишников. Думаю какие теперь должны быть меры, если и это не поможет? Есть какой то способ в ответочку этого хацкера как нибудь жёстко ломануть и отхентаить?
4 answer(s)
@Rou1997
Повышение своей квалификации!
Я не вникал в вопрос, но у вас там, извините, полный бардак, если редактируют файлы прямо авторизавшись под учетной записью администратора. Все входные данные должны контролироваться, все их виды нужно изучить и понять какие могут быть проблемы, например shell'ы, когда загружают файл, затем обращаются по прямой ссылке, а в нем код и он выполняется, не исключено что это ваш случай, но и если явно не ваш то не расстраивайтесь, "лазеек" может быть много. :)
Так что временно "забейте", отдохните чтобы выйти из стресса фазы истощения (судя по желанию отомстить у вас началась эта фаза, мозг не думает а просто выплескивает негативные эмоции), возможно стоит напиться (я не шучу, некоторым помогает, и я говорю о серьезных людях, инженерах, а не "быдле"), после чего исправляйте бардак!
@leahch
@SirBataneg
R
Rou1997, 2016-12-23 @Rou1997
Думаю какие теперь должны быть меры
Повышение своей квалификации!
Я не вникал в вопрос, но у вас там, извините, полный бардак, если редактируют файлы прямо авторизавшись под учетной записью администратора. Все входные данные должны контролироваться, все их виды нужно изучить и понять какие могут быть проблемы, например shell'ы, когда загружают файл, затем обращаются по прямой ссылке, а в нем код и он выполняется, не исключено что это ваш случай, но и если явно не ваш то не расстраивайтесь, "лазеек" может быть много. :)
Так что временно "забейте", отдохните чтобы выйти из стресса фазы истощения (судя по желанию отомстить у вас началась эта фаза, мозг не думает а просто выплескивает негативные эмоции), возможно стоит напиться (я не шучу, некоторым помогает, и я говорю о серьезных людях, инженерах, а не "быдле"), после чего исправляйте бардак!
�
Алексей Черемисин, 2016-12-23 @leahch
1) сделайте все файлы php и inc в readonly
2) проверьте доступы всех пользователей
2.1) проверьте всех системных пользователей
3) обновите систему
4) надеюсь, что весь web не от рута работает?
�
Сергей, 2016-12-27 @SirBataneg
1. удалить всё, что смогли найти
2. смотреть в логи доступа, к каким файлам обращаются (так вычислите файл, через который заливают)
3. повышать безопасность
Similar questions
L
A
M
Maxim Morozov2021-04-08 13:13:42
How to get the 1s Bitrix location ID knowing its character code?
1Reply
D
Diversia2021-04-09 08:17:15
Is it correct to set noindex, nofollow through system.auth.authoriz?
0Reply
Didn't find what you were looking for?
Ask your questionAsk a Question
731 491 924 answers to any question