Поздравьте меня: ночное исчезновение сайта, о котором я писал в предыдущем посте, оказалось таки действиями ночного татя. Воспользовавшись тем, что мой добрый хостер GoDaddy.com переставил мои сайты в карантинный отстойник, представляющий собой не что иное как настоящий холерный барак, забитый всякой гадостью, злоумышленники влезли ко мне в хозяйство и добавили вредоносный код во все файлы, которые называются index.htm, index.html или indx.php.
К счастью, идеальных преступников не бывает, и они неаккуратно прописали код в одном из "индексов", что и привело к поломке сайта "Маскани". Я начал ковыряться и обнаружил "подарочки".
Разумеется, все пароли, явки, адреса сменены. Разумеется, код вычищен. Разумеется, все это не гарантирует, что не залезут опять - будем следить.
Зато у меня теперь уже степень "трижды хакнутого". Пора медаль просить. Вот!
Комментарии
vcohen (не проверено)
сб, 05/30/2009 - 00:49
Постоянная ссылка (Permalink)
А не может быть, что сначала
А не может быть, что сначала они воткнули свой код в файлы, а потом хостер перенес файлы в отстойник?
lugovsa (не проверено)
сб, 05/30/2009 - 00:53
Постоянная ссылка (Permalink)
Нет. На измененных файлах
Нет. На измененных файлах стояло время изменения: вчера поздно вечером и сегодня рано утром. Обычно на такие вещи не обращаешь внимания, но тут просто повезло. Я точно знаю, когда были перенесены файлы (там тоже даты стоят) и точно знаю, когда я в последний раз изменял эти файлы. Это - тот редкий случай, когда (если исключить сверхъестественное) картина предельно ясна и однозначна.
vcohen (не проверено)
сб, 05/30/2009 - 01:04
Постоянная ссылка (Permalink)
> На измененных файлах стояло
> На измененных файлах стояло время изменения
А время предыдущих изменений? Если они курочили файлы два раза (а также три или восемь), то какое время там стоит?
lugovsa (не проверено)
сб, 05/30/2009 - 01:08
Постоянная ссылка (Permalink)
Разумеется, на файле стоит
Разумеется, на файле стоит только время его последнего изменения. Остальное можно найти только в логах, но у меня нет доступа к логам сервера. Поэтому, если я знаю, что в сайт Hebrus я заходил последний раз уже не помню, когда, все сайты в директории Hebrus помечены 12.05.2009 (время переноса хостером), а один (index) - 28.05.2009, то что можно подумать? Обращаю внимание: Hebrus - чисто html-ный статический сайт, который практически не производит нагрузку на сервер и хостеру там делать совершенно нечего. Перенесли 12 мая его вместе со всем моим хозяйством и более не трогали.
vcohen (не проверено)
сб, 05/30/2009 - 01:29
Постоянная ссылка (Permalink)
> то что можно
> то что можно подумать?
Подумать можно разное. И это дырка, из-за которой уже нельзя сказать, что "картина предельно ясна и однозначна".
lugovsa (не проверено)
сб, 05/30/2009 - 01:48
Постоянная ссылка (Permalink)
Мне кажется, ты выдвигаешь
Мне кажется, ты выдвигаешь ненужные сущности. Но, если у тебя есть некая (или некие) версии, в которые разумно укладываются изложенные факты, я весь внимание.
vcohen (не проверено)
сб, 05/30/2009 - 02:39
Постоянная ссылка (Permalink)
Версия. Сначала хакеры
Версия. Сначала хакеры попортили твои файлы. Потом хостер совершенно логично поместил их в карантин. Потом они (или другие) попортили их второй раз, помешав тебе увидеть дату первого.
lugovsa (не проверено)
сб, 05/30/2009 - 03:09
Постоянная ссылка (Permalink)
Это возможно. В смысле, не
Это возможно. В смысле, не может быть опровержено. Но очень маловероятно:
В карантин меня отправили за другое (сейчас это уже выяснено: за то, что один из плагинов к блогу грузил сервер баз данных бесконечными обращениями). Не в характере хостера чистить файлы клиентов от зловредного кода и при этом не сообщать об этом. Если бы почистили (во что мне очень слабо верится после шести лет общения с самыми разными хостерами), то точно бы сообщили и предписали бы усилить бдительность. А если бы не почистили, то зачем хакерам было бы вламываться туда вторично? В возможность того, что у меня ходили толпами разные группы хакеров, я не верю. Не первый год замужем, пароли типа "a111" не применяю, кой-какую защиту ставлю. Взломать можно даже Форт-Нокс, но более одного хакера - это перебор. Неубедительно.
И еще. Даже если допустить справедливость этой версии, то сам факт взлома вчера она не отменяет.
vcohen (не проверено)
сб, 05/30/2009 - 07:27
Постоянная ссылка (Permalink)
> А если бы не почистили, то
> А если бы не почистили, то зачем хакерам было бы вламываться туда вторично?
А может, дата, которую ты видишь, - это вообще дата помещения в карантин?
> И еще. Даже если допустить справедливость этой версии, то сам факт взлома вчера она не отменяет.
Еще не хватало, чтобы я этот факт начал оспаривать. :^)
lugovsa (не проверено)
сб, 05/30/2009 - 07:54
Постоянная ссылка (Permalink)
Это не дата перемещения в
Это не дата перемещения в карантин, потому что все файлы были перемещены одновременно и работали в карантине почти две недели, пока хостер втихаря выяснял, гружу я сервер или нет. Именно по этой причине на нескольких тысячах фалов (проверял, естественно, выборочно, но пару сотен я точно просмотрел) стоит дата изменения 12 мая. Но вот на примерно 20 "индексах" стоит 28 или 29 мая.