Третья звездочка на грудь

*

Поздравьте меня: ночное исчезновение сайта, о котором  я писал в предыдущем посте, оказалось таки действиями ночного татя. Воспользовавшись тем, что мой добрый хостер GoDaddy.com переставил мои сайты в карантинный отстойник, представляющий собой не что иное как настоящий холерный барак, забитый всякой гадостью, злоумышленники влезли ко мне в хозяйство и добавили вредоносный код во все файлы, которые называются index.htm, index.html или indx.php. 

К счастью, идеальных преступников не бывает, и они неаккуратно прописали код в одном из "индексов", что и привело к поломке сайта "Маскани". Я начал ковыряться и обнаружил "подарочки".

Разумеется, все пароли, явки, адреса сменены. Разумеется, код вычищен. Разумеется, все это не гарантирует, что не залезут опять - будем следить.

Зато у меня теперь уже степень "трижды хакнутого". Пора медаль просить. Вот!

Комментарии

А не может быть, что сначала они воткнули свой код в файлы, а потом хостер перенес файлы в отстойник?

Нет. На измененных файлах стояло время изменения: вчера поздно вечером и сегодня рано утром. Обычно на такие вещи не обращаешь внимания, но тут просто повезло. Я точно знаю, когда были перенесены файлы (там тоже даты стоят) и точно знаю, когда я в последний раз изменял эти файлы. Это - тот редкий случай, когда (если исключить сверхъестественное) картина предельно ясна и однозначна.

> На измененных файлах стояло время изменения

А время предыдущих изменений? Если они курочили файлы два раза (а также три или восемь), то какое время там стоит?

Разумеется, на файле стоит только время его последнего изменения. Остальное можно найти только в логах, но у меня нет доступа к логам сервера. Поэтому, если я знаю, что в сайт Hebrus я заходил последний раз уже не помню, когда, все сайты в директории Hebrus помечены 12.05.2009 (время переноса хостером), а один (index) - 28.05.2009, то что можно подумать? Обращаю внимание: Hebrus - чисто html-ный статический сайт, который практически не производит нагрузку на сервер и хостеру там делать совершенно нечего. Перенесли 12 мая его вместе со всем моим хозяйством и более не трогали.

> то что можно подумать?

Подумать можно разное. И это дырка, из-за которой уже нельзя сказать, что "картина предельно ясна и однозначна".

Мне кажется, ты выдвигаешь ненужные сущности. Но, если у тебя есть некая (или некие) версии, в которые разумно укладываются изложенные факты, я весь внимание.

Версия. Сначала хакеры попортили твои файлы. Потом хостер совершенно логично поместил их в карантин. Потом они (или другие) попортили их второй раз, помешав тебе увидеть дату первого.

Это возможно. В смысле, не может быть опровержено. Но очень маловероятно:

В карантин меня отправили за другое (сейчас это уже выяснено: за то, что один из плагинов к блогу грузил сервер баз данных бесконечными обращениями). Не в характере хостера чистить файлы клиентов от зловредного кода и при этом не сообщать об этом. Если бы почистили (во что мне очень слабо верится после шести лет общения с самыми разными хостерами), то точно бы сообщили и предписали бы усилить бдительность. А если бы не почистили, то зачем хакерам было бы вламываться туда вторично? В возможность того, что у меня ходили толпами разные группы хакеров, я не верю. Не первый год замужем, пароли типа "a111" не применяю, кой-какую защиту ставлю. Взломать можно даже Форт-Нокс, но более одного хакера - это перебор. Неубедительно.

И еще. Даже если допустить справедливость этой версии, то сам факт взлома вчера она не отменяет.

> А если бы не почистили, то зачем хакерам было бы вламываться туда вторично?

А может, дата, которую ты видишь, - это вообще дата помещения в карантин?

> И еще. Даже если допустить справедливость этой версии, то сам факт взлома вчера она не отменяет.

Еще не хватало, чтобы я этот факт начал оспаривать. :^)

Это не дата перемещения в карантин, потому что все файлы были перемещены одновременно и работали в карантине почти две недели, пока хостер втихаря выяснял, гружу я сервер или нет. Именно по этой причине на нескольких тысячах фалов (проверял, естественно, выборочно, но пару сотен я точно просмотрел) стоит дата изменения 12 мая. Но вот на примерно 20 "индексах" стоит 28 или 29 мая.

Новые комментарии