За давностью происшествия решил поделиться "веселой" ситуацией, которая произошла со мной почти год назад. Хотя тогда она мне не показалась веселой. После нее я стал параноиком и у меня теперь пароли вот такие hsdfg%^%%&Jjsfhs. И милиции я все больше не верю..
[spoiler]
Теплой июльской ночью сижу я на сайте нашей компании и решил посмотреть кто онлайн. И каково же было мое удивление, когда я обнаружил там.. себя. Почему удивился? А потому что в статистике стояло ограничение на запрет сбора статистики для моего айпи. Но я там был.
Вот мой рапорт в наш доблестный отдел "К".
Знаете чем кончилось? Я сделал замен милицию всю работу. Им оставалось только придти и забрать мальца. Знаете что он им ответил? "Меня самого взломали". Я больше не верю в правосудие.
Я узнал даже его имя и фамилию. Это было несложно. Так как см. п.3. Достаточно было обратиться в компанию Битрикс. Нет, они не дают данные кому попало. Но и ситуация не из обычных.
Откуда он получил мои пароли? Перед тем как я увидел незаконное вторжение я на днях открыл подозрительное письмо с якобы резюме. Это был exe-шник, который стырил все сохраненные пароли FF и отправил на мыло злоумышленника. Письмо явно отправленно профессиональным хакером (другим), так как выход осуществлялся по серой MTS-карте, следов найти не удалось.
Так что, резюмирую.
1. Не используйте стандартные браузеровские "сохранить пароль для этого сайта".
2. Чаще меняйте пароль.
3. Максимально обезопасьте админку. Благо есть журналирование и модуль проактивной защиты.
[spoiler]
Теплой июльской ночью сижу я на сайте нашей компании и решил посмотреть кто онлайн. И каково же было мое удивление, когда я обнаружил там.. себя. Почему удивился? А потому что в статистике стояло ограничение на запрет сбора статистики для моего айпи. Но я там был.
Вот мой рапорт в наш доблестный отдел "К".
Атака обнаружена 06.07.08 приблизительно в 20:00. Некто сидел из под анонимного прокси-сервера под мои логином (anton). Пароль явно украден в открытом виде, так как, судя по логам, была произведена POST-отправка данных на сервер перед авторизацией, что однозначно свидетельствует о введенном логине и пароле. Причем, пароль не подбирали, а ввели только раз, успешно. Обнаруженная мною сессия длилась 52 минуты. Я застал последние хиты злоумышленника. Инстинктивно я оборвал его сессию, сменив мой пароль, но сразу же восстановил, так как хотел проследить дальнейшие его действия. Злоумышленник не вернулся. Начал анализ данного пользователя исходя из логов системы статистики. Вот что я установил: 1. Первый заход злоумышленника был 06.06.08 в 18:19, то есть слежение происходило довольно давно. Первый заход (сессия) была с сайта 2. Дальше были заходы: 06.06.2008 19:39:38 (30 хитов), 09.06.2008 20:47:13 (7 хитов), 11.06.2008 19:49:03 (5 хитов) 3. Интересное посещение хакером нашего сайта было 14.06.2008 20:27:40. Было сделано всего два хита, но гораздо интереснее ссылающаяся страница, откуда он пришел. А пришел он с закрытой секции сайта 4. Далее были заходы 15.06.2008 21:13:33 (10 хитов), 15.06.2008 21:48:34 (5 хитов). 5. 15.06.2008 22:40:20 был тоже интересный заход. Было сделано 4 хита, но опять интересна ссылка, откуда пришел хакер. Это поисковая система 6. Далее были заходы 15.06.2008 23:25:41 (9 хитов), 16.06.2008 21:09:00 (3 хита), 16.06.2008 22:17:00 (5 хитов), 21.06.2008 11:13:36 (7 хитов), 22.06.2008 18:50:44 (11 хитов), 24.06.2008 19:29:08 (1 хит). Очень интересен последний заход в 1 хит. Этот заход был на список работ нашей компании. Субьект явно интересуется нашим развитием. 7. 25.06.2008 22:22:30 был заход в 4 хита с уже другой ссылающейся страницы. А именно с каталога партнеров вышеупомянутой компании 8. Далее были заходы 27.06.2008 21:35:54 (2 хита), 29.06.2008 12:59:31 (1 хит и опять на список работ), 01.07.2008 17:08:54 (1 хит и опять список работ, что явно говорит о каком-то маниакальном преследовании нашего развития, а может и зависти; что уже можно расценивать как мотив преступления), 03.07.2008 19:50:59 (4 хита), 04.07.2008 17:46:28 (и опять на список работ (!)). 9. Все заходы, описанные выше, были сделаны с IP-адреса хх.хх.хх.хх. Данные об адресе приведены ниже. 10. 06.07.2008 00:22:00. В 00:23 была произведена авторизация под моим логином. По данному факту можно предположить что в данную дату хакер получил мои пароли. Можно также предположить, что действовали два или более человека. Не исключаю и случай заказа. Когда один человек просто нанимает хакера. Хакер сделал 101 хит. Это не удивительно, ведь он получил доступы в панель управления. Практически сразу после захода злоумышленник сделал резервное копирование сайта и скачал ее. Хакер проявлял интерес только к клиентам и списку работ. В 01:38:25 авторизация была прервана злоумышленником (нажата кнопка «Выход»). 11. В 06.07.2008 19:14:40 хакер продолжил изучение административной части. На этот раз сделал 52 хита. Весь заход хакер посвятил изучению текущих проектов. Злоумышленник зашел сразу через анонимный прокси-сервер 72.55.191.6. Практически сразу, в 19:27, прокси-сервер был изменен на 82.94.187.199. В 20:07:00 был произведен выход из системы. |
Знаете чем кончилось? Я сделал за
Я узнал даже его имя и фамилию. Это было несложно. Так как см. п.3. Достаточно было обратиться в компанию Битрикс. Нет, они не дают данные кому попало. Но и ситуация не из обычных.
Откуда он получил мои пароли? Перед тем как я увидел незаконное вторжение я на днях открыл подозрительное письмо с якобы резюме. Это был exe-шник, который стырил все сохраненные пароли FF и отправил на мыло злоумышленника. Письмо явно отправленно профессиональным хакером (другим), так как выход осуществлялся по серой MTS-карте, следов найти не удалось.
Так что, резюмирую.
1. Не используйте стандартные браузеровские "сохранить пароль для этого сайта".
2. Чаще меняйте пароль.
3. Максимально обезопасьте админку. Благо есть журналирование и модуль проактивной защиты.