Пишу сумбурно, ибо аж колотит... Постараюсь изложить по порядку. Лежу в ванне, попиваю чаек с телефоном в руках приходит письмо на почту:

Ну я такой - ОК, к почте вам не добраться слоупоки... Ага:

И понеслась моча по трубам... Читаем до конца, ибо буду писать размыто (эмоции). Не знаю каким образом, и как вообще, но появилась учетная запись, которая даже не отображается в АСЦ! 

Забанить ее НЕВОЗМОЖНО! При нажатии на любую кнопку - страница профиля открывается как ajax окно. В АСЦ повторюсь - этого профиля НЕТ. Взят он из виджета. Странная кароче ситуация. Если приглядеться - даже имени нет. 

Это еще цветочки. Привязан профиль ВК, с него пошла массовая рассылка по моим группам с вредоносным ПО, которое к сожалению не сохранил, ибо нужно было быстро все затирать (аудитория по всем группам свыше 50к человек). Причем если раньше даже когда с соседнего дома от подруги заходил в ВК - приходило уведомление на телефон - аля с другого места захожу... Тут - хрен. В ВК истории показывает что вход с Румынии осуществлен, и НИ ОДНОГО УВЕДОМЛЕНИЯ. К сожалению сразу завершил все сеансы - поэтому без пруфов. 

Так же был осуществлен полноценный вход на сайт под моим профилем (администратора)

Что делалось с него - непонятно.  Все темы в сохранности. Возможно пытались пробиться к АСЦ - но там двойная авторизация (кстати забыл где сменить пароль от нее - подскажите плиз). 

Сам сайт я быстро тоже отключил, и когда вырубил на главной увидел следующее:

Доменных почт 5 штук - ко всем ломились с разных адресов, но как ни странно с легкостью вошли на почту которая принадлежала учетной записи администратора. Для понимания - на моей почте (она даже не доменная!) стоял 18 знаковый пароль, с буквами верхнего и нижнего регистра, так же присутствовали цифры. И еще, насколько нам всем известно - почтовые ящики НЕ ОТОБРАЖАЮТСЯ на форуме. Вот это вообще двойная загадка. 

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов. 
И то, до сих пор не ясно где еще пыхнет. Ибо в ВК пыхнуло после 2 часов после того как я получил уведомление на почту о входе в мой аккаунт. 

Скомкано все написал, вы уж извините... бомбит не по детски. 

P.S. Долбят до сих пор. Кстати, очень много попыток входа через DISCORD авторизацию!

10 минут назад, Megalex сказал:

Доменных почт 5 штук - ко всем ломились с разных адресов

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Только что, SlawkA сказал:

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Ты не поверишь - но они разные были. Сейчас стоят двухфакторные и генерируются каждые 30 секунд автоматически. 

1 минуту назад, Megalex сказал:

Ты не поверишь - но они разные были.

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Megalex отключи тогда дискорт приложение.

я где читал что с него тоже была атака, но другой движок был вообще.

19 минут назад, Megalex сказал:

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов

P.S. это относится к крупным форумам.

Уважаемые (нет) школьники, не стоит заморачиваться этим на своих ГС по типу КС и т.д. с онлайном 2+ человека, один из которых вы. Вероятность того, что вас решат ломануть 0.000000000001℅.

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

1 минуту назад, SlawkA сказал:

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Сдается мне что плагин, который дает возможность авторизации через дискорд - малость того... (Я его само собой уже рубанул)... Через него обильно пытаются войти если я правильно пониманию. И да, оф.поддержка - это как бы не тот путь. Не в моем случае по крайней мере. 

1 минуту назад, WOLF сказал:

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

Вот это красным надо выделить и в рамку... 

Тоже недавно была такая ситуация. Оказывается, все пароли свиснули через стиллер паролей (которому пофигу со скольки букв и цифр состоит пароль), хотя это был вообще .rar архив. 

Поэтому, двухфакторную лучше ставить везде, особенно там, где есть деньги. 

Касаемо "фантомного юзера", то это обычный баг какой-либо авторизации. У меня за день несколько штук в день таких появляется. Зачастую появляются, если пользователь нажал авторизоваться через сторонний сервис и незакончил либо отменил свою регистрацию. 

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Только что, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Там в ац есть папка типо paswordблабла, там хранится она или файл, я с тел. так точно не отвечу, ща попробую найти

Нашел

https://ipbmafia.ru/topic/17752-kak-izmenit-vtoroy-parol-na-adminku/

Вторичный Настраивается в "Центр безопасности" 

Спойлер

Если желаете сменить удалите и по новой настроить.

Спойлер

 

14 минут назад, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Вот еще темку нашел, там как и ты любят много написать, не знаю полезно будет или нет, возможно что-то черпанешь для себя, в суть особо не вдовался, по этому не ругайся 

 

@WOLF Sipsb спасибо большое. 

Я конечно не гуру, но именно в этот промежуток времени у меня начался адовый пи... И как видно по логам, постоянное насилие над плагином дискорда. 

Опять же, я не профи по защите - но походу прут именно от туда.

 @stanislav Исключен запуск нежелательного ПО. На комп уже не ставилось с месяц ничего. Конкретно первая подача залетела на почту мою (которая НЕ доменная) и пароль был НЕ подобран, а просто осуществлен вход в почту (о попытках ввода пришли бы письма), и одновременно с этим была запущена процедура восстановления пароля на сайте. Слив пароля - ну я же не мальчик 15 летний ))) Что касаемо ВК - то даже не поленились и пост под тему группы (темы разные) сделали. Благо там аудитория нормальная, слету начала писать в комментах что за хрень и стоит ли качать. Так что тут обошлось, да и оперативно вычистили. 

P.S. Линк на плагин. 

 

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

1 минуту назад, Sipsb сказал:

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

Подробней про ФБ можно? Он у меня тоже подключен. Я уже что то думаю над тем чтобы реально оставить только форумную регистрацию. Ибо к такому трешу я повторно могу быть и не готовым. 

Megalex Вы совсем не следите за новостями в мире it? Разве не слышали про призыв удалиться из Facebook. Сооснователь Apple ушел из Facebook и он не один. https://hitech.vesti.ru/article/819125/

Facebook: если вы наш пользователь, ваши данные скопировали злоумышленики https://hitech.vesti.ru/article/816147/

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде

Deny from all
Allow from твой-ip

 

4 часа назад, bsnet сказал:

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде

Deny from all
Allow from твой-ip

 

Это если ip-шник белый. Но можно масками "поиграть", если динамический. По теме - всё нормально с украденными паролями в 18 символов и прочее. Я когда свой хостинг "отмывал" видел и не такое Например, создание файлов на хостинге при отключенном доступе по ftp вообще всем - использовали зараженные исполняющие php файлы движка. Ну хотя не знаю, на сколько это нормально, но для меня на то время это был чистый шок. 

14:07 (12.04.2018) - до сих пор лупят... Хостер говорит что это не в его компетенции, компания по DDOS - говорит что ничего подозрительного... Дайте епрст совет что делать то!!!!? Подбирают пароли раз в 10 минут. Сайт отключить не могу - упаду в поиске (более 100 страниц топ 1). никогда не просил рекламу, но дайте нормальную (хоть в личку) компанию занимающуюся тем, чтобы отрубить от этих коршунов попытки входов. Посмотрел логи - тупо идет подбор паролей, а это постоянные запросы к БД - следовательно, нагрузка на ЦПУ сервера. Если руки ровные - возьму к себе на постоянную работу, без компании и без опыта. 

Я прекрасно понимаю что они уже поняли что подобрать не получиться - решили влупить ограничением по использованию мощностей на сервере. Постоянные запросы - это плачевно скажется. Хост на эту тему предупредил, сказали что все хорошо. 

P.S. Или тупо ждать когда им надоест? 

Megalex Пробуйте этот вариант 

 

P.P.S. Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы? Как в ВК - так они находя пользователей, а тут у меня чуть ли не полное досье. 

Можно шутить по поводу IP - однако за мой нелепый коммент в ВК - меня нашли. Напомню - провайдеры хранят логи в течении года. Мне в данный момент был нанесен ущерб который вывел из строя личные кабинеты партнеров (я отрубил их самостоятельно), следовательно - потерял прибыль. С юридической точки зрения - моя компания потеряла прибыль? В моей стране за взлом почты можно сесть на 2 года (Беларусь) - про другое, мне влом гуглить. Стоит вызывать милицию? 

Sipsb В логах не видно IP. И у меня в стране (у 99%) он динамический

23 минуты назад, Megalex сказал:

Посмотрел логи - тупо идет подбор паролей

Куда именно идёт подбор?

1 минуту назад, Sipsb сказал:

Куда именно идёт подбор?

Через почту support@домен.ру 

Эта почта - основная для рассылки

P.S. На форму входа

Не могу понять, что значит через почту.  

27 минут назад, Megalex сказал:

Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы?

Можешь

И спасибо что оставил свой номер Миш, буду вспоминать тебя ночами))) ну или школота опять какая-то, только не говори что к этому номеру еще что-то привязано)

46 минут назад, Megalex сказал:

. Или тупо ждать когда им надоест? 

Скорее всего

А разве все это постоянно с разных ип?

Увидел комент про ип, усе отпал вопрос