Posted 11 апреля, 20186 yr comment_145943 Пишу сумбурно, ибо аж колотит... Постараюсь изложить по порядку. Лежу в ванне, попиваю чаек с телефоном в руках приходит письмо на почту: Ну я такой - ОК, к почте вам не добраться слоупоки... Ага: И понеслась моча по трубам... Читаем до конца, ибо буду писать размыто (эмоции). Не знаю каким образом, и как вообще, но появилась учетная запись, которая даже не отображается в АСЦ! Забанить ее НЕВОЗМОЖНО! При нажатии на любую кнопку - страница профиля открывается как ajax окно. В АСЦ повторюсь - этого профиля НЕТ. Взят он из виджета. Странная кароче ситуация. Если приглядеться - даже имени нет. Это еще цветочки. Привязан профиль ВК, с него пошла массовая рассылка по моим группам с вредоносным ПО, которое к сожалению не сохранил, ибо нужно было быстро все затирать (аудитория по всем группам свыше 50к человек). Причем если раньше даже когда с соседнего дома от подруги заходил в ВК - приходило уведомление на телефон - аля с другого места захожу... Тут - хрен. В ВК истории показывает что вход с Румынии осуществлен, и НИ ОДНОГО УВЕДОМЛЕНИЯ. К сожалению сразу завершил все сеансы - поэтому без пруфов. Так же был осуществлен полноценный вход на сайт под моим профилем (администратора) Что делалось с него - непонятно. Все темы в сохранности. Возможно пытались пробиться к АСЦ - но там двойная авторизация (кстати забыл где сменить пароль от нее - подскажите плиз). Сам сайт я быстро тоже отключил, и когда вырубил на главной увидел следующее: Доменных почт 5 штук - ко всем ломились с разных адресов, но как ни странно с легкостью вошли на почту которая принадлежала учетной записи администратора. Для понимания - на моей почте (она даже не доменная!) стоял 18 знаковый пароль, с буквами верхнего и нижнего регистра, так же присутствовали цифры. И еще, насколько нам всем известно - почтовые ящики НЕ ОТОБРАЖАЮТСЯ на форуме. Вот это вообще двойная загадка. Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов. И то, до сих пор не ясно где еще пыхнет. Ибо в ВК пыхнуло после 2 часов после того как я получил уведомление на почту о входе в мой аккаунт. Скомкано все написал, вы уж извините... бомбит не по детски.
11 апреля, 20186 yr Author comment_145944 P.S. Долбят до сих пор. Кстати, очень много попыток входа через DISCORD авторизацию!
11 апреля, 20186 yr comment_145945 10 минут назад, Megalex сказал: Доменных почт 5 штук - ко всем ломились с разных адресов Вас просто ломаю по всем пунктам. Судя по скринам. Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.
11 апреля, 20186 yr Author comment_145946 Только что, SlawkA сказал: Вас просто ломаю по всем пунктам. Судя по скринам. Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает. Ты не поверишь - но они разные были. Сейчас стоят двухфакторные и генерируются каждые 30 секунд автоматически.
11 апреля, 20186 yr comment_145947 1 минуту назад, Megalex сказал: Ты не поверишь - но они разные были. Пиши в тех, поддержку. они быстрей помогут. Мы то что сделаем? Тоже пойдем ломать? Megalex отключи тогда дискорт приложение. я где читал что с него тоже была атака, но другой движок был вообще.
11 апреля, 20186 yr comment_145948 19 минут назад, Megalex сказал: Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов P.S. это относится к крупным форумам. Уважаемые (нет) школьники, не стоит заморачиваться этим на своих ГС по типу КС и т.д. с онлайном 2+ человека, один из которых вы. Вероятность того, что вас решат ломануть 0.000000000001℅. А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.
11 апреля, 20186 yr Author comment_145949 1 минуту назад, SlawkA сказал: Пиши в тех, поддержку. они быстрей помогут. Мы то что сделаем? Тоже пойдем ломать? Сдается мне что плагин, который дает возможность авторизации через дискорд - малость того... (Я его само собой уже рубанул)... Через него обильно пытаются войти если я правильно пониманию. И да, оф.поддержка - это как бы не тот путь. Не в моем случае по крайней мере. 1 минуту назад, WOLF сказал: А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита. Вот это красным надо выделить и в рамку...
11 апреля, 20186 yr comment_145950 Тоже недавно была такая ситуация. Оказывается, все пароли свиснули через стиллер паролей (которому пофигу со скольки букв и цифр состоит пароль), хотя это был вообще .rar архив. Поэтому, двухфакторную лучше ставить везде, особенно там, где есть деньги. Касаемо "фантомного юзера", то это обычный баг какой-либо авторизации. У меня за день несколько штук в день таких появляется. Зачастую появляются, если пользователь нажал авторизоваться через сторонний сервис и незакончил либо отменил свою регистрацию.
11 апреля, 20186 yr Author comment_145951 P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. @WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.
11 апреля, 20186 yr comment_145952 Только что, Megalex сказал: P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. @WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить. Там в ац есть папка типо paswordблабла, там хранится она или файл, я с тел. так точно не отвечу, ща попробую найти Нашел https://ipbmafia.ru/topic/17752-kak-izmenit-vtoroy-parol-na-adminku/
11 апреля, 20186 yr comment_145953 Вторичный Настраивается в "Центр безопасности" Спойлер Если желаете сменить удалите и по новой настроить. Спойлер
11 апреля, 20186 yr comment_145954 14 минут назад, Megalex сказал: P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. @WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить. Вот еще темку нашел, там как и ты любят много написать, не знаю полезно будет или нет, возможно что-то черпанешь для себя, в суть особо не вдовался, по этому не ругайся
11 апреля, 20186 yr Author comment_145955 @WOLF Sipsb спасибо большое. Я конечно не гуру, но именно в этот промежуток времени у меня начался адовый пи... И как видно по логам, постоянное насилие над плагином дискорда. Опять же, я не профи по защите - но походу прут именно от туда. @stanislav Исключен запуск нежелательного ПО. На комп уже не ставилось с месяц ничего. Конкретно первая подача залетела на почту мою (которая НЕ доменная) и пароль был НЕ подобран, а просто осуществлен вход в почту (о попытках ввода пришли бы письма), и одновременно с этим была запущена процедура восстановления пароля на сайте. Слив пароля - ну я же не мальчик 15 летний ))) Что касаемо ВК - то даже не поленились и пост под тему группы (темы разные) сделали. Благо там аудитория нормальная, слету начала писать в комментах что за хрень и стоит ли качать. Так что тут обошлось, да и оперативно вычистили. P.S. Линк на плагин.
11 апреля, 20186 yr comment_145956 Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.
11 апреля, 20186 yr Author comment_145957 1 минуту назад, Sipsb сказал: Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются. Подробней про ФБ можно? Он у меня тоже подключен. Я уже что то думаю над тем чтобы реально оставить только форумную регистрацию. Ибо к такому трешу я повторно могу быть и не готовым.
11 апреля, 20186 yr comment_145958 Megalex Вы совсем не следите за новостями в мире it? Разве не слышали про призыв удалиться из Facebook. Сооснователь Apple ушел из Facebook и он не один. https://hitech.vesti.ru/article/819125/ Facebook: если вы наш пользователь, ваши данные скопировали злоумышленики https://hitech.vesti.ru/article/816147/
12 апреля, 20186 yr comment_145960 в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-) так вроде Deny from all Allow from твой-ip
12 апреля, 20186 yr comment_145961 4 часа назад, bsnet сказал: в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-) так вроде Deny from all Allow from твой-ip Это если ip-шник белый. Но можно масками "поиграть", если динамический. По теме - всё нормально с украденными паролями в 18 символов и прочее. Я когда свой хостинг "отмывал" видел и не такое Например, создание файлов на хостинге при отключенном доступе по ftp вообще всем - использовали зараженные исполняющие php файлы движка. Ну хотя не знаю, на сколько это нормально, но для меня на то время это был чистый шок.
12 апреля, 20186 yr Author comment_145963 14:07 (12.04.2018) - до сих пор лупят... Хостер говорит что это не в его компетенции, компания по DDOS - говорит что ничего подозрительного... Дайте епрст совет что делать то!!!!? Подбирают пароли раз в 10 минут. Сайт отключить не могу - упаду в поиске (более 100 страниц топ 1). никогда не просил рекламу, но дайте нормальную (хоть в личку) компанию занимающуюся тем, чтобы отрубить от этих коршунов попытки входов. Посмотрел логи - тупо идет подбор паролей, а это постоянные запросы к БД - следовательно, нагрузка на ЦПУ сервера. Если руки ровные - возьму к себе на постоянную работу, без компании и без опыта. Я прекрасно понимаю что они уже поняли что подобрать не получиться - решили влупить ограничением по использованию мощностей на сервере. Постоянные запросы - это плачевно скажется. Хост на эту тему предупредил, сказали что все хорошо. P.S. Или тупо ждать когда им надоест?
12 апреля, 20186 yr Author comment_145965 P.P.S. Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы? Как в ВК - так они находя пользователей, а тут у меня чуть ли не полное досье. Можно шутить по поводу IP - однако за мой нелепый коммент в ВК - меня нашли. Напомню - провайдеры хранят логи в течении года. Мне в данный момент был нанесен ущерб который вывел из строя личные кабинеты партнеров (я отрубил их самостоятельно), следовательно - потерял прибыль. С юридической точки зрения - моя компания потеряла прибыль? В моей стране за взлом почты можно сесть на 2 года (Беларусь) - про другое, мне влом гуглить. Стоит вызывать милицию? Sipsb В логах не видно IP. И у меня в стране (у 99%) он динамический
12 апреля, 20186 yr comment_145966 23 минуты назад, Megalex сказал: Посмотрел логи - тупо идет подбор паролей Куда именно идёт подбор?
12 апреля, 20186 yr Author comment_145967 1 минуту назад, Sipsb сказал: Куда именно идёт подбор? Через почту support@домен.ру Эта почта - основная для рассылки P.S. На форму входа
12 апреля, 20186 yr comment_145969 27 минут назад, Megalex сказал: Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы? Можешь И спасибо что оставил свой номер Миш, буду вспоминать тебя ночами))) ну или школота опять какая-то, только не говори что к этому номеру еще что-то привязано) 46 минут назад, Megalex сказал: . Или тупо ждать когда им надоест? Скорее всего А разве все это постоянно с разных ип? Увидел комент про ип, усе отпал вопрос
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.