Jump to content

Ахтунг! Или добро пожаловать - первая атака на ресурс.


Megalex
 Share

Recommended Posts

Пишу сумбурно, ибо аж колотит... Постараюсь изложить по порядку. Лежу в ванне, попиваю чаек с телефоном в руках приходит письмо на почту:

02596465e3.jpg.af0a6fb2bb1626578a9126c798b5d167.jpg

Ну я такой - ОК, к почте вам не добраться слоупоки... Ага:

5ace5eede2ce8_916...jpg.ee1ed1073923e5a3052dd85a8b9defb5.jpg

И понеслась моча по трубам... Читаем до конца, ибо буду писать размыто (эмоции). Не знаю каким образом, и как вообще, но появилась учетная запись, которая даже не отображается в АСЦ! 

5ace5f781bc6c_-..jpg.72cdeea8400929f0b439fd3866a2435e.jpg

Забанить ее НЕВОЗМОЖНО! При нажатии на любую кнопку - страница профиля открывается как ajax окно. В АСЦ повторюсь - этого профиля НЕТ. Взят он из виджета. Странная кароче ситуация. Если приглядеться - даже имени нет. 

Это еще цветочки. Привязан профиль ВК, с него пошла массовая рассылка по моим группам с вредоносным ПО, которое к сожалению не сохранил, ибо нужно было быстро все затирать (аудитория по всем группам свыше 50к человек). Причем если раньше даже когда с соседнего дома от подруги заходил в ВК - приходило уведомление на телефон - аля с другого места захожу... Тут - хрен. В ВК истории показывает что вход с Румынии осуществлен, и НИ ОДНОГО УВЕДОМЛЕНИЯ. К сожалению сразу завершил все сеансы - поэтому без пруфов. 

Так же был осуществлен полноценный вход на сайт под моим профилем (администратора)

5ace60cd9b144_Settings-..jpg.ad55721de52c8b750febf95e73d90c45.jpg

Что делалось с него - непонятно.  Все темы в сохранности. Возможно пытались пробиться к АСЦ - но там двойная авторизация (кстати забыл где сменить пароль от нее - подскажите плиз)

Сам сайт я быстро тоже отключил, и когда вырубил на главной увидел следующее:

5ace61a4da1e4_..jpg.a100001c54571051c7393c545cd008bd.jpg

Доменных почт 5 штук - ко всем ломились с разных адресов, но как ни странно с легкостью вошли на почту которая принадлежала учетной записи администратора. Для понимания - на моей почте (она даже не доменная!) стоял 18 знаковый пароль, с буквами верхнего и нижнего регистра, так же присутствовали цифры. И еще, насколько нам всем известно - почтовые ящики НЕ ОТОБРАЖАЮТСЯ на форуме. Вот это вообще двойная загадка. 

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов. 
И то, до сих пор не ясно где еще пыхнет. Ибо в ВК пыхнуло после 2 часов после того как я получил уведомление на почту о входе в мой аккаунт. 

Скомкано все написал, вы уж извините... бомбит не по детски. 

Link to comment
Share on other sites

10 минут назад, Megalex сказал:

Доменных почт 5 штук - ко всем ломились с разных адресов

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Link to comment
Share on other sites

Только что, SlawkA сказал:

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Ты не поверишь - но они разные были. Сейчас стоят двухфакторные и генерируются каждые 30 секунд автоматически. 

Link to comment
Share on other sites

1 минуту назад, Megalex сказал:

Ты не поверишь - но они разные были.

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Megalex отключи тогда дискорт приложение.

я где читал что с него тоже была атака, но другой движок был вообще.

Link to comment
Share on other sites

19 минут назад, Megalex сказал:

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов

P.S. это относится к крупным форумам.

Уважаемые (нет) школьники, не стоит заморачиваться этим на своих ГС по типу КС и т.д. с онлайном 2+ человека, один из которых вы. Вероятность того, что вас решат ломануть 0.000000000001℅.

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

Link to comment
Share on other sites

1 минуту назад, SlawkA сказал:

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Сдается мне что плагин, который дает возможность авторизации через дискорд - малость того... (Я его само собой уже рубанул)... Через него обильно пытаются войти если я правильно пониманию. И да, оф.поддержка - это как бы не тот путь. Не в моем случае по крайней мере. 

73903e8aa9.jpg

1 минуту назад, WOLF сказал:

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

Вот это красным надо выделить и в рамку... 

Link to comment
Share on other sites

Тоже недавно была такая ситуация. Оказывается, все пароли свиснули через стиллер паролей (которому пофигу со скольки букв и цифр состоит пароль), хотя это был вообще .rar архив. 

Поэтому, двухфакторную лучше ставить везде, особенно там, где есть деньги. 

Касаемо "фантомного юзера", то это обычный баг какой-либо авторизации. У меня за день несколько штук в день таких появляется. Зачастую появляются, если пользователь нажал авторизоваться через сторонний сервис и незакончил либо отменил свою регистрацию. 

Link to comment
Share on other sites

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Link to comment
Share on other sites

Только что, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Там в ац есть папка типо paswordблабла, там хранится она или файл, я с тел. так точно не отвечу, ща попробую найти

Нашел

https://ipbmafia.ru/topic/17752-kak-izmenit-vtoroy-parol-na-adminku/

Link to comment
Share on other sites

Вторичный Настраивается в "Центр безопасности" 

Спойлер

2018-04-11_23-03-12.thumb.png.67e3f529d3f8f0aa75a80d8ae18b2c47.png

Если желаете сменить удалите и по новой настроить.

Спойлер

2018-04-11_23-07-57.png.4e10b81160775e10705659c5a7119a16.png

 

Link to comment
Share on other sites

14 минут назад, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Вот еще темку нашел, там как и ты любят много написать, не знаю полезно будет или нет, возможно что-то черпанешь для себя, в суть особо не вдовался, по этому не ругайся 

 

Link to comment
Share on other sites

@WOLF Sipsb спасибо большое. 

Я конечно не гуру, но именно в этот промежуток времени у меня начался адовый пи... И как видно по логам, постоянное насилие над плагином дискорда. 

123.thumb.jpg.4946e3ebd83cc2c05fc6eeba8b63932a.jpg

Опять же, я не профи по защите - но походу прут именно от туда.

 @stanislav Исключен запуск нежелательного ПО. На комп уже не ставилось с месяц ничего. Конкретно первая подача залетела на почту мою (которая НЕ доменная) и пароль был НЕ подобран, а просто осуществлен вход в почту (о попытках ввода пришли бы письма), и одновременно с этим была запущена процедура восстановления пароля на сайте. Слив пароля - ну я же не мальчик 15 летний ))) Что касаемо ВК - то даже не поленились и пост под тему группы (темы разные) сделали. Благо там аудитория нормальная, слету начала писать в комментах что за хрень и стоит ли качать. Так что тут обошлось, да и оперативно вычистили. 

P.S. Линк на плагин. 

 

Link to comment
Share on other sites

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

Link to comment
Share on other sites

1 минуту назад, Sipsb сказал:

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

Подробней про ФБ можно? Он у меня тоже подключен. Я уже что то думаю над тем чтобы реально оставить только форумную регистрацию. Ибо к такому трешу я повторно могу быть и не готовым. 

Link to comment
Share on other sites

Megalex Вы совсем не следите за новостями в мире it? Разве не слышали про призыв удалиться из Facebook. Сооснователь Apple ушел из Facebook и он не один. https://hitech.vesti.ru/article/819125/

Facebook: если вы наш пользователь, ваши данные скопировали злоумышленики https://hitech.vesti.ru/article/816147/

Link to comment
Share on other sites

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде

Deny from all
Allow from твой-ip

 

Link to comment
Share on other sites

4 часа назад, bsnet сказал:

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде

Deny from all
Allow from твой-ip

 

Это если ip-шник белый. Но можно масками "поиграть", если динамический. По теме - всё нормально с украденными паролями в 18 символов и прочее. Я когда свой хостинг "отмывал" видел и не такое :) Например, создание файлов на хостинге при отключенном доступе по ftp вообще всем - использовали зараженные исполняющие php файлы движка. Ну хотя не знаю, на сколько это нормально, но для меня на то время это был чистый шок. 

Link to comment
Share on other sites

14:07 (12.04.2018) - до сих пор лупят... Хостер говорит что это не в его компетенции, компания по DDOS - говорит что ничего подозрительного... Дайте епрст совет что делать то!!!!? Подбирают пароли раз в 10 минут. Сайт отключить не могу - упаду в поиске (более 100 страниц топ 1). никогда не просил рекламу, но дайте нормальную (хоть в личку) компанию занимающуюся тем, чтобы отрубить от этих коршунов попытки входов. Посмотрел логи - тупо идет подбор паролей, а это постоянные запросы к БД - следовательно, нагрузка на ЦПУ сервера. Если руки ровные - возьму к себе на постоянную работу, без компании и без опыта. 

Я прекрасно понимаю что они уже поняли что подобрать не получиться - решили влупить ограничением по использованию мощностей на сервере. Постоянные запросы - это плачевно скажется. Хост на эту тему предупредил, сказали что все хорошо. 

P.S. Или тупо ждать когда им надоест? 

Link to comment
Share on other sites

P.P.S. Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы? Как в ВК - так они находя пользователей, а тут у меня чуть ли не полное досье. 

1.jpg.641c53668f3e44b2aee5632b824fb34d.jpg

Можно шутить по поводу IP - однако за мой нелепый коммент в ВК - меня нашли. Напомню - провайдеры хранят логи в течении года. Мне в данный момент был нанесен ущерб который вывел из строя личные кабинеты партнеров (я отрубил их самостоятельно), следовательно - потерял прибыль. С юридической точки зрения - моя компания потеряла прибыль? В моей стране за взлом почты можно сесть на 2 года (Беларусь) - про другое, мне влом гуглить. Стоит вызывать милицию? 

Sipsb В логах не видно IP. И у меня в стране (у 99%) он динамический

Link to comment
Share on other sites

23 минуты назад, Megalex сказал:

Посмотрел логи - тупо идет подбор паролей

Куда именно идёт подбор?

Link to comment
Share on other sites

1 минуту назад, Sipsb сказал:

Куда именно идёт подбор?

Через почту [email protected]домен.ру 

Эта почта - основная для рассылки

P.S. На форму входа

12.thumb.jpg.eeb839a36145bfb9c2588dc10d0cc601.jpg

Link to comment
Share on other sites

27 минут назад, Megalex сказал:

Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы?

Можешь

И спасибо что оставил свой номер Миш, буду вспоминать тебя ночами))) ну или школота опять какая-то, только не говори что к этому номеру еще что-то привязано)

46 минут назад, Megalex сказал:

. Или тупо ждать когда им надоест? 

Скорее всего

А разве все это постоянно с разных ип?

Увидел комент про ип, усе отпал вопрос

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Ваша ссылка была автоматически строена.   Отображать как обычную ссылку

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...