Перейти к содержанию

Ахтунг! Или добро пожаловать - первая атака на ресурс.


Рекомендуемые сообщения

Пишу сумбурно, ибо аж колотит... Постараюсь изложить по порядку. Лежу в ванне, попиваю чаек с телефоном в руках приходит письмо на почту:

02596465e3.jpg.af0a6fb2bb1626578a9126c798b5d167.jpg

Ну я такой - ОК, к почте вам не добраться слоупоки... Ага:

5ace5eede2ce8_916...jpg.ee1ed1073923e5a3052dd85a8b9defb5.jpg

И понеслась моча по трубам... Читаем до конца, ибо буду писать размыто (эмоции). Не знаю каким образом, и как вообще, но появилась учетная запись, которая даже не отображается в АСЦ! 

5ace5f781bc6c_-..jpg.72cdeea8400929f0b439fd3866a2435e.jpg

Забанить ее НЕВОЗМОЖНО! При нажатии на любую кнопку - страница профиля открывается как ajax окно. В АСЦ повторюсь - этого профиля НЕТ. Взят он из виджета. Странная кароче ситуация. Если приглядеться - даже имени нет. 

Это еще цветочки. Привязан профиль ВК, с него пошла массовая рассылка по моим группам с вредоносным ПО, которое к сожалению не сохранил, ибо нужно было быстро все затирать (аудитория по всем группам свыше 50к человек). Причем если раньше даже когда с соседнего дома от подруги заходил в ВК - приходило уведомление на телефон - аля с другого места захожу... Тут - хрен. В ВК истории показывает что вход с Румынии осуществлен, и НИ ОДНОГО УВЕДОМЛЕНИЯ. К сожалению сразу завершил все сеансы - поэтому без пруфов. 

Так же был осуществлен полноценный вход на сайт под моим профилем (администратора)

5ace60cd9b144_Settings-..jpg.ad55721de52c8b750febf95e73d90c45.jpg

Что делалось с него - непонятно.  Все темы в сохранности. Возможно пытались пробиться к АСЦ - но там двойная авторизация (кстати забыл где сменить пароль от нее - подскажите плиз)

Сам сайт я быстро тоже отключил, и когда вырубил на главной увидел следующее:

5ace61a4da1e4_..jpg.a100001c54571051c7393c545cd008bd.jpg

Доменных почт 5 штук - ко всем ломились с разных адресов, но как ни странно с легкостью вошли на почту которая принадлежала учетной записи администратора. Для понимания - на моей почте (она даже не доменная!) стоял 18 знаковый пароль, с буквами верхнего и нижнего регистра, так же присутствовали цифры. И еще, насколько нам всем известно - почтовые ящики НЕ ОТОБРАЖАЮТСЯ на форуме. Вот это вообще двойная загадка. 

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов. 
И то, до сих пор не ясно где еще пыхнет. Ибо в ВК пыхнуло после 2 часов после того как я получил уведомление на почту о входе в мой аккаунт. 

Скомкано все написал, вы уж извините... бомбит не по детски. 

Ссылка на комментарий
Поделиться на другие сайты

P.S. Долбят до сих пор. Кстати, очень много попыток входа через DISCORD авторизацию!

Журналы системы — Яндекс.Браузер.jpg

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, Megalex сказал:

Доменных почт 5 штук - ко всем ломились с разных адресов

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Ссылка на комментарий
Поделиться на другие сайты

Только что, SlawkA сказал:

Вас просто ломаю по всем пунктам.

Судя по скринам.

Совет, срочно менять пароли еще которые не ломанули. да и зачем Вы держите мыло от хоста и пароли одни и те же? ну в плане я обычно емейл на хост держу который ни кто не знает.

Ты не поверишь - но они разные были. Сейчас стоят двухфакторные и генерируются каждые 30 секунд автоматически. 

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Megalex сказал:

Ты не поверишь - но они разные были.

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Megalex отключи тогда дискорт приложение.

я где читал что с него тоже была атака, но другой движок был вообще.

Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, Megalex сказал:

Что хочу сказать, ОБЯЗАТЕЛЬНО ставьте двухфакторную авторизацию! Везде! На почте и тем более на вашем сайте. В моем случае - это принесло головную боль порядком на 5-6 часов

P.S. это относится к крупным форумам.

Уважаемые (нет) школьники, не стоит заморачиваться этим на своих ГС по типу КС и т.д. с онлайном 2+ человека, один из которых вы. Вероятность того, что вас решат ломануть 0.000000000001℅.

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, SlawkA сказал:

Пиши в тех, поддержку. они быстрей помогут.

Мы то что сделаем? Тоже пойдем ломать?

Сдается мне что плагин, который дает возможность авторизации через дискорд - малость того... (Я его само собой уже рубанул)... Через него обильно пытаются войти если я правильно пониманию. И да, оф.поддержка - это как бы не тот путь. Не в моем случае по крайней мере. 

73903e8aa9.jpg

1 минуту назад, WOLF сказал:

А ТС думаю повлек хороший урок, ибо как сказал, чем крупнее проект, тем надёжнее должна быть и защита.

Вот это красным надо выделить и в рамку... 

Ссылка на комментарий
Поделиться на другие сайты

Тоже недавно была такая ситуация. Оказывается, все пароли свиснули через стиллер паролей (которому пофигу со скольки букв и цифр состоит пароль), хотя это был вообще .rar архив. 

Поэтому, двухфакторную лучше ставить везде, особенно там, где есть деньги. 

Касаемо "фантомного юзера", то это обычный баг какой-либо авторизации. У меня за день несколько штук в день таких появляется. Зачастую появляются, если пользователь нажал авторизоваться через сторонний сервис и незакончил либо отменил свою регистрацию. 

Ссылка на комментарий
Поделиться на другие сайты

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Ссылка на комментарий
Поделиться на другие сайты

Только что, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Там в ац есть папка типо paswordблабла, там хранится она или файл, я с тел. так точно не отвечу, ща попробую найти

Нашел

https://ipbmafia.ru/topic/17752-kak-izmenit-vtoroy-parol-na-adminku/

Ссылка на комментарий
Поделиться на другие сайты

Вторичный Настраивается в "Центр безопасности" 

Спойлер

2018-04-11_23-03-12.thumb.png.67e3f529d3f8f0aa75a80d8ae18b2c47.png

Если желаете сменить удалите и по новой настроить.

Спойлер

2018-04-11_23-07-57.png.4e10b81160775e10705659c5a7119a16.png

 

Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, Megalex сказал:

P.S. Сейчас сверю кстати время, когда пришло первое письмо на почту и гляну что было в логах по сайту. 

@WOLF Где пароль поменять который второй ставится на админку? Т.е. сначала ввожу пароль от админки (этот и нужен), потом от учетной записи. Настроил где то, и сейчас в попыхах не могу вспомнить.

Вот еще темку нашел, там как и ты любят много написать, не знаю полезно будет или нет, возможно что-то черпанешь для себя, в суть особо не вдовался, по этому не ругайся 

 

Ссылка на комментарий
Поделиться на другие сайты

@WOLF Sipsb спасибо большое. 

Я конечно не гуру, но именно в этот промежуток времени у меня начался адовый пи... И как видно по логам, постоянное насилие над плагином дискорда. 

123.thumb.jpg.4946e3ebd83cc2c05fc6eeba8b63932a.jpg

Опять же, я не профи по защите - но походу прут именно от туда.

 @stanislav Исключен запуск нежелательного ПО. На комп уже не ставилось с месяц ничего. Конкретно первая подача залетела на почту мою (которая НЕ доменная) и пароль был НЕ подобран, а просто осуществлен вход в почту (о попытках ввода пришли бы письма), и одновременно с этим была запущена процедура восстановления пароля на сайте. Слив пароля - ну я же не мальчик 15 летний ))) Что касаемо ВК - то даже не поленились и пост под тему группы (темы разные) сделали. Благо там аудитория нормальная, слету начала писать в комментах что за хрень и стоит ли качать. Так что тут обошлось, да и оперативно вычистили. 

P.S. Линк на плагин. 

 

Ссылка на комментарий
Поделиться на другие сайты

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sipsb сказал:

Совет: Лучше вообще не использовать интеграционные плагины и приложения. Тот же Facebook вон как раскорячило, теперь хрен отмоются.

Подробней про ФБ можно? Он у меня тоже подключен. Я уже что то думаю над тем чтобы реально оставить только форумную регистрацию. Ибо к такому трешу я повторно могу быть и не готовым. 

Ссылка на комментарий
Поделиться на другие сайты

Megalex Вы совсем не следите за новостями в мире it? Разве не слышали про призыв удалиться из Facebook. Сооснователь Apple ушел из Facebook и он не один. https://hitech.vesti.ru/article/819125/

Facebook: если вы наш пользователь, ваши данные скопировали злоумышленики https://hitech.vesti.ru/article/816147/

Ссылка на комментарий
Поделиться на другие сайты

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде

Deny from all
Allow from твой-ip

 

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, bsnet сказал:

в папке admin/ в .htaccess прописать вход только по своему ip и замучаются ломать, если у них нет доступа к ftp :-)

так вроде


Deny from all
Allow from твой-ip

 

Это если ip-шник белый. Но можно масками "поиграть", если динамический. По теме - всё нормально с украденными паролями в 18 символов и прочее. Я когда свой хостинг "отмывал" видел и не такое :) Например, создание файлов на хостинге при отключенном доступе по ftp вообще всем - использовали зараженные исполняющие php файлы движка. Ну хотя не знаю, на сколько это нормально, но для меня на то время это был чистый шок. 

Ссылка на комментарий
Поделиться на другие сайты

14:07 (12.04.2018) - до сих пор лупят... Хостер говорит что это не в его компетенции, компания по DDOS - говорит что ничего подозрительного... Дайте епрст совет что делать то!!!!? Подбирают пароли раз в 10 минут. Сайт отключить не могу - упаду в поиске (более 100 страниц топ 1). никогда не просил рекламу, но дайте нормальную (хоть в личку) компанию занимающуюся тем, чтобы отрубить от этих коршунов попытки входов. Посмотрел логи - тупо идет подбор паролей, а это постоянные запросы к БД - следовательно, нагрузка на ЦПУ сервера. Если руки ровные - возьму к себе на постоянную работу, без компании и без опыта. 

Я прекрасно понимаю что они уже поняли что подобрать не получиться - решили влупить ограничением по использованию мощностей на сервере. Постоянные запросы - это плачевно скажется. Хост на эту тему предупредил, сказали что все хорошо. 

P.S. Или тупо ждать когда им надоест? 

Ссылка на комментарий
Поделиться на другие сайты

Megalex Пробуйте этот вариант 

 

Ссылка на комментарий
Поделиться на другие сайты

P.P.S. Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы? Как в ВК - так они находя пользователей, а тут у меня чуть ли не полное досье. 

1.jpg.641c53668f3e44b2aee5632b824fb34d.jpg

Можно шутить по поводу IP - однако за мой нелепый коммент в ВК - меня нашли. Напомню - провайдеры хранят логи в течении года. Мне в данный момент был нанесен ущерб который вывел из строя личные кабинеты партнеров (я отрубил их самостоятельно), следовательно - потерял прибыль. С юридической точки зрения - моя компания потеряла прибыль? В моей стране за взлом почты можно сесть на 2 года (Беларусь) - про другое, мне влом гуглить. Стоит вызывать милицию? 

Sipsb В логах не видно IP. И у меня в стране (у 99%) он динамический

Ссылка на комментарий
Поделиться на другие сайты

23 минуты назад, Megalex сказал:

Посмотрел логи - тупо идет подбор паролей

Куда именно идёт подбор?

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sipsb сказал:

Куда именно идёт подбор?

Через почту support@домен.ру 

Эта почта - основная для рассылки

P.S. На форму входа

12.thumb.jpg.eeb839a36145bfb9c2588dc10d0cc601.jpg

Ссылка на комментарий
Поделиться на другие сайты

Не могу понять, что значит через почту. :ac: 

Ссылка на комментарий
Поделиться на другие сайты

27 минут назад, Megalex сказал:

Кстати, для людей имеющих юридическое образование - я могу заявить в правоохранительные органы?

Можешь

И спасибо что оставил свой номер Миш, буду вспоминать тебя ночами))) ну или школота опять какая-то, только не говори что к этому номеру еще что-то привязано)

46 минут назад, Megalex сказал:

. Или тупо ждать когда им надоест? 

Скорее всего

А разве все это постоянно с разных ип?

Увидел комент про ип, усе отпал вопрос

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...