Ёбаный хакер...

Вторник, 10 Авг 2010 20:31

Ёбаный хакер...

Ёбаный хакер...

Дуэль с хакером

Вчера еще один день моей рабочей недели был пущен коту под хвост. В районе 14.00 дня в своем мыле на bigmir.net (там стоит мыло от gmail) я замечаю письма из панели сайтов, Сапы, панели доменов на ru-tld и ряда других сервисов и ПП со ссылками на смену паролей ко всему этому делу. Причем темы писем не выделены жирным, они УЖЕ ПРОСМОТРЕНЫ.

Я в панике, различные нехорошие мыслишки со всех сторон штормят голову, мешая сосредоточиться и что-то предпринять. Не могу понять, есть у злоумышленника доступ к мылу или нет, и если есть, то почему я все еще залогинен в своем мыле. По глупости и неопытности у меня на мыле хранилась целая папка с ярлыком «данные регистрации», где были логины, пароли и вся-вся-вся подноготная моей сетевой жизни.

Открываю уже прочитанное кем-то мыло от самого сокровенного — панели доменов, где хранится большое количество сайтов, и читаю интересную переписку с саппортом хостинга якобы от моего имени, где злоумышленник просит саппорт сменить пароль от CPanel, мол сам он по каким-то идиотским причинам сделать этого не может. Мигом несусь туда, меняю пароль, в еще открытом тикете объясняю саппорту, что переписку веду не я, а кто-то от моего имени и прошу их не менять никаких паролей, потому что я контролирую свое мыло и сам могу это сделать, прошу связаться со мной по аське для разъяснения ситуации.

На всякий пожарный быстро меняю мыло, за которым числится WMID. Перехожу к следующему письму, в котором пришла ссылка на смену пароля в Sape, логинюсь и вижу, что полностью удалены все мои проекты в панелях оптимизатора и вебмастера.

Охуевшими глазами наблюдая как ящик наполняется мейлами, которые я не читал, но которые уже отмечены просмотренными, вижу сообщение от аськи «Ваша учетная запись используется на другом компьютере». Пытаюсь снова залогиниться, злоумышленник делает то же самое. После такой игры в дрючку аська выдает мне «слишком много подключений, попробуйте позже». Аська остается под контролем злоумышленника. По всей видимости он использовал один из паролей, которые нашел на моем мыле, и тот подошел к аське (вот такой вот я идиот). А злоумышленник ожидал теперь, что хостер свяжется с ним по аське.

Охуеваю дальше. Хочу вернуться в мыло глянуть, что он там такого еще натворил, но не могу зайти на bigmir.net. В голове проносится сценарий фильма «Крепкий орешек 4», начинаю подозревать атаку через локальную сеть с предварительным сливом содержимого моего винчестера. Звоню к провайдеру, он говорит, что, оказывается, у них ведутся технические работы, и невозможность достучаться до бигмира и ряда других сайтов, в том числе и сервисов аськи, типа нормальное явление, нужно подождать. Здорово совпало!

Жду... Жду... Жду... Минут через 45 звонит провайдер и говорит, что все исправили. Первым делом восстанавливаю контроль над аськой через смену пароля на icq.com. Захожу на почту и вижу что новых е-мейлов с просьбой сменить пароль не приходило (или они приходили, но он их удалил). Решаю попробовать сменить пароль к мылу: при этой попытке бигмир тебя в начале вылогинит и попросит залогиниться снова, а после входа ты сразу переходишь к редактированию профиля. После логаута понимаю, что мой пароль к почте больше не подходит, и я ею больше не владею. Восстановить ее не получается, т.к. ответ на секретный вопрос почему-то оказывается неверным, хотя я в нем и уверен. У злоумышленника оказывается полный контроль над моим мылом и вся папочка с логинами и паролями к ПП, панелям доменов и сайтов и еще много чему.

Несусь на бигмир в надежде, что сидят они в Киеве, чтобы найти их телефон и постараться вернуть себе мыло. При звонке в службу поддержки объясняю ситуацию. Мне сообщают, что скорее всего моя почта была угнана днем ранее около 20.00, что злоумышленник сменил все данные, включая и секретный вопрос и ответ на него, и что теперь, чтобы доказать, что мыло мое, я должен написать им письмо с указанием всех данных, которые я вводил 4 года назад, когда регистрировал себе это мыло. С тех пор, естественно, я, во-первых, много чего забыл, во-вторых, много раз все менял.

После нескольких попыток подбора и где-то получаса звонков к бигмиру я выспрашиваю, что, оказывается, можно было сразу же попросить их заблокировать мое мыло, пока настоящий владелец не предъявит все данные на него. Вот это был полный ппц. Пока злоумышленник уводил с мыла все данные, я общался с вежливым саппортом, пытаясь вспомнить данные четырехлетней давности, и саппорт мне даже не сообщил о возможности заблочить мое мыло, пока я сам об этом не спросил. Здорово!

Худо-бедно заблочили мыло, на следующий день я отослал к ним сканы своих паспортных данных, которые, естественно, совпадали с тем, что я вводил при регистрации мыла, и на том вопрос и решили. Контроль над мылом был восстановлен, данные от всех ПП, все логины, пароли и подобную информацию с мыла я удалил и больше их никогда там держать не буду. Сменил порядка 50 паролей. Всюду использовал сложные комбинации, а хранить собираюсь исключительно в голове и на листочке. Где это возможно было, поставил блокировку доступа по IP. Просканил комп несколькими прогами в поисках троянов, в том числе и mailware, поудалял кучу кейгенов и крэков от греха подальше и поставил себе фаервол.

Как бы странно это не звучало, но после попыток увести домены из панели в ру-тлд и сменить пароли от панели сайтов и Сапы злоумышленник, видимо, больше ничего не предпринимал. Наверное удивился, когда завладев моим мылом понял, что я тоже до сих пор залогинен (он мог понять это из переписки с хостером, где он представился мною, а я тут же это опроверг, он тоже читал тот тикет), и решил бросить это дело. Я проверил все данные во всех ПП, где работаю, посмотрел, чтобы не были сменены кошельки для выплат и т.п. Все осталось нетронутым. Даже из Сапы, где на счету было около 5$ ничего не уводил (все равно не успел бы, заявка обрабатывается несколько дней), а только удалил, пидарас маленький, все проекты.

Выяснил айпишник, которым пользовался злоумышленник: 87.103.209.226. Перейдите на него по http-протоколу и скажите мне, че за гавно там установлено, и где это находится?

По сути это происшествие обошлось мне только в кучу нервов и два дня работы: день на всю заварушку и день на восстановление нервов. Финансово я никак не пострадал, хотя есть знакомые, которым подобные взломы обходились в несколько сотен вечнозеленых. Даже проекты в Сапе в обеих панелях саппорт уже восстановил.

Ёбаный хакер, если ты это читаешь, а я знаю, что скорее всего ты будешь это читать, можешь потренировать свою правую руку еще раз! На большее ты пока не годен!

Теперь у меня осталось всего 2 вопроса: как увели мое мыло и зачем это кому-нибудь было надо?

Для справки:

  • врагов в оффлайне нет, в онлайне вроде тоже не должно быть;
  • заработки в интернете не настолько велики, чтобы привлечь столько внимания, все заработанное выводится почти сразу, и я на него живу;
  • доступа к локальной машине нет ни у кого кроме меня;
  • стоял НОД32, отдельного фаервола не было;
  • пароль к мылу был уникальным, то есть нигде больше не повторялся;
  • я не первый год в сети и не идиот, чтобы попадаться на фишинги или качать себе на машину и своими же руками запускать трояны

Выводы:

1. Если живете активной сетевой жизнью, то на машине как минимум должны стоять связка firewall+antivirus+последние обновления винды.

2. Доступ к рабочей машине всегда должен быть только у вас. Даже когда я переехал в отдельную квартиру, я все равно не стал убирать пароль со своего компа, чтобы не расслабляться, и это, я считаю, хорошая привычка.

3. Постоянные финстрипы — прямая дорога стать мишенью мошенников. Но как бы там ни было, я все равно буду продолжать их публиковать до конца этого года, так как, еще раз повторю, все значительные суммы с кипера сразу же выводятся на карту, где до пользования ими я еще успеваю наварить небольшой процент на депозите. В 2011 уже традиция финстрипов, пожалуй, будет прервана, но не столько из-за боязни стать мишенью мошенников, сколько из-за боязни стать мишенью налоговой :) . Украинские налоговики, чувствую, тоже скоро полезут в инет.

4. Не храните никаких важных данных на мыле, иначе вы сами показываете мошеннику, где и что у вас можно украсть, и не верьте, когда кто-то утверждает, что какое-то мыло нельзя взломать. Практика показала обратное.

5. Взломать сложно только то мыло, о существовании которого никто не знает: используем одно нигде и никогда непаленое мыло для регистраций на сайтах, а другое афишируем как свое основное и с него ведем рабочие переписки.

6. Пароли должны быть сложными и храниться только на бумажке в зашифрованном виде. Никаких desktop-программ или, не дай Бог, онлайн-сервисов.

Ну, вот и все. Кто что обо всем этом думает?

Все еще долечиваю нервы
Ваш Перспективный блоггер

http://blogto4ka.ru

RSS комментариев

44 комментария Упоминаний: 1 Комментировать

  1. Alex Shooltz пишет:

    11 Авг 2010 в 0:38 Reply to this comment

    1

    Не так давно со мной было практически тоже самое. Потом долго думал и анализировал... в результате вышел из top-sape и прекратил финстрипы...

  2. wlad2 пишет:

    11 Авг 2010 в 1:32 Reply to this comment

    2

    Самое интересное как взломали если стоит антивирус... это мне не понять.

  3. BloggerMen пишет:

    11 Авг 2010 в 5:20 Reply to this comment

    3

    Хранить пароли в почтовом ящике явно не стоило.

    Интересно другое, неужели хакеры настолько обмельчали? Когда взламывают серьезные проект, тогда все ясно, но зачем трогать обычного блоггера?

  4. nethead пишет:

    11 Авг 2010 в 8:41 Reply to this comment

    4

    Вообще неприятно! Прикинь если бы ничего не удалось? Все нажитое коту под хвост...Реально стоит задуматься об отдельном компе+изредка подключать флешку с важными данными+пароли использовать из сложных чисел и словосочетаний.

  5. nikolas_sharp пишет:

    11 Авг 2010 в 10:34 Reply to this comment

    5

    Прикинь если бы ничего не удалось?

    Это как? Не могу прикинуть. Даже если бы получилось взять контроль над доменами и сайтами — это всего лишь вопрос времени их вернуть. Если бы гавнюк удалил сайты — после погорелого Одесского хостинга у меня всегда есть бекапы всего и вся (научился на чужом опыте). Если бы не удалось восстановить почту — хрен с ней, основное мыло можно поменять в большинстве сайтов либо руками, либо по запросу к саппорту. Посносил бы мои проекты в ПП? Поддержка, как я убедился, в течение дня-двух восстановит. Получил бы контроль к webmoney? У меня перс, всегда смогу быстро восстановить контроль через саппорт посылкой им паспортных данных, кроме того лично знаю чуть ли не первого в Украине человека с аттестатом регистратора. Сумм, которых хакеру хватило хотя бы на новые кроссовки на кипере никогда нет. Пускай ломают, если хотят «с пользой» провести время :) .

  6. inkvizitor68sl пишет:

    11 Авг 2010 в 10:48 Reply to this comment

    6

    Россия, кемерово, провайдер kuzbass.net

    Абузить по этому поводу стоит на abuse@sinor.ru (апстрим пров таким мелочам моск изнасилует будь-будь)

    На сервере болтается Ubuntu, предположительно 10.04. Apache/2.2.14

    Ну и да. Извиняюсь за мат, но сносили бы вы на йух винду. 

  7. nethead пишет:

    11 Авг 2010 в 11:06 Reply to this comment

    7

    Ну все равно это же такой геморрой, столько времени и нервов уйдет. Кстати ты нашел ублюдка? Вот если с ним поговрить вообще, как где и что он нашел, с какой целью все это сделал, возможно тогда бы было понятно как и что нужно прятать, что выкладывать в нет а что нет, какие фаерволы ставить

  8. nikolas_sharp пишет:

    11 Авг 2010 в 11:31 Reply to this comment

    8

    @nethead, да, нервов ппц много, времени тоже до недели в зависимости от стихийности бедствия может занять :) . У меня 2 дня в топку ушло. Но я рад, что этот опыт дался мне бесплатно, теперь точно знаю, что 1) основную почту всегда надо регить на свои реальные данные, и сколько бы раз за твою жизнь они не менялись, данные, указанные при первой регистрации, всегда останутся у саппорта почты и 2) первым делом при взломе почты нужно звонить к саппорту и просить ее заблокировать до предъявления данных, которые может знать только реальный владелец. Знай я о втором приеме чуть раньше, и нервы и данные были бы целы. А так мне просто реально повезло.

    Кстати ты нашел ублюдка?

    Вон inkvizitor68sl подсказывает, я и сам на такие данные по вхуизсервисам натыкался, но не знал, куда писать. Сегодня вечером напишу на abuse[cabaka]sinor.ru и посмотрим, что ответят. Все интересное буду выкладывать в блоге, самому хочется наказать пакостника.

  9. andy пишет:

    11 Авг 2010 в 14:14 Reply to this comment

    9

    «„можешь потренировать свою правую руку еще раз! На большее ты пока не годен!“»

    хаха, куда ж еще больше?) взломал всё и вся, поменял везде пароли что ж еще нужно.

  10. Max1mus пишет:

    11 Авг 2010 в 15:12 Reply to this comment

    10

    Да, дружище, не фига себе косяк. Все-таки главный вопрос остался неизменным: как все-таки мыло угнали то?

    Кстати, 87.103.209.226 — это Россия. Если верить данным, то провайдер — Сибирьтелеком. Но не факт, что не использовались VPN+соксы, или на худой конец прокси.

  11. nikolas_sharp пишет:

    11 Авг 2010 в 15:35 Reply to this comment

    11

    хаха, куда ж еще больше?) взломал всё и вся, поменял везде пароли что ж еще нужно.

    Нужно хоть что-то с этого поиметь, грамотно воспользоваться отведенным тебе временем :) А злоумышленник потратил хрен знает сколько времени на получение пароля, а в итоге ушел ни с чем. И толку с его умений?

  12. TiamatInc пишет:

    11 Авг 2010 в 15:37 Reply to this comment

    12

    История не из веселых, руки надо отрывать подобным «умникам». Насколько сложный был пароль к мылу, брутфорс не смог бы справиться?

  13. nikolas_sharp пишет:

    11 Авг 2010 в 15:49 Reply to this comment

    13

    14 символов без цифр и в одном регистре. Знакомые говорят, что брутфорс не справился бы. Сейчас пароль в несколько раз сложнее.

  14. TiamatInc пишет:

    11 Авг 2010 в 15:57 Reply to this comment

    14

    Брутфорс бы справился, но при такой длине, лет через 1000 ;-) Да, такой вариант можно исключить. Вообще, поведение какое-то странное у него было, к чему проекты в Сапе удалять...

  15. nikolas_sharp пишет:

    11 Авг 2010 в 16:17 Reply to this comment

    15

    Любой хакер ох*ел бы, если бы он еще вчера сменил пароль к вашей почте, а сегодня, когда собрался вплотную за вас приняться, узнал, что вы до сих пор в почте залогинены и тоже видете все происходящее :) Мне кажется, это какая-то дурацкая оплошность bigmirID. Думаю, он понял, что мудрить бесполезно, и сразу же оставил мыло в покое, а со злости, мол, столько времени даром потратил, решил хоть как-то напакостить, козел.

  16. TiamatInc пишет:

    11 Авг 2010 в 16:31 Reply to this comment

    16

    Думаю нормальный хакер с мозгами, не стал бы афишировать то, что получил доступ к Вашим данным, а понаблюдал бы с недельку, чтобы выбрать подходящее время и сработать с максимальной эффективностью. А тут детский сад какой-то получился.

  17. Замкадный пишет:

    11 Авг 2010 в 16:40 Reply to this comment

    17

    Кейлогером выцепили пароль. Сам говоришь кряков на харде держишь, в кого-то и вшили левую софтину. Вот тут-то и просочился траф на лево. Файрвол и еще раз фаервол.

  18. nikolas_sharp пишет:

    11 Авг 2010 в 17:26 Reply to this comment

    18

    @Замкадный, тоже склонен к этому варианту. Поскольку за много лет подобных происшествий не было, то фаервол и не стоял. Теперь же это стало первой необходимостью.

  19. EZ-Web пишет:

    11 Авг 2010 в 18:17 Reply to this comment

    19

    Опять же Любой фаервол лучше виндовозного. Ставьте Агнитум — версию по вкусу!

  20. alex пишет:

    11 Авг 2010 в 21:06 Reply to this comment

    20

    офигеть! ну неделька, у меня тоже 2 сдл атаковали хрякеры (через дыру в модуле видео джумлы). Паскуды оказались мусульманами (зашли через google.com.sa мои урлы оставили на 2х каких-то сайтах хакерской тематики, есть переходы), сауды гребаные (база сайта и файлы хостером восстановлены — есть бекапы подневные), нужно двиг перебивать, удалять лишние модули, которых натыкано и не используется.

    К мусульманам у меня теперь наихудшее отношение(((

  21. Soeti пишет:

    11 Авг 2010 в 21:08 Reply to this comment

    21

    За 50-200 баксов угон любого мыла. Ветка на античате. Делайте выводы.

    nod32 не достаточно хороший для сеток антивирь. Ксперский не зря машины грузит серьезно.

    Фаер обязательно ставьте. Еще крис писал, как легко менять сигнатуру антивиря — и их уже АВП не распознает.

    бигмир — самая дырявая система. Многие партнерки вообще сходу посылают нах и предлагают сменить мыло на что-то более серьезное.

    Для паролей лучше иметь отдельное мыло и нигде его не светить.

  22. Soeti пишет:

    11 Авг 2010 в 21:14 Reply to this comment

    22

    BloggerMen, серьезный проект — серьезные проблемы. Гораздо легче ломать блогеров и вебмастеров, особенно дорвейщиков, фармовцев и адалтщиков. Те в милицию идти не будут.

  23. Boxster пишет:

    11 Авг 2010 в 23:36 Reply to this comment

    23

    Совет — выбрасываем NOD32, ставим последний KIS, желательно лицензию с каждодневными обновлениями... Сейчас даже Dr.Web обгоняет ESET-продукт.

    По поводу «можешь потренировать свою правую руку еще раз» — в мемориз)

  24. Миха пишет:

    12 Авг 2010 в 6:25 Reply to this comment

    24

    Меня недавно тоже взломали, увели все пароли.

    Хакер, зная все пароли ко всем сайтам, к панелькам доменов, к почте, не стал менять пароли.

    Мне очень повезло))

  25. Владимир пишет:

    12 Авг 2010 в 8:14 Reply to this comment

    25

    Антивирус не панацея — пролезть можно везде. Пользуйся для хранения паролей зашифрованной базой KeePass — много алгоритмов кодирования, работает как и по мастер-паролю либо по файлу ключей, каталогизирует пароли на разные ресурсы и сама БД занимает мало места — считаю ее самой удобной.

    а так как винда самая дырявая ОС во всей галактике — попробуй тогда Linux-like системы (Ubuntu,openSuse)

  26. p0zitiv пишет:

    12 Авг 2010 в 9:05 Reply to this comment

    26

    страхи...пойду тоже письма с паролями по удаляю...

  27. Oleg пишет:

    12 Авг 2010 в 14:38 Reply to this comment

    27

    У меня тоже были тёрки с хакерами. Последний раз у меня ломали интернет-магазин на популярном платном движке. Эпопея длилась несколько месяцев, пока я не обнаружил и не заткнул все дыры. Почитать об этом можно тут : bolvanka.org.ru/viewtopic.php?f=6&t=204 .

    К счастью для меня, хакер был «мирным», т.е. ничего особо не стирал — его целью было всего лишь инъекция php-кода, который бы ставлял рекламные SAPE-ссылки в код моего сайта.

    Что же касается клиентской защиты, то Винда — это изначально не защищённая среда. Антивирус и файрволл под виндой... гораздо проще запустить Линукс и не париться.

  28. evilzipik пишет:

    12 Авг 2010 в 16:58 Reply to this comment

    28

    Как уже говорилось много — в сети уже нет никакой анонимности и все можно найти и подобрать. =( ситуация реально страшная и опасная хорошо что так все закончилось.

  29. szerlock пишет:

    12 Авг 2010 в 20:24 Reply to this comment

    29

    А у меня было что сломал асю кто то и по ней же какую то «порно-пургу» рассылал по моим контактам...сижу спокойно в офисе тут звонок : «Клевую ты рекламу нам по асе прислал!».Я туда а там вообще труба!Пришлось чистить, менять пароли...

  30. Ellka пишет:

    12 Авг 2010 в 21:40 Reply to this comment

    30

    Один совет — снесите винду. Раз пароль был 14 символьный и уникальный — это вирус или еще какая-нибудь гадость майкрософтовская.

    На Убунте или Маке через неделю-две будите чувствовать себя также комфортно.

  31. nikolas_sharp пишет:

    12 Авг 2010 в 23:26 Reply to this comment

    31

    Сам об этом подумываю в сторону Ubuntu. Раньше переход на альтернативную ОС сдерживала необходимость тестить верстку в браузерах исключительно под Виндой. Сейчас, когда уже много не верстаю, можно и перейти.

  32. Alexandr пишет:

    13 Авг 2010 в 10:21 Reply to this comment

    32

    Любой антивирус и фаервол пробиваем... А NOD32 это вообще редко гэ... Пинч не криптованный вплотную не видит, не говоря уже про многие другие вирусы... Выход есть один, очень грамотная политика прав (сидеть под гостьем) или линукс. Убунту не советую, archlinux неплох, но для начала будет тяжело разобратся.  Удачи

  33. nikolas_sharp пишет:

    14 Авг 2010 в 11:37 Reply to this comment

    33

    Я сижу на 7-ке, там вроде тоже политика прав построена так, что изначально ты под гостем, а не под админом.

  34. Роман Малышев пишет:

    15 Авг 2010 в 9:59 Reply to this comment

    34

    Вот это история... Пипец просто, я бы умер со страху, растурялся и еще раз бы умер :)

  35. Наташа пишет:

    15 Авг 2010 в 10:30 Reply to this comment

    35

    Об этом уже говорили, но повторюсь: Линукс рулит.

  36. Яна пишет:

    20 Окт 2010 в 18:47 Reply to this comment

    36

    У меня проблема,не могу зайти в свою переписку.Появляется следующее: IP, использованный Вами для доступа к сайту bigmir) net (............) определяется как адрес публичного анонимного прокси-сервера. Из соображений безопасности мы не предоставляем доступ через публичные анонимные прокси-сервера.

    Что мне делать,что бы это исправить???

  37. nikolas_sharp пишет:

    20 Окт 2010 в 19:23 Reply to this comment

    37

    Думаю, пообщаться с вашим провайдером, чтобы он разъяснил ситуацию с ip и исправил это. Либо же смотрите настройки своего соединения, возможно там прописан как раз прокси.

  38. misterzym пишет:

    15 Дек 2010 в 16:13 Reply to this comment

    38

    прочитал, интересное дело было, имхо — чисто повезло тебе, что очень быстро заметил, и успел достучаться до сапорта. к слову, зафига хакеру ломать обыденного блогера — обычно, мы так делаем, из-за каких-либо резких высказываний, не обязательно иметь умного врага, напиши на хакер.ру «все хакеры лохи» и треть посетителей распишет почему это не так, ещё треть, напишет почему ты сам такой, и последняя треть, попытается доказать тебе, что ты ошибся... если из опыта, то врайоне 10% от той трети, что попытается доказать обратное, сможет это сделать

    и это был только пример :)

  39. misterzym пишет:

    15 Дек 2010 в 16:15 Reply to this comment

    39

    ах да, на счет ипака твоего взломщика — обычно такая штука возникает, если на компе установлен прокси, через который, видимо и действовал взломщик

  40. Xena пишет:

    20 Дек 2010 в 22:25 Reply to this comment

    40

    Здравствуйте. Крик о помощи!!!! Сразу хочу сказать, что я лузер, ламер ну и еще как-то там, но мне очень нужен Ваш дельный совет!

    Суть в том, что у моего партнера слямзили пароли и теперь все сайты которые находились на хостинге испорчены и требуют восстановления. Работы дня на 3, за это время клиенты нас сожруууууууууууууууут! Знаем ip, знаем провайдера. А что дальше делать??? В милицию писать???? Как найти того, кто так нам подкакал???

    Очень нуждаюсь в грамотной консультации!!!!!!! Плиз, отзовитесь!!!! Я тут впервые, искала, хоть какую-то информацию, прочла Вашу переписку, думаю поможете советом!

  41. nikolas_sharp пишет:

    20 Дек 2010 в 22:32 Reply to this comment

    41

    Что-то мне подсказывает, что не там вы ищите спасения. Откройте проект на weblancer.net и free-lance.ru, и там умельцы за денежку возможно и помогут. Успехов.

  42. Xena пишет:

    20 Дек 2010 в 22:52 Reply to this comment

    42

    Ну а последовательность действий какая должна быть? (Про сон сегодня речи идти и не будет, так как идет активное восстановление сайтов). А на сколько эффективным будет написание заявления в милицию? Кто-то сталкивался? Очень хочется, узнать мотивы этого «преступления». Неужели у нас есть враги? А может это близкие люди? «Детский сад, штаны на лямке», ну как же хочется выяснить!!!!! Ну вот нам известно, что :

    "Во всех index.php вставлен такой код

    Это только на наших сайтах!

    Взлом по фтп. Походу мы «похерили» пароль (блин, знаю, что вмноваты, но кому «ЭТО»было надо???? Мне кажется это целенаправленная акция!)

    Под нашими данными входили по фтп

    ip: 93.104.209.90 с этого адреса нас взломали.

    злоумышлиники распологаются на ns2.ku-hosting.ru , которому принадлежит адрес 93.104.209.90

    Чем мне смогут помочь на weblancer.net и free-lance.ru. Смогут определить месторасположение, адрес ???

    А как определять ip статический или выделенный прокси сервисом.

    Извиняюсь, если завалила «глупыми» вопросами.

    Заранее благодарна за ответ!!!!

  43. nikolas_sharp пишет:

    20 Дек 2010 в 23:34 Reply to this comment

    43

    Мое мнение, что в милицию писать — вообще тупняк. Иными словами — бесполезная трата времени :) . Чтобы узнать мотивы, побродите по форумам хакеров, зарегистрируйтесь, почитайте темы. Подобные вопросы отпадут сами собой. На free-lance.ru и weblancer.net можно за денежку найти фрилансеров, которые, возможно, попробуют разобраться в вашей ситуации.

    Последовательность действий, имхо: 1) прошерстить специальным софтом весь компьютер на наличие троянов, 2) поудалять/полечить все, 3) затем сменить все-все пароли, больше никогда не хранить их где-либо на компьютере, а тем более в фтп-менеджерах, 4) залить самостоятельно или с помощью хостера бэкапы всех сайтов, 5) успокоиться и смириться с мыслью о том, что, такие случаи еще могут повторяться, и лучше всего держать на готове парочку другую бэкапов.

    При накоплении опыта пара сайтов восстанавливается за часок. Сколько времени тратят хакеры на их взломы, одному Богу известно.

  44. Xena пишет:

    21 Дек 2010 в 0:25 Reply to this comment

    44

    Спасибо большое, исчерпывающий ответ! Будем сейчас: шерстить, лечить, менять и мириться))))

Оставьте свой комментарий о материале
(Комментарии со ссылками попадают на модерацию. Остальные не попадают, но я могу удалять те, которые посчитаю бесполезными, не несущими смысловой нагрузки)