Інцидент на сайті 08.09.2010
22:49 14.09.2010Стосовно інциденту, що стався на моєму сайті 08.09.2010. Тоді невідомий зловмисник видалив всі файли в мене на сайті та розмістив на головній сторінці некультурні висловлювання на мою адресу 
. Схоже, що він потратив чимало часу, щоб після того як він не знайшов дірок в мене сайті, знайти якийсь дірявий веб додаток на іншому сайті на даному сервері.
Проведене мною в середу, 08.09.2010, дослідження показало, що мій сайт припинив нормальну роботу в 06:28:37. Після виявлення мною цієї ситуації на сайті, я зв’язався з хостером і мій сайт був швидко відновлений з бекапу (благо не сервері робляться щоденні бекапи). При цьому після детального дослідження логу жодних слідів зловмисника не було виявлено - лише сотні спроб атакувати мій сайт, що я виявляю щоденно. Тобто атака мала місце не на мій сайт, а на інший сайт на цьому самому сервері, через який нападник витер файли на моєму сайті. Одразу коли я виявив цей інцидент я вирішив, що атака мала місце через інший сайт на сервері, й мої дослідження логів це лише підтвердили.
Тому я попросив свого хостера (а я розміщую сайт на сервері SHALB), дослідити логи інших сайтів, що розміщені на даному сервері, щоб виявити нападника. І лише сьогодні я отримав офіційну відповідь від хостера. Вони на протязі багатьох днів аналізували логи і виявили наступне. Що нападник атакував phpMyAdmin, що був розміщений на одному з сайтів SHALB, і він отримав доступ до адмінки даного веб додатку. І з phpMyAdmin ймовірно він дістався до файлової системи сервера і таким чином він дістався до мого сайта.
Даний дірявий додаток був прибраний хостером з сервера. Тому, як вони запевняють, таких інцидентів більше бути не повинно. Так що всі бажаючі взломати мій сайт, як і завжди, можуть сміливо йти на всі чотири сторони 
.
Середа, 08:23 15.09.2010
Особу/IP-адресу нападника не встановили?
Середа, 13:01 15.09.2010
“Особу/IP-адресу нападника не встановили? ”
А какой смысл?
Середа, 16:07 15.09.2010
Павло
Так, IP встановили. Про IP чи країну нападника я згадувати в пості не став, тому що немає в цьому потреби. Питання про встановлення особи чи висунення їй звинувачення в кримінальному злочині зараз не стоїть. Особисто я жодних притензій до нього не висуваю.
Середа, 16:07 15.09.2010
Визначати особу особливого сенсу немає, але IP адресу мені хотілося побачити, щоб знати звідки йшла атака. Враховуючи, що вона йшла приховано (жодним чином “автор атаки” не підписався). І SHALB надали мені інформацію про його IP.
Я не згадав про країну нападника, щоб не показувати в якій країні живуть вандали, що видаляють файли на сайтах. Зазначу, що інформація про IP мене дуже засмутила - не очікував я, що саме з цієї країни буде нападник (очікував зовсім інше). З цього ви можете самі зробити припущення про яку країну йдеться.
Середа, 17:00 15.09.2010
москалі напали? )))
Середа, 19:28 15.09.2010
Якби ж то
. Це б мене не здивувало і не засмутило. З яких тільки країн я не знаходжу щоденно в своїх логах нападників (які мріють хакнути мій сайт) - географія дуже широка.
Субота, 15:31 18.09.2010
Ну так не факт же что с этой страны, может обычный промежуточный прокси или сокс и.т.д
Середа, 23:55 22.09.2010
Може бути звичайно і таке, але по конкретному IP можна зробити відповідні висновки. Якщо це IP якогось сервера, що використовується як проксі чи сокс - то це одне, а коли це IP частника - це зовсім інше.
Більше схоже, що він засвітив свій IP, забувши використати проксі (при тому, що цей IP лише іноді зустрічається в деяких місяцях цього року, на моєму та на тому другому сайті, бо він намагався не сильно світитися). Бо використовувати IP частника для атаки на сайт, коли той може в будь-який момент вимкнути комп’ютер - це не дуже розумно і за звичай так не роблять (і використовують проксі-сервери).