Как поймать хакера ну или хотя бы отомстить?

Question

[Дмитрий]

Всем привет. Произошла такая неприятная ситуация. Ко мне обратился заказчик с просьбой избавиться от вирусов. в процессе поиска угроз я нашёл на сайте несколько файлов с принудительной авторизацией под админом, и снёс их. а также поправил изменения файлов (хакер вручную добавлял в описание товара рекламу гугл Ads). И сменил все пароли на рута и на пользователей FTP. На следующий день история повторилась. авторизация из под главного админа через файл с авторизацией в корне. изменение файла шаблона. В логах только часть информации (авторизация, изменение файла) про создание файла кем когда и как - ничего не пишется.
Прошерстил grep'ом весь сайт на поиск генерации злосчастного файла или аналогичных файлов. ничего не нашёл. включил параноика - заблочил доступы с левых айпишников в админку. по htaccess заблочил доступ к файлу авторизации, жду сегодняшней ночи. правят файлы в 2-3 ночи с разных американских айпишников. Думаю какие теперь должны быть меры, если и это не поможет? Есть какой то способ в ответочку этого хацкера как нибудь жёстко ломануть и отхентаить?

Answer 1

[Rou1997]

Думаю какие теперь должны быть меры

Повышение своей квалификации!
Я не вникал в вопрос, но у вас там, извините, полный бардак, если редактируют файлы прямо авторизавшись под учетной записью администратора. Все входные данные должны контролироваться, все их виды нужно изучить и понять какие могут быть проблемы, например shell'ы, когда загружают файл, затем обращаются по прямой ссылке, а в нем код и он выполняется, не исключено что это ваш случай, но и если явно не ваш то не расстраивайтесь, "лазеек" может быть много. :)
Так что временно "забейте", отдохните чтобы выйти из стресса фазы истощения (судя по желанию отомстить у вас началась эта фаза, мозг не думает а просто выплескивает негативные эмоции), возможно стоит напиться (я не шучу, некоторым помогает, и я говорю о серьезных людях, инженерах, а не "быдле"), после чего исправляйте бардак!

Comments

[Дмитрий]

Я веб-программист, а не администратор linux-серверов. квалификации у меня, действительно, недостаточно. Проверил cron - пусто. проверил открытые порты - старнностей не обнаружил. проверил лог авторизаций под SSH - ничего подозрительного. рут во время активности хацкера даже не логинился. логи на сайте по файлам и многим операциям были отключены. поэтому по файлу не получилось ничего найти. на сервере логи SSH тоже по умолчанию не включены.

[Rou1997]

Дмитрий: Ну, вот - взялись за работу, аванс наверное взяли, квалификации недостаточно, обучаться новому не готовы, и нашли решение - убрать хакера, который мешает!
Сами понимаете, что это бред? Или не совсем?
Представьте если бы вместо антивирусов нанимали киллеров для отстрела тех, кто создает вредоносное ПО. Или еще хуже, у меня проблема с тем что в Windows не очень удачно кое-что реализовано, и вместо того чтобы ее решать, я совершу вооруженное нападение на Microsoft, чтобы они немедленно улучшили реализацию...
Короче говоря, даже обсуждать тут нечего, если хотите решить проблему - делайте как я советую, начиная с отдыха, других-то вариантов все равно нет, а если не хотите так делать то не говорите потом что судьба не дала вам шанса.

[Дмитрий]

Rou1997: хочу делать. п.с.: авансы не беру.

[Rou1997]

Дмитрий: А давайте я за вас аванс возьму! Если решите проблему - пополам, 50% вам за работу, 50% мне за то, что создал вам мотиватор.

Answer 2

[Алексей Черемисин]

1) сделайте все файлы php и inc в readonly
2) проверьте доступы всех пользователей
2.1) проверьте всех системных пользователей
3) обновите систему
4) надеюсь, что весь web не от рута работает?

Answer 3

[Сергей]

1. удалить всё, что смогли найти
2. смотреть в логи доступа, к каким файлам обращаются (так вычислите файл, через который заливают)
3. повышать безопасность

Answer 4

[malbaron]

Есть какой то способ в ответочку этого хацкера как нибудь жёстко ломануть и отхентаить?

Это слишком дорого.
Нерациональная трата ресурсов и эмоций.