Itachi261092
@Itachi261092
Веб-разработчик, писатель, геймер...

Как поймать хакера ну или хотя бы отомстить?

Всем привет. Произошла такая неприятная ситуация. Ко мне обратился заказчик с просьбой избавиться от вирусов. в процессе поиска угроз я нашёл на сайте несколько файлов с принудительной авторизацией под админом, и снёс их. а также поправил изменения файлов (хакер вручную добавлял в описание товара рекламу гугл Ads). И сменил все пароли на рута и на пользователей FTP. На следующий день история повторилась. авторизация из под главного админа через файл с авторизацией в корне. изменение файла шаблона. В логах только часть информации (авторизация, изменение файла) про создание файла кем когда и как - ничего не пишется.
Прошерстил grep'ом весь сайт на поиск генерации злосчастного файла или аналогичных файлов. ничего не нашёл. включил параноика - заблочил доступы с левых айпишников в админку. по htaccess заблочил доступ к файлу авторизации, жду сегодняшней ночи. правят файлы в 2-3 ночи с разных американских айпишников. Думаю какие теперь должны быть меры, если и это не поможет? Есть какой то способ в ответочку этого хацкера как нибудь жёстко ломануть и отхентаить?
  • Вопрос задан
  • 899 просмотров
Пригласить эксперта
Ответы на вопрос 4
Rou1997
@Rou1997
Думаю какие теперь должны быть меры

Повышение своей квалификации!
Я не вникал в вопрос, но у вас там, извините, полный бардак, если редактируют файлы прямо авторизавшись под учетной записью администратора. Все входные данные должны контролироваться, все их виды нужно изучить и понять какие могут быть проблемы, например shell'ы, когда загружают файл, затем обращаются по прямой ссылке, а в нем код и он выполняется, не исключено что это ваш случай, но и если явно не ваш то не расстраивайтесь, "лазеек" может быть много. :)
Так что временно "забейте", отдохните чтобы выйти из стресса фазы истощения (судя по желанию отомстить у вас началась эта фаза, мозг не думает а просто выплескивает негативные эмоции), возможно стоит напиться (я не шучу, некоторым помогает, и я говорю о серьезных людях, инженерах, а не "быдле"), после чего исправляйте бардак!
Ответ написан
leahch
@leahch
3D специалист. Dолго, Dорого, Dерьмово.
1) сделайте все файлы php и inc в readonly
2) проверьте доступы всех пользователей
2.1) проверьте всех системных пользователей
3) обновите систему
4) надеюсь, что весь web не от рута работает?
Ответ написан
Комментировать
@SirBataneg
веб-разработчик
1. удалить всё, что смогли найти
2. смотреть в логи доступа, к каким файлам обращаются (так вычислите файл, через который заливают)
3. повышать безопасность
Ответ написан
Комментировать
@malbaron
Есть какой то способ в ответочку этого хацкера как нибудь жёстко ломануть и отхентаить?


Это слишком дорого.
Нерациональная трата ресурсов и эмоций.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы