Как я воевал с хакером (часть 4)

Хроники с поля битвы

Продолжение. Начало — часть 1.

Забил заряд я в пушку туго...Я: Добавлено:18 Feb  09:22 AM

Здравствуйте!

Вот прошла ночь, страсти несколько стихли…

(пишу с работы)

Видимо сценарий, по которому мы ранее действовали (просто восстановив базы данных по состоянию на 13 февраля), не приемлем???

Но делать-то что-то нужно (!!!), т.к. сайты все три «лежат», и это не есть хорошо.

Мне кажется, что где-то сидит какой-нибудь троян, который …

Хотя, я дилетант в таких вопросах.

Так что же мы будем делать?

И еще…

Мне кажется, что этот канал (через тикеты) абсолютно прозрачен для других.

Я пытался ранее (в т.ч. вчера) поменять пароль входа в этот сервис, но безрезультатно.

Это нормально?

Хостер: Добавлено:18 Feb  12:52 PM

Здравствуйте.

Базы данных восстановить можно в принципе. Уточните только их названия.

Я: Добавлено:18 Feb  01:03 PM

У меня три сайта:

.http://сайт1.ru

.http://сайт2.ru

и на поддомене

.http://сайт3.ru

С уважением,

Я

В случае необходимости, мой моб. тел. xxxxxxxxxx

Хостер: Добавлено:18 Feb  01:54 PM

Базы восстановили. Возможно теперь нужно еще поправить конфиг файлы скриптов.

Я: Добавлено:18 Feb  03:09 PM

Спасибо большое.

Правда пока я зайти ни на один из сайтов не могу.

Видимо, должно пройти какое-то время…

А что с доступом в C-Panel? (правда, до 19 — 20 часов я туда зайти не имею возможности, т.к. не могу заходить туда с рабочего места).

Стоит ли менять пароль?

Каким же образом хакер заходил в мой аккаунт? (эту возможность нужно исключить)

С уважением,

Я

Хостер: Добавлено:18 Feb 2010 05:21 PM

Заходили как и обычно — используя рабочие логин и пароль. А вот где и как их могли получить — уже больше к вам вопрос. Насчет того что пока еще не работает — я восстановил только базы данных. Нужно еще дополнительно проверить файлы конфигурации, возможно пересоздать пользователей баз данных с теми данными, которые прописаны в конфигах.

Я: Добавлено:18 Feb  05:36 PM

Спасибо!

То, что заходили с паролем, видимо это так. Но, например, вчера, вы выслали мне пароль, я зашел, что-то поделал, изменил пароль и удалил содержимое чужой папки.

Затем стал проверять на вирусы и тут начались неприятности.

Не могу понять, на каком этапе могли внедриться?

В этой связи я грешу на троянов, которые могут передавать инфомацию об изменениях (событиях).

И еще соображения…

Он (хакер) просил вас изменить адрес электронной почты. Но если я зашел в Си-Панель, зачем мне «светиться», когда все можно сделать тихо и не заметно?

Исходя из изложенного, не все так просто и однозначно.

Или я не прав?

Вот на этом я заканчиваю повествование о хакерской атаке, о войне с хакером, которая длилась около недели.

В конечном итоге я обнаружил созданные почтовые ящики, поддомены, заполненные файлами, составляющими оболочку какой-то CMS.

Спустя какое-то время я обнаружил, что мои сайты создают нагрузку на сервер, значительно превышающую разрешенную хостером.

По этой причине мне пришлось детально и скрупулезно исследовать все файлы, залитые в мой аккаунт.

В результате работа сайтов была восстановлена.

Разумеется, я сменил все пароли, исследовал домашний компьютер на вирусы…

И тем не менее, один вопрос остался открытым: каким путем хакер добрался до моих сайтов?

А из этого вопроса следует другой: возможно ли подобное (со мной или еще с кем-то) еще и как этого гарантированно избежать?

Записи по теме