Как я воевал с хакером (часть 4)
Хроники с поля битвы
Продолжение. Начало — часть 1.
Я: Добавлено:18 Feb 09:22 AM
Здравствуйте!
Вот прошла ночь, страсти несколько стихли…
(пишу с работы)
Видимо сценарий, по которому мы ранее действовали (просто восстановив базы данных по состоянию на 13 февраля), не приемлем???
Но делать-то что-то нужно (!!!), т.к. сайты все три «лежат», и это не есть хорошо.
Мне кажется, что где-то сидит какой-нибудь троян, который …
Хотя, я дилетант в таких вопросах.
Так что же мы будем делать?
И еще…
Мне кажется, что этот канал (через тикеты) абсолютно прозрачен для других.
Я пытался ранее (в т.ч. вчера) поменять пароль входа в этот сервис, но безрезультатно.
Это нормально?
Хостер: Добавлено:18 Feb 12:52 PM
Здравствуйте.
Базы данных восстановить можно в принципе. Уточните только их названия.
Я: Добавлено:18 Feb 01:03 PM
У меня три сайта:
.http://сайт1.ru
.http://сайт2.ru
и на поддомене
.http://сайт3.ru
С уважением,
Я
В случае необходимости, мой моб. тел. xxxxxxxxxx
Хостер: Добавлено:18 Feb 01:54 PM
Базы восстановили. Возможно теперь нужно еще поправить конфиг файлы скриптов.
Я: Добавлено:18 Feb 03:09 PM
Спасибо большое.
Правда пока я зайти ни на один из сайтов не могу.
Видимо, должно пройти какое-то время…
А что с доступом в C-Panel? (правда, до 19 — 20 часов я туда зайти не имею возможности, т.к. не могу заходить туда с рабочего места).
Стоит ли менять пароль?
Каким же образом хакер заходил в мой аккаунт? (эту возможность нужно исключить)
С уважением,
Я
Хостер: Добавлено:18 Feb 2010 05:21 PM
Заходили как и обычно — используя рабочие логин и пароль. А вот где и как их могли получить — уже больше к вам вопрос. Насчет того что пока еще не работает — я восстановил только базы данных. Нужно еще дополнительно проверить файлы конфигурации, возможно пересоздать пользователей баз данных с теми данными, которые прописаны в конфигах.
Я: Добавлено:18 Feb 05:36 PM
Спасибо!
То, что заходили с паролем, видимо это так. Но, например, вчера, вы выслали мне пароль, я зашел, что-то поделал, изменил пароль и удалил содержимое чужой папки.
Затем стал проверять на вирусы и тут начались неприятности.
Не могу понять, на каком этапе могли внедриться?
В этой связи я грешу на троянов, которые могут передавать инфомацию об изменениях (событиях).
И еще соображения…
Он (хакер) просил вас изменить адрес электронной почты. Но если я зашел в Си-Панель, зачем мне «светиться», когда все можно сделать тихо и не заметно?
Исходя из изложенного, не все так просто и однозначно.
Или я не прав?
Вот на этом я заканчиваю повествование о хакерской атаке, о войне с хакером, которая длилась около недели.
В конечном итоге я обнаружил созданные почтовые ящики, поддомены, заполненные файлами, составляющими оболочку какой-то CMS.
Спустя какое-то время я обнаружил, что мои сайты создают нагрузку на сервер, значительно превышающую разрешенную хостером.
По этой причине мне пришлось детально и скрупулезно исследовать все файлы, залитые в мой аккаунт.
В результате работа сайтов была восстановлена.
Разумеется, я сменил все пароли, исследовал домашний компьютер на вирусы…
И тем не менее, один вопрос остался открытым: каким путем хакер добрался до моих сайтов?
А из этого вопроса следует другой: возможно ли подобное (со мной или еще с кем-то) еще и как этого гарантированно избежать?