Взломщики

Сегодня вечером наши сервера подвисали и отказывались работать. Позже результат такой атаки стал очевиден. При наборе адреса этого сайта система переадресовывалась на чуждый нам домен sedoparking.com. Это можно наблюдать на скриншоте.

Мы сначала запаниковали и написали письмо своему провайдеру (в службу поддержки). Предполагалось, что кто-то установил переадресацию таким образом, как это было ранее выполнено с сайтом Юлии Тимошенко.

Но затем, закалённые в многомесячных боях с вирусами на серверах Интвей, мы решили заглянуть в папки сайта. И нашли там милое созданье, которое и выполняло пересылку. Вот этот вредоносный код. На всё – про всё у нас ушло минут 15. Так что, думаю, читатели и не заметили этой проблемы. А вот саму атаку могли и увидеть. Сервер висел на протяжении пары часов.

Остаётся поблагодарить товарищей хакеров за столь бережное обращение с нашим сайтом. Ничего небыло ни испорчено, ни удалено. Естественно из происшедшего мы сделали для себя выводы 🙂

6 комментариев: Взломщики

  • artstudio говорит:

    Да сполгода назад в Intway “обновился”, в него пришли новые достижения жизни в Интернете.

    То ли хакеры уютно ужились на его незащищенных серверах, то ли появились свои молодые специалисты, кто использует так Intway.
    У меня на неиспользуемом блоге Intwayblog время от времени идет пакет автоматических комментариев. Такие авто реплики генерирует программа для продвижения в соц. сетях какого-либо ресурса, сайта.

    • Владимир Волчанский говорит:

      Мне кажется, Алла, что для автоматического комментирования не нужен доступ к хостингу? Думаю, это могут делать совсем посторонние люди, не связанные с Интвей. Вы ведь уже упоминали о таких технологиях. Такие вещи появляются и на Word Press. Но для этого есть акисмет-фильтр.

      Сейчас я говорю о том, что всё время существования сайта на интвеевском хостинге, он визжал от вирусов, как собака от блох. Никакие меры безопасности (хранения и замены паролей) не помогали. Проблемы закончились только после отказа от хостинга Интвей. Мне постоянно приходилось перелапачивать папки сайта в поисках вредоносного кода. С того времени я уже с первого взгляда определяю вирус в html коде.

  • lynceus говорит:

    Акисмет часто не работает если идет массовая бомбежка блога. Если надо, я подскажу каким плагином избавитесь от спама в вордпрессе навсегда.
    Относительно же скрытого фрейма ответ прост – смените фтп пароль, и не храните его в своем фтп-клиенте(не тотал коммандер ли часом?)
    У меня такое было на десятке блогов и на полдюжины сайтов. Причины всегда были в утечке фтп-пароля. Ну иногда в кривых или неапдейченых модулях.

    • Владимир Волчанский говорит:

      Спасибо, Линцеус, за подсказку. Конечно надо! (это наверное какая-то капча?)

      Вообще-то я думал, наш аккаунт просто взломали (у нашего провайдера, если посмотрите, нет защиты от ботов на входе). Как раз перед взломом наш сервер буквально “висел” несколько часов. О тотал-коммандере я уже знал, но мог случайно и оставить… Так что опять спасибо.

      Пароль сменили, и теперь меняем периодически (ведь на перебор кодов взломщикам нужно время).

  • lynceus говорит:

    ну, просто подберите сложный пароль, и пускай перебирают. Хотя бот-неты не занимаются подбором паролей по перебору – там обычный брут-форс нееффективен, обычно это делается по паттерну. Вобщем, сложный букво-циферно-символьный пароль с использованием прописных и заглавных сделает практически невозможным подбор.
    Плагин нашел у себя в блоге – invisible captcha называется. Пользователям не придется вводить ее.
    вот тут автор описывает принцип действия: http://andrey.sorvin.ru/tag/invisible_captcha/
    У меня социальная сеть с разными блогами, на все включил такую защиту, и спам не лезет вообще.

    • Владимир Волчанский говорит:

      Благодарю, Линцеус! Уже установил невидимую капчу “Invisible Captcha”. Из описания понял, что она распознаёт бота, когда отсутствует клик мыши при команде “enter”. Пароль у меня и так был сложный.

Добавить комментарий

Обсуждения:
Старый блог
Рассылка