Hackerski vdor

17 naročnikov

Danes mi je spletna stran bila napadena in baza je ukradena. Zanima me ali zadevo prijaviti na policijo? Kaj narediti sploh? Ukradeni so zelo pomembni podatki ( osebni podatki uporabnikov ) ? Stran je stala na najnovešji verziji Joomle, in sicer je uporabnik tako naredil da je vdrl v administracijo in z pomočjo backup joomla orodja ukradel celotno spletno stran vključno z podatki?

LP

V tejle temi je ze nekdo spraseval kako so vdrli na stran - jasno me zanima tudi to, konec koncev mam xxx strani na joomli ... Se bolj od tega pa me zanima, kako si ugotovil, da je nekdo naredil backup in ga presnel? Obstaja kaksno tracking orodje za joomlo, ki ga ne poznam, ali uspes loge brat tako kot jutranji casopis? :O

Perun:
V tejle temi je ze nekdo spraseval kako so vdrli na stran - jasno me zanima tudi to, konec koncev mam xxx strani na joomli ... Se bolj od tega pa me zanima, kako si ugotovil, da je nekdo naredil backup in ga presnel? Obstaja kaksno tracking orodje za joomlo, ki ga ne poznam, ali uspes loge brat tako kot jutranji casopis? :O

Ti razložim, kako se je pri meni zgodilo. Pridem v Joomla administracijo in ugotovim da je istalirano tole orodje http://www.joomlaghost.com/ in takoj sem vedel da je stran bila hackirana, ker edini imam dostop do administracije. Zadeva je očitno potekala tako, da je vdrl v administracijo ( je uganil geslo in up. ime, to ne vem ) in instaliral to orodje, kopiral spletno stran in pozabil potem to isto orodje pobrisat.

No to je kar smiseln potek dogodkov - imas pa sreco - komponeta je placljiva in lahko s licence keyem morebiti prides do storilca :) Pa zelo verjetno se v tem primeru, ko imas znano orodje najdejo tipicni odtisi v log fajlih - kam so bili backupi preneseni - najmanj do IPja bi ze moral priti :)

Perun:
No to je kar smiseln potek dogodkov - imas pa sreco - komponeta je placljiva in lahko s licence keyem morebiti prides do storilca :) Pa zelo verjetno se v tem primeru, ko imas znano orodje najdejo tipicni odtisi v log fajlih - kam so bili backupi preneseni - najmanj do IPja bi ze moral priti :)

Ne vem, prijavo sem odal in čakam kontakt z njihove strani, potem pa bomo videl kako naprej. Čisti možno da je nekdo tudi z foruma.

Perviz, ali si edini super administrator user in ali si preimenoval default admin userja v nekaj drugega? Ali si imel kakšno mapo na 777?

esedic:
Perviz, ali si edini super administrator user in ali si preimenoval default admin userja v nekaj drugega? Ali si imel kakšno mapo na 777?

Edini S. administrator, res je pa user ostal admin, ker si nisem mislil da bi se nekdo spravila na stran. Mape nisu bile na 777.

No kako se je sedaj zadeva razrešila? Je bil kakšen odziv od si-certa, so ti svetovali prijavo na policijo al kaj? Toliko, da še drugi vemo, če pride kdaj do česa takšnega :) .

@Perviz : a si imel admin mapo na default lokaciji (www.domena.com/administrator) in ali je bila zaščitena z .htaccess ali ne ?

Balonar:
Evo, tole je moj htaccess

AuthUserFile /home/path/do.tvoje/strani/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
require valid-user

deny from all
allow from XX.XXX.X.XXX
allow from XX.XXX.XXX.XX

.htpasswd si pa lahko generiraš tukaj

V kolikor bo kdo od vas zaščitil mapo s .htacces-om naj .htpasswd datoteko ne shrani nekje, kjer bo dostopna vsem, ampak kak nivo višje.

1. Pošlje im se dnevnik spletnega strežnika
2. Prijava na lokalno policijsko prijavo z vsemi moznimi podatki

PS. Če ni denarna škoda storjena, Policija se izogiba takšnim pregonom.