Włamanie na serwer - czego mogę się teraz bać?

[Toto]

Już wiem, że miałem włamanie na mój serwer. Do kodu plików dopisane są linie. Z home.pl dostałem powiadomienia, że mam skrypty, które wysyłają spam. Zostały zablokowane, ale czeka nas robota. Na szczęście na serwerze były tylko 3 strony więc jakoś ogarniemy.

 

Martwi mnie jednak inna sprawa. Jak przeglądam statystki to przed włamaniem miałem ok. 300 tys wyświetleń miesięcznie. Po włamaniu blisko 10 mln.

W statystkach jakie strony mnie "polecają" duża część to strony .ru

Ruch z terenu Federacji Rosyjskiej + Ukrainy jest po włamaniu największy.

 

Z home.pl dostałem maila, że wykryli 2 skrypty rozsyłające spam. Zostały zablokowane.

Mój kolega, który stawiał mi tego CMSa mówi jednak, że tego jest dużo.

 

Jak mam to odebrać. Czy jest to włamanie, żeby spamować ode mnie czy może robota zmierzająca do obniżenia mojej pozycji w G.

Bo nie mam pojęcia, kto mógłby zamieszczać linki do moich 3 stron na stronach typu: bio-optomarket.ru  czy  mybuh.kz albo xn--80aejhvi0at.xn--90ais 

 

[MaxPan]

Cytat

Bo nie mam pojęcia, kto mógłby zamieszczać linki do moich 3 stron na stronach typu: bio-optomarket.ru

Nikt do Ciebie linka tam nie zamieścił to jest refspam ( poczytaj co to jest), chodzi o to żebyś tą stronę odwiedził i nie ma nic wspólnego z włamaniem. Włamanie swoją droga ktoś się włamał, ale refspam to inne. Tak w skrócie, Twój informatyk miał by to wiedzieć. Oczywiście jest jeszcze linkowanie stron które powstały po włamaniu i ich na pewno osoba co włamała się w jakiś sposób linkuje/indeksuje. Ale Twoją główna z tych domen nie linkują.

[Mion]

53 minuty temu, Toto napisał:

Martwi mnie jednak inna sprawa. [..] stawiał mi tego CMSa mówi

A to jak się włamano Cie nie martwi ? Bo co z tego, ze oczyścisz pliki z dodatków lub nawet wgrasz z backuupa jeśli nie znasz sposobu wejścia, to za chwile możesz mieć to samo => "syzyfowe prace"

[Toto]

8 minut temu, Mion napisał:

A to jak się włamano Cie nie martwi ?

Wszystko mnie martwi.

 

Nie mam żadnych wp i temu podobnych. Jedyne co było "nie autorskie" to jakaś księga gości, ze strony zapomnianej, która nie była usunięta. Z tego co widziałem to programy ostro ją atakowały.

 

Zleciłem w home.pl sprawdzenie pod kątem wirusów. Zobaczę jaką listę mi przyślą. Na tą chwilę na całym serwerze jest zablokowana możliwość wysyłania maili ze skryptów.

[Mion]

4 minuty temu, Toto napisał:

Nie mam żadnych wp i temu podobnych. Jedyne co było "nie autorskie"

No właśnie "masz autorskie", więc jesteś pewien, że w nim nie ma bobla ?

 

5 minut temu, Toto napisał:

wysyłania maili ze skryptów.

Wysyłanie e-maili to jedno, ale Piszesz, że" ruch wzrósł, wiec tak jak byś miał dodatkowo wygenerowane masę podstron, które zostały zindeksowane. Jeśli nie rozpoznasz metody wejścia - dziury  i ją załatasz , to jak już pisałem za chwilę będziesz miał to samo.

[jimmi]

@Toto nie ma sensu zlecać takich rzeczy home.pl, weź do tego kogoś od zabezpieczeń. Kto to wyczyści i poblokuje, możesz zgłosić się do np. @Jacek J. ma zabezpieczającą stronki www firmę.

[Toto]

14 minut temu, Mion napisał:

No właśnie "masz autorskie", więc jesteś pewien, że w nim nie ma bobla ?

 

Pisał to człowiek, który prowadzi duży portal, robił też strony znajomym, którzy prowadzą duże portale miejskie. Gdyby był dziurawy, to te strony o wiele bardziej byłyby narażone na takie ataki - a tak nie jest. Tak mi się wydaje, ale może jestem w błędzie.

 

@jimmi dzięki. To co zrobi home.pl to tylko początek, mają mi wskazać zagrożone pliki, ale na tym nie poprzestanę, po prostu pierwsza moja taka reakcja, żeby 1. powiadomić kolegę, żeby zerknął, 2. zadzwonić do home, 3 napisać na PiO bo mam wrażenie, że to może być związane z moją pozycją w G.

 

[jimmi]

home chyba juz funkcję mail() w php zablokował, więc spamu nie rozsyłasz.
teraz jak najszybciej postaw czyste backupy.
No i teraz będziesz musiał jeszcze posprawdzać czy domen nie masz na jakiś black listach.
W najgorszym wypadku zmienisz IP to chyba 100 netto w home.pl kosztowało. Z ciekawostek nazwa.pl nie obsługuje zmiany IP.

[Mion]

8 minut temu, Toto napisał:

To co zrobi home.pl to tylko początek, mają mi wskazać zagrożone pliki, a

Hmmm, to masz jakieś dobre układy skoro "home" zajmuje się szukaniem syfu w Twoich plikach, bo standardowo to po stronie klienta leży zabezpieczanie oprogramowania na serwerze. 

 

Nie zapomnij zmienić haseł do FTP i nie używać FTP chyba, że szyfrowanego połączenia lub SFTP. Przeskanuj tez kompa z którego łączyłeś sie z FTP czy nie masz na nim niespodzianek.

 

 

 

 

[Toto]

Dziękuję Wam koledzy za rady. To dla mnie cenne uwagi. I pytania się mnożą również.

 

1. Komputery mam zabezpieczone.

2. W home mam dobre układy  usługa skanowania dla klientów premium jest tańsza o 50% - czyli zapłaciłem 25 zł netto, nie majątek.

3. Zmiana IP może się przydać, bo cholera wie co tam się dzieje. Rozumiem, że taka zmiana nie wpływa na pozycje strony?

4. W tygodniu zgłoszę się może do tego kolegi, którego @jimmi polecasz.

 

Patrzę w te wszystkie rejestry, ale z tego co widział mój kolega, to zostały stworzone nowe pliki i do istniejących zostały dopisane jakieś linie dodatkowe.

[jimmi]

Zmiana IP potrzebna jest wtedy kiedy masz IP na wielu black listach, G. może obniżyć pozycję i ogólnie traktować strony na takim ip jako spam.

bo to tak się robi, parę linijek kodu doklejone gwarantują ściągniecie odpowiednich plików. Masz dwie wersje, rozsyłanie spamu, nowe podstrony czy to z podróbkami czy z czymś innymi nawet z jakimiś filmikami do ściągnięcia. 

 

 

 

[MaxPan]

Cytat

Pisał to człowiek, który prowadzi duży portal, robił też strony znajomym, którzy prowadzą duże portale miejskie. Gdyby był dziurawy, to te strony o wiele bardziej byłyby narażone na takie ataki - a tak nie jest. Tak mi się wydaje, ale może jestem w błędzie.

Pisane portali to sprawa nie jest taka jednoznaczna po pierwsze to, że ktoś napisał duży portal wcale nie oznacza, że ma pojecie w zabezpieczeniach i ma znajomość nowych sposobów jak się włamują a by temu przeciwdziałać. Na dodatek nikt nie pisze znak do znaku sam, korzysta z kawałków gotowego kodu który wmontowuje już w całość, to że te kawałki nie mają dziur wcale nie jest takie oczywiste. Przerabiałem to już wiele razy.

Cytat

Patrzę w te wszystkie rejestry, ale z tego co widział mój kolega, to zostały stworzone nowe pliki i do istniejących zostały dopisane jakieś linie dodatkowe.

Jeden z głównych plusów Home, Nazwa jest jedno z najlepszych zabezpieczeń przed włamaniami, więc ja obstawiam, że 99% to dziura w skrypcie chyba , że hasło do FTP miałeś qwerty123.

 

[Toto]

Sprawa jest poważna.

Hasło rzeczywiście mogło być mocniejsze, ale przez wiele lat było takie samo, nie zmieniałem, nie wiele się działo przez FTP.

Czekać trzeba na sprawdzenie.

Spam szedł na bank, ale czy nie było jakiś stron, tego nie wiem.

[Mion]

11 godzin temu, Toto napisał:

to jakaś księga gości, ze strony zapomnianej, która nie była usunięta.

W niej może być podatność zostawiona celowo lub wykryta przez hackera i zastosowana do przejście kontroli nad Twoimi plikami.

A jak chodzi o podatności skryptów trzecich, to chociażby

Cytat

Miliony stron podatne na atak przez głupi błąd w PHP Mailerze (aktualizacja)
dobreprogramy.pl/Miliony-stron-podatne-na-atak-przez-glupi-blad-w-PHP-Mailerze-aktualizacja,News,78165.html

 

 

[SzlafRock]

Serwery home są bardzo dobrze zabezpieczone.  Jeśli masz na serwerze aplikację, która nie miała testów bezpieczeństwa to właśnie takie test przeezedłeś negatywnie.  Trzeba obserwować logi na bieżąco i reagować.  Ostatnio dostawałem sporo spamu z serwerów home.