Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Как можно засечь мешающего работать человека.

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Защита] >> Как можно засечь мешающего работать человека.
Имя
Сообщение << Старые топики   Новые топики >>
Как можно засечь мешающего работать человека. - 2011-05-02 22:00:02.510000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
    Здравствуйте.
  Был взломан сайт. По FTP никто не входил. Зашли как то на мою админ панель хостинга на который я заливал сайт и как то дописывали к названиям его файловчто либо. В результат страницы сайта стали показывать синтаксическую ошибку. IP входившего на админ панель отображается, но сервис whois его не распознает. Достоверно ещё известен E-mail входящего, но как по нему найти его IP – неизвестно. Милиция выяснять это не будет, так как ей нужны доказательство того что владелец этого почтового ящика входил на мой хостинг. Говорят на моем хостинге проблеммы с разделением доступа. Сайт чистый, но кто то входит через админ-панель и все ломает. Через FTP не хочет, хотя магазин явно дырявый. Мозила и Google сигнализируют об опасности. Возможно этот человек будет входить на мой сайт ещё попакостить. Можно ли какими ни будь средствами его засечь или выяснить его IP по E-mail? Странно почему он входит через админ панель. Через FTP не хочет, хотя магазин дырявый. Может существуют какие ни будь «серъезные» написанные на мощных языках (Си++ ….  (я вообще не спец в этих вопросах, но знаю что эти языки не прикладного назначения и могут многое)) программы которые «иголку найдут в стоге сена». Поставить их на мой хостинг… Как я уже говорил – я не спец в этих вопросах. Наверное можно установить программку прям на мой хостинг. Товарищ будет наведоваться ещё не раз и глядишь раскроется. Если честно - он мне сильно мешает работать. Могу оплатить поимку.
   Заранее благодарен за ответ.
Post #: 1
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:09:06.460000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Че то бред.
1) Какой хостинг?
2) Логи сайта есть?
3) Откуда вы знаете что он не пользуются FTP?
Post #: 2
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:16:39.110000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Хостинг www.majordomo.ru . В логах посещений сайта по FTP-доступу –незнакомых IP нет. Они есть только в логах посещений админ панели.
 Логи авторизаций
Заходы на панель управления.
2011-03-22 10:52:16 успешно 79.133.68.249 2011-03-21 02:48:50 успешно 79.133.68.249 2011-03-20 14:53:06 не успешно 87.119.255.21[/b] 2011-03-20 14:52:53 не успешно 87.119.255.21[/b] 2011-03-19 13:19:05 успешно 79.133.68.249 2011-03-19 07:02:49 успешно 79.133.68.249 2011-03-17 23:32:43 успешно 79.133.68.249 2011-03-17 23:27:58 успешно 87.119.224.168[/b] 2011-03-17 09:49:06 успешно 178.45.10.226[/b] 2011-03-15 23:33:40 успешно 109.87.77.239 2011-03-15 21:27:09 успешно 109.87.77.239 2011-03-14 21:28:29 успешно 109.87.77.239 2011-03-14 10:42:58 успешно 79.133.68.249 2011-03-14 01:54:20 успешно 79.133.68.249  
Заходы на FTP.
2011-03-20 14:47:30 f65708 успешно 87.119.255.21[/b] 2011-03-19 13:00:06 f65708 не успешно 109.87.77.239 2011-03-17 22:54:56 f65708 успешно 87.119.224.168[/b] 2011-03-17 10:22:29 f65708 не успешно 78.108.81.253 2011-03-17 09:55:58 f65708 успешно 178.45.10.226[/b] 2011-03-16 09:12:51 f65708 успешно 109.87.77.239 2011-03-16 08:31:14 f65708 успешно 109.87.77.239 2011-03-15 23:54:48 f65708 успешно 109.87.77.239 2011-03-15 23:48:12 f65708 не успешно 78.108.81.253 2011-03-15 23:47:36 f65708 не успешно 78.108.81.253 2011-03-15 23:46:43 f65708 не успешно 78.108.81.253 2011-03-15 23:34:27 f65708 не успешно 78.108.81.253 2011-03-15 23:34:22 f65708 не успешно 78.108.81.253 2011-03-15 23:22:28 f65708 успешно 109.87.77.239 2011-03-15 22:09:54 f65708 успешно 109.87.77.239 2011-03-15 21:24:12 f65708 успешно 109.87.77.239 2011-03-14 22:06:18 f65708 успешно 109.87.77.239 2011-03-14 21:35:06 f65708 не успешно 78.108.81.253 2011-03-14 21:34:38 f65708 успешно 109.87.77.239 2011-03-14 12:36:52 f65708 успешно 109.87.77.239 2011-03-14 11:29:10 f65708 не успешно 81.95.28.26[/b] 2011-03-14 11:29:10 f65708 не успешно 81.95.28.26[/b] 2011-03-14 11:23:11 f65708 успешно 81.95.28.26[/b] 2011-03-08 23:30:42 f65708 успешно 109.87.77.239 2011-03-04 23:40:52 f65708 успешно 109.87.77.239 2011-03-04 23:04:51 f65708 успешно 109.87.77.239 2011-03-04 14:53:23 f65708 успешно 109.87.77.239 2011-03-04 08:59:44 f65708 успешно 109.87.77.239 2011-03-03 23:08:15 f65708 успешно 109.87.77.239 2011-03-03 19:53:12 f65708 успешно 109.87.77.239 2011-03-03 13:48:31 f65708 успешно 109.87.77.239 2011-03-02 22:29:35 f65708 успешно 109.87.77.239 2011-03-02 20:52:49 f65708 успешно 109.87.77.239 2011-03-02 19:02:28 f65708 успешно 109.87.77.239 2011-03-02 16:45:20 f65708 успешно 109.87.77.239 2011-03-02 11:56:10 f65708 успешно 109.87.77.239 2011-03-01 15:54:39 f65708 успешно 109.87.77.239 2011-03-01 15:33:39 f65708 успешно 109.87.77.239 2011-03-01 15:09:48 f65708 успешно 109.87.77.239 2011-03-01 12:22:50 f65708 успешно 109.87.77.239 2011-03-01 11:47:47 f65708 успешно 109.87.77.239 Сайт был взломан ещё 14 марта.
Post #: 3
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:26:49.023333   
*Sta1keR*

Сообщений: 292
Оценки: 0
Присоединился: 2011-03-15 19:59:00.986666
quote:

Сайт был взломан ещё 14 марта.

да ни чего не было взломанно, просто ты наверное подцепил троянчика
вот его хозяин видимо проверял логи ну и заглянул в твою админку
Post #: 4
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:38:02.830000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Ну значит троян закинул тот человек который потом заходил проверять логи на мою админ панель, E-mail которого мне известен и IP которого не распознает сервис whois (фуф). Ну вобщем вопрос остается прежним. Как его засечь если прийдет ещё раз. А вообще человек работал на моем сайте и сказал, что сайт чистый….
Post #: 5
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:38:16.900000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
quote:

ORIGINAL: *Sta1keR*

quote:

Сайт был взломан ещё 14 марта.

да ни чего не было взломанно, просто ты наверное подцепил троянчика
вот его хозяин видимо проверял логи ну и заглянул в твою админку

ну как вариант может быть, но при просмотре логов сайты не портят.

ТС, я не эти логи имел ввиду. Уж не знаю какая у вас админка (не работал с этим хостингом) но если через неё можно залить файлы, то злоумышленник мог залить шелл и править файлы через него. Тогда средствами хостинга его не поймать, только логи обращений к сайту и то он мог их потереть если есть права.
Post #: 6
RE: Как можно засечь мешающего работать человека. - 2011-05-02 22:43:52.266666   
*Sta1keR*

Сообщений: 292
Оценки: 0
Присоединился: 2011-03-15 19:59:00.986666
quote:

но при просмотре логов сайты не портят.

сидит какой нибудь школьник, к нему в руки попали логи
ну и как полагается, надо что-нибудь не хорошее сделать и напакостить
Post #: 7
RE: Как можно засечь мешающего работать человека. - 2011-05-03 00:45:46.353333   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Если я предоставлю доступ к своему сайту – сможете ли Вы что ни будь там такое сделать что бы в будущем злоумышленник был засечен средствами которые Вы на нем устроите?
Post #: 8
RE: Как можно засечь мешающего работать человека. - 2011-05-03 06:10:33.513333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Ниче мы на нем установить не можем. Это может только владелец хостинга + если у вас заражен компьютер то это бесполезное занятие защищать сайт.
Опишите нормально что происходит с сайтом, когда и как вы это исправляете. Пока что нифига не ясно.
Post #: 9
RE: Как можно засечь мешающего работать человека. - 2011-05-03 19:36:19.230000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
  Все началось в далеком уже марте этого года… Один доброжелатель убил переднюю стенку моего сайта и не только её. Служба поддержки в которую я обратился за помощью сообщила мне:
«Судя по данному сообщению, у Вас ошибка в синтаксисе PHP.»
 
«Здравствуйте,
 
Заражение сайта вирусом происходит несколькими способами:
- При загрузке его через уязвимости в коде
- При заражении компьютера
 
Соответственно Вам необходимо провести аудит кода на наличие уязвимостей, в которые может быть добавлен вредоносный код или ссылка, которая ведет на вредоносный код. Также необходимо провести полную проверку на вирусы Вашего компьютера, т.к. заражение может происходить через вирус, который находится на Вашей локальной машине или машине человека, который работает посредством ftp клиента с сайтов.
 
На нашем хостинге установлена операционная система FreeBSD, которая защищена от вирусных атак. Дополнительная антивирусная защита сторонними программными продуктами не осуществляется.»
 
После восстановления сайта и лишения его кода уязвимостей, сайт нормально работать так и не стал. По логам видно что доброжелатель родолжает свободно входит в контрольную панель магазина. Его IP не определяется сервисом whois.
 
Нанял человека для чистки кода и устранения уязвимостей. Он за плату это сделал, сказав что сайт чистый, а проблема существует на хостинге в разделении доступа пользователей из контрольной панели аккаунта. Поэтому даже после его чистки кто то сново заходит и дописывает файлы, которые после этого перестают нормально работать. Логи показывают несуществующий согласно сервису whois IP. Вопрос как хотя бы узнать реальный IP черта. Достоверно известен также его E-mail.
Post #: 10
RE: Как можно засечь мешающего работать человека. - 2011-05-03 19:38:02.360000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Комп не заражен 100%. Касперский бы убил разом всех гадов.

Post #: 11
RE: Как можно засечь мешающего работать человека. - 2011-05-03 19:41:48.743333   
Alianna

Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333

quote:

ORIGINAL: Ростислав

Комп не заражен 100%. Касперский бы убил разом всех гадов.

А кроме касперского вы проверяли чем-нибудь? Проверка проводилась в безопасном режиме?
Post #: 12
RE: Как можно засечь мешающего работать человека. - 2011-05-03 19:48:42.710000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
пароль к контрольной панели уже давно кто то сменил…
многие страницы вообще не с моего сайта.
Кроме касперского ничем не проверял. Проверка проводилась в обычном режиме.  

Бывает ещё позиции магазина кто то активирует, если они не были активрованы, то включают товары которых на данный момент нет в наличии. Сделать это можно только с админ панели магазина.

Хотя после чистки сайта адрес админ панели менялся. Можно ли из E-mail-a выпротошить IP черта или какую ни будь другую инфу о нем?

Господа, - я все нормально объяснил? Если что не ясно спрашивайте. Буду только рад общению.
Хочу повторить- сайт абсалютно чист. Комп как мне кажется тоже.

// Не стоит писать столько сообщений подряд. Для добавления новых мыслей есть кнопочка "редактировать".
Post #: 13
RE: Как можно засечь мешающего работать человека. - 2011-05-03 20:28:46.120000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Да ваше объяснение понятно.
Но суть моей просьбы вы уяснить не можете (это не ваша вина).
Прошу дословно передать вашей ТП: "Предоставьте логи доступа к страницам сайта за …" укажите числа в которые злоумышленник точно заходил на сайт. Они вам скажут что весит это дело например 2 гига или 10 или 50. Если объем выходит за грани разумного, то постарайтесь сузить временные рамки.

Если вам ответят что таких логов не держим, то бегите с этого хостинга и не оглядывайтесь.
Помимо всего. Попробуйте сменить пароли все не со своего компьютера и некоторое время с него вообще не заходите на сайт. Если и тогда взлом повториться, тогда будем думать дальше.

Пока что вы не смогли меня убедить ни в чистоте сайта ни в чистоте вашего компа.
Post #: 14
RE: Как можно засечь мешающего работать человека. - 2011-05-03 21:23:42.153333   
*Sta1keR*

Сообщений: 292
Оценки: 0
Присоединился: 2011-03-15 19:59:00.986666
quote:

ORIGINAL: Ростислав
Комп не заражен 100%. Касперский бы убил разом всех гадов.

а как насчет того, что троян хорошо закриптован и часто обновляется
100% гарантию тебе ни кто не даст
Post #: 15
RE: Как можно засечь мешающего работать человека. - 2011-05-03 21:27:16.060000   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
Комп может быть и чист. Допустим. Но вот фраза:
"пароль к контрольной панели уже давно кто то сменил…
многие страницы вообще не с моего сайта."
говорит о многом. О том что указали в ответе тебе с хостинга:
"Заражение сайта вирусом происходит несколькими способами:
- При загрузке его через уязвимости в коде
- При заражении компьютера"
И указано, что нужно делать в таком случае:
"Соответственно Вам необходимо провести аудит кода на наличие уязвимостей, в которые может быть добавлен вредоносный код или ссылка, которая ведет на вредоносный код."
Сайт уже не твой. И анализ логов, как мне кажеться тут тоже не поможет. Хакер получил полный доступ. Действия:
1. Меняешь полностью пароли ко всем админкам.
2. Достаёшь сохранённое зеркало и начинаешь сравнивать с тем, что у тебя сейчас. Смотреть нужно на появившиеся новые файлы, на размер файлов. База данных тебя, на начальном этапе, не особо интересует. Тебя должно интересовать что изменилось!
Разбирай код. Никто, кроме создателя сайта тебе не поможет. Здесь нужно знать как создавался сайт и как он работает. Со стороны человек потратит на это очень много времени. И квалификация его должна быть очень высокой. Иначе результат будет нулевой.
Post #: 16
RE: Как можно засечь мешающего работать человека. - 2011-05-05 18:13:39.420000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Извините за поздний ответ, но я часто е могу зайти а этот форум. Почему то он меня не впускает. Я зарегится долго не мог. Попросил знакомого из другого города зарегится за меня и скинуть пароль с логином.
1.        ТП – я так понял хостинг. Хорошо я так сделаю. О результатах сообщу.
2.       Мы сейчас прекратили работы по восстановлению сайта, так как по данному делу ведется следствие исследователь должен видеть работу зломышленика, но я уверен оно ни к чему не приведет. Поэтому сейчас находится во взломанном состоянии и разумеется никто его повторно взламывать в таком состоянии не будет.
3.        Ну сейчас вроде такого нет, что бы страницы были не с моего сайта. Это было вначале до работ по его восстановлению. После проведения работ поначалу все было нормально потом постепенно все страницы просто перестали отображаются кроме заглавной. Ниже указываю то что отображается (я там изменил название магазина, а так все также):
 
Parse error: syntax error, unexpected ')' in /home/u65708/имя магазина/www/templates/functions.php(25) : eval()'d code(1) : eval()'d code on line 1

Warning: file(VERSION.txt) [function.file]: failed to open stream: No such file or directory in /home/u65708/имя магазина/www/includes/languages/russian.php on line 354

Warning: implode() [function.implode]: Invalid arguments passed in /home/u65708/имя магазина/www/includes/languages/russian.php on line 354

Fatal error: Call to a member function add_current_page() on a non-object in /home/u65708/имя магазина/www/includes/application_top.php on line 405
Хотя вчера ещё что то отображалось, хоть и не корректно…
4.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Спасибо, только не ясно что это даст – сравнение здорового сайта с убитым. Хочу напомнить о цели обращения: мне только нужно найти IP черта.
Спасибо.
Post #: 17
RE: Как можно засечь мешающего работать человека. - 2011-05-05 20:38:03.886666   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
А может и не быть инфы по IP. Если он достаточно умён, то:
1. Подчищает за собой логи. Он имеет полный доступ к сайту, подчистить при выходе, в таком случае не проблема.
2. Заходить может через анонимный прокси. А то и через цепочку. Так сейчас практически все делают. Какой идиот будет делать взлом со своего компа? Только школьник. Да и то полный дебил. Так, что IP тебе ничего не даст.
Post #: 18
RE: Как можно засечь мешающего работать человека. - 2011-05-12 15:43:18.570000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Хостинг ответил, что эти данные он к сожалению хранит не больше недели. А прошло уже больше времени. Если бы я сразу знал, то запросил бы сразу. Я уверен помогло бы. Потому что на сайт сначала заходил не профи после того как он его нашел. Затем он передал его своему другу программеру который его и убил.  Характерна ли такая ситуация для хорошего хостинга? Может есть хостинги которые хранят дольше?
  Остался только E-mail. Если бы можно было бы по нему узнать IP…
Post #: 19
RE: Как можно засечь мешающего работать человека. - 2011-05-12 15:57:07.646666   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
А с Google пришло сообщение, что мой сайт теперь вообще чист. Конечно чист. Я заглянул на него сейчас – его теперь вообще нет. Кто то стер.  
Post #: 20
RE: Как можно засечь мешающего работать человека. - 2011-05-12 18:36:38.480000   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
Что можно сказать тебе? Сочувствуем.
Делай выводы. Восстанавливай из бэкапа сайт заново, улучшай защиту, и регулярно смотри логи.
Post #: 21
RE: Как можно засечь мешающего работать человека. - 2011-05-12 19:43:26.376666   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Да можно проще. Подними фейк. Пусть этот умник ломится во все щели, а ты логируй. Если это дырка сайта, то он спалится. Если заражен комп, то вы товарищ сами знаете кто.
Post #: 22
RE: Как можно засечь мешающего работать человека. - 2011-05-12 21:18:25.026666   
Barkass$

Сообщений: 1854
Оценки: 40
Присоединился: 2008-11-11 12:19:45.216666
Если уж сайт того стоил, то для таких целей нужна отдельная машинка, даже если не для мини сервера, то для хорошо защищенной админки. Да и сам сайт, нужно хорошо обкладывать "кирпичем". Рута вообще по хорошему положить в конверт, и за стекло с молодком)
Post #: 23
RE: Как можно засечь мешающего работать человека. - 2011-05-14 19:40:44.900000   
Ростислав

Сообщений: 11
Оценки: 0
Присоединился: 2010-02-28 08:09:21.613333
Кстати в фотоальбоме этого черта среди немногих друзей есть фото Хатаба. Того самого. По моему у него это давно, сильно и надолго.
Говорят на Мажордома проблемы с разделением доступа. Обкладывай не обкладывай бесполезно. Мне же обложил сайт один и все равно черт пробился. Есть такое в природе? Как то через контрольную панель хоста пробивается. Поменять хост?
По поводу фейка. У меня и сейчас есть его IP, но сервис Whois его нераспознает. Думаю он и на фейк не будет лезть со своего компа.
Машинка в смысле компьютер? Отдельный комп для сайта? Я в принципе могу раскошелится. Только я не совсем понял на что. На отдельный сервак? Поможет? Чем? «Рута вообще по хорошему положить в конверт, и за стекло с молодком)» - а эту фразу я что то совсем не понял.
&nbsp; Из Google - Рута (лат. Ruta) — род вечнозелёных многолетних душистых трав, полукустарников, кустарников семейства Рутовые (Rutaceae).
Post #: 24
RE: Как можно засечь мешающего работать человека. - 2011-05-14 19:57:47.040000   
Alianna

Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
quote:

Из Google - Рута (лат. Ruta) — род вечнозелёных многолетних душистых трав, полукустарников, кустарников семейства Рутовые (Rutaceae). …

Не Ruta, а Root, суперпользователь)
Post #: 25
Страниц:  [1]
Все форумы >> [Защита] >> Как можно засечь мешающего работать человека.







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.