Pokaż wyniki 1 do 6 z 6

Temat: Włamanie na server? ale jak? potrzebna pomoc

  1. #1
    Zarejestrowany
    Nov 2009
    Postów
    2

    Unhappy Włamanie na server? ale jak? potrzebna pomoc

    Witam, po kolei opowiem Wam co mi się ostatnio przydarzyło:

    Cała historia zaczela sie w momencie kiedy "Peter" postanowił odejść z
    firmy ponieważ jego żona chciała mieszkać w Irlandii. Chłop ma zarzadal udziałów w firmie i chciał aby szefostwo go spałciło bo odchodzi z firmy. Suma jaką zażadał była zbyt duża ja na taka małą firme aby mogli sobie pozwolić od tak go spłacić.
    No i sie zaczeło:
    Zmienił hasła dostępu do serverów zarówno cpanel, phpmyadmin, i ftp.
    Zażądał ogromnych sum za udostępnienie wszystkiego spowrotem.
    Oraz oprócz 15% zysków z firmy chciał aby firma mu placiła za konsulting.
    Na szczescie udalo mi sie uzyskac pelen dostep do wszystkiego i calosc zostala przetransferowana na nowy serwer.
    Nie było to łatwe poniewaz sam wprowadzal wiele modyfikacji do systemow CMSMS oraz OSCommerceMax nie informujac nikogo o niczym. Na dzień dzisiejszy wszystkie strony działały prawidłowo tak jak na starym serwerze który dziwnym sposobem zaczał sie sypać zaraz po jego wyjezdzie.
    Wczoraj poźnym popoludniem zauwazylem ze pewne strony przestaly dzialac:
    URL
    URL
    URL

    i jeszcze kilka innych.
    Kiedy skontaktowałem sie z firmą hostingowa bylo juz za późno ponieważ firma przeprowadza backupy o 1:00 kazdego dnia niestety zastępując pliki z backupu z dnia poprzedniego.
    Na chwile obecna wszystko zostalo przywrocone do porzadku ale z 2 tygodniowa luka poniewaz takie byly najswiezsze dzialajace pliki backupu.
    W logach które przegladalem dzisiaj caly dzien nie bylo zadnych oczywistych rozwiazan ale wcale sie nie spodziewalem znalezc takowych.
    Najwiekszym problemem w tym wszytkim jest to ze na tych stronach sa pewnie skrypty php i pearl o których nikt moze nie wiedziec a mimo wszystko "Peter" moze miec ciagle do nich dostep. Jedyna podejrzana rzecza jaka zauwazylem w logach z tego dnia to ze ktos w sumie uploadowa pliki graficzne na strone bordernet.co.uk.
    Nie zdazylem jeszcze przejrzec logów z FTP ale z logów cpanel wynika ze nikt nie mial dostepu oprócz mnie. A mimo to strony nie zostały usunięte z ftp tylko bazy danych zostały skasowane – i tu pojawia sie pytanie jak to zrobił nie mając dostępu do cpanel?
    Dostep do cpanel jest ograniczany do stycznych adresów IP tylko w mojej firmie.
    Jedna z rzeczy która najbardziej mnie niepokoi to to ze takie strony jak
    URL
    URL
    sa oparte na skrypcie pearl napisanym przez "Petera" ale do pomocy w usuwaniu wszelkich tylnych wrót pomagali mi prawdziwi specjalisci. Ale chyba jednak coś przeoczyliśmy.
    Do tego znikło kilka statycznych stron które połaczone ze soba sa takze za pomoca pearl scriptu poniewaz ich wasciciele sami redaguja ich zawartosc.

    Prosze o pomoc w rozwiazaniu tego problemu bo sam juz nie wiem co zrobic.
    Z gory dzieki za jakies pomysly.

    Pozdrawiam
    Scotty
    Ostatnio edytowane przez TQM : 11-06-2009 - 13:02

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    1. co to za gownianan firma ktora robiac backup nadpisuje stary backup? pliki backupow powinny byc trzymane minimum kilka dni bo inaczej nie maja najmniejszego sensu
    2. jesli byl wspolnikiem w firmie i odchodzi to jego sprawa - pozostali wspolnicy maja obowiazek go splacic zgodnie z wartoscia firmy i procentowym udzialem jaki mial
    3. wszelkie kwestie konsultingu itd - to sprawa kontraktowa i niezalezna od kwestii splaty udzialow
    4. jesli koles stworzyl system od podszewki to nie bedziecie w stanie znalezc rzeczy ktore tam mogl wrzucic, poza tym widze tam PHP a nie perla
    5. 2 z tych 5 domen juz nie dzialaja - zniknely im DNSy

    robie edit Twojego postu i wywalam URLe ktore podales bo nie sa tu potrzebne, i tak z nich wiele nie wyciagniesz a ktos moze sie dodatkowo zainteresowac tymi stronami (w negatywny sposob).
    Ostatnio edytowane przez TQM : 11-06-2009 - 13:04
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    fajna historyjka.
    Najwiekszym problemem w tym wszytkim jest to ze na tych stronach sa pewnie skrypty php i pearl o których nikt moze nie wiedziec a mimo wszystko "Peter" moze miec ciagle do nich dostep. Jedyna podejrzana rzecza jaka zauwazylem w logach z tego dnia to ze ktos w sumie uploadowa pliki graficzne na strone
    w PERL nie ma 'a'.

    zobacz get'y w logach dla jego plikow, idz na policje?
    War, war never changes.

  4. #4
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    To jest robota dla http://www.vagla.pl/

  5. #5
    Zarejestrowany
    Nov 2009
    Postów
    2

    Domyślnie

    Dzieki za odpowiedzi ale nadal nie za bardzo wiem jak sie ustrzec przed jego mania kasowania wszystkiego po kolei.
    Jasne, ze Perl, zwykla literowka
    Co do policji, w Szkocji gdzie na co dzien pracuje policja musi miec niezbity dowod ze to on, a takiego nie posiadam i nie wiem jak go zlapac...
    Za kilka dni wracam do pracy i mam nadzieje ze nie zastane tam pustego servera.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Znalezc dowody to nie Twoja robota - tym ma sie zajac policja, bo nawet jak Ty cos znajdziesz (mozesz jedynie logi skopiowac tak na dobra sprawe a najlepiej to poprosic hosting o zabezpieczenie logow) bo i tak w sadzie tego nie przyjma - jestes strona sporu i material dowodowy bedzie uznany za malo wiarygodny.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Potrzebuje pomocy (myśle iż potrzebna znajomość php ale hm niekoniecznie?)
    By mdma_niac in forum Newbie - dla początkujących!
    Odpowiedzi: 11
    Autor: 03-16-2008, 11:55
  2. Potrzebna Pomoc
    By DnS in forum Wirusy/Konie trojańskie
    Odpowiedzi: 14
    Autor: 08-01-2007, 13:45
  3. pomoc potrzebna
    By kita in forum /dev/null
    Odpowiedzi: 7
    Autor: 07-17-2007, 10:39
  4. potrzebna pomoc...
    By Spoofy in forum Hacking
    Odpowiedzi: 4
    Autor: 03-05-2007, 13:22

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj