youfight.info украден

Тоже интересно развитие событий

Вот что ответили pr-cy по запросу.

Последний АйПИ: 176.9.227.94
ВМИД: 199301213303

Сотовый при всем желании разглашать не можем

Хостер дал ip чужие с которых заходили по SSH

root pts/1 91.185.47.241 Thu Jul 25 09:20 - 11:03 (01:43) (Irkutsk)

root pts/1 91.185.47.241 Thu Jul 25 08:55 - 09:02 (00:07) (Irkutsk)

root pts/1 91.185.47.241 Thu Jul 25 08:44 - 08:49 (00:05) (Irkutsk)

root pts/0 188.168.29.223 Thu Jul 25 07:26 - 14:07 (06:41) (Moscow)

root pts/0 188.168.29.223 Wed Jul 24 21:25 - 23:30 (02:04) (Moscow)

root pts/0 ppp91-78-123-40. Wed Jul 24 20:07 - 20:07 (00:00)

reboot system boot 2.6.32-358.6.1.e Fri Jul 12 23:30 - 09:36 (13 10:05)

С этих заходили в панель:

176.14.34.161 (Moscow)

176.9.227.94 (Germany)

91.185.47.241 (Irkutsk)

91.78.123.40 (Moscow)

Ну что камрады, одна половина дела близится к своему завершению. Думаю в течении дня должна произойти справедливость.

Как только произойдет, отпишу подробно как взломали джумлу старушку.

Годадди вернул домен в аккаунт. Это была тяжелая неделя. Особенно неприятно наблюдать как дилетанты ковыряют твой сайт (после переноса к себе), пытаясь что-то настроить.

Неприятно когда сайт переносится из твоей партнерки в другой аккаунт, так как у тебя его якобы купили. Да много чего короче.

Сайт был взломан, непонятно каким образом залили файл style.php в корень. При его загруке появлялось окошко, в которое можно было что-то вставлять (текст) и отправлять. Файл сохранился, не выкладываю его по соображениям этического плана.

Злоумышленник завладел файлом конфигурэйшн.пхп в джумле, там он нашел вероятно пароль к базе, пользователя базы, мыло. Пароль был везде одинаковый. Через мыло восстановил все доступы, включая доступ к регистратору.

Хотя пароль к серверу хакер не восстановил, ибо пароль бы сменился. Но, несмотря на это, гик этот, по серверу гулял как хотел, создавал папки, слил бекапы, чем доставил неепический баттхерт.

Такие дела камрады.

Для тех кто как и я, попал в такую ситуацию. Если вы пришли сюда по запросу украли домен Godaddy, и с момента кражи прошло меньше 15 дней, и вы сможете подтвердить свою личность, и сможете объяснить как это получилось (например логи сервера, другой айпи при пуше домена в чужой акк и так далее, чем больше доказательств тем лучше), и покупатель вашего домена (если он есть) не имеет на руках договора купли продажи, где видно что вы его реально продали - у вас есть все шансы получить свой украденный домен назад.

Сегодня звонили из полиции, дело продвигается, но крайне медленно. Буду держать вас в курсе. А пока почитаю как обезопасить свой сервер, чего и вам желаю.

ну а причина-то проста :) не будь этого пункта, ничего и не произошло бы

Короче хакер в реальном времени прямо сейчас создает какие-то папки у меня на сервере, что-то хозяйничает сам себе. Зачем-то создал в папке www еще одну папку www, положил туда папку с youfight.info.

Блин, хреново быть нубом.

мораль сей басни такова - нефиг вообще покупать сайты коль их так просто могут отобрать))) Хакер при бабле, тс при сайте. Как я понял, единственный кто попал на деньги - покупатель.

палите его айпишки в логах.

поможет полиции его искать.

ищите шелл-скрипты кроме style.php в корне, их гораздо больше будет, обновляйте движок и модули, меняйте пароли...

Мораль сей басни - не.уй краденное покупать за гроши, ничего не проверяя (не желая проверить)

---------- Post added 31-07-2013 at 10:46 ----------

Сейчас занимаюсь разбрасыванием яиц из одной корзины в разные. Издеваются постоянно только над юфайтом. Поэтому он едет в отдельный аккаунт. Проекты которые важны для меня сейчас - едут в другой аккаунт, остальные в третий.