Спасибо) Интересная штука! Начал сканировать другие пока что, работает довольно медленно только, но это не страшно конечно :)
Мораль сей басни - не.уй краденное покупать за гроши, ничего не проверяя (не желая проверить)---------- Post added 31-07-2013 at 10:46 ----------
Сейчас занимаюсь разбрасыванием яиц из одной корзины в разные. Издеваются постоянно только над юфайтом. Поэтому он едет в отдельный аккаунт. Проекты которые важны для меня сейчас - едут в другой аккаунт, остальные в третий.
Короче хакер в реальном времени прямо сейчас создает какие-то папки у меня на сервере, что-то хозяйничает сам себе. Зачем-то создал в папке www еще одну папку www, положил туда папку с youfight.info.
Блин, хреново быть нубом.
Годадди вернул домен в аккаунт. Это была тяжелая неделя. Особенно неприятно наблюдать как дилетанты ковыряют твой сайт (после переноса к себе), пытаясь что-то настроить.
Неприятно когда сайт переносится из твоей партнерки в другой аккаунт, так как у тебя его якобы купили. Да много чего короче.
Сайт был взломан, непонятно каким образом залили файл style.php в корень. При его загруке появлялось окошко, в которое можно было что-то вставлять (текст) и отправлять. Файл сохранился, не выкладываю его по соображениям этического плана.
Злоумышленник завладел файлом конфигурэйшн.пхп в джумле, там он нашел вероятно пароль к базе, пользователя базы, мыло. Пароль был везде одинаковый. Через мыло восстановил все доступы, включая доступ к регистратору.
Хотя пароль к серверу хакер не восстановил, ибо пароль бы сменился. Но, несмотря на это, гик этот, по серверу гулял как хотел, создавал папки, слил бекапы, чем доставил неепический баттхерт.
Такие дела камрады.
Для тех кто как и я, попал в такую ситуацию. Если вы пришли сюда по запросу украли домен Godaddy, и с момента кражи прошло меньше 15 дней, и вы сможете подтвердить свою личность, и сможете объяснить как это получилось (например логи сервера, другой айпи при пуше домена в чужой акк и так далее, чем больше доказательств тем лучше), и покупатель вашего домена (если он есть) не имеет на руках договора купли продажи, где видно что вы его реально продали - у вас есть все шансы получить свой украденный домен назад.
Сегодня звонили из полиции, дело продвигается, но крайне медленно. Буду держать вас в курсе. А пока почитаю как обезопасить свой сервер, чего и вам желаю.
Ну что камрады, одна половина дела близится к своему завершению. Думаю в течении дня должна произойти справедливость.
Как только произойдет, отпишу подробно как взломали джумлу старушку.
Вот что ответили pr-cy по запросу.
Последний АйПИ: 176.9.227.94ВМИД: 199301213303Сотовый при всем желании разглашать не можем
Хостер дал ip чужие с которых заходили по SSH
root pts/1 91.185.47.241 Thu Jul 25 09:20 - 11:03 (01:43) (Irkutsk)
root pts/1 91.185.47.241 Thu Jul 25 08:55 - 09:02 (00:07) (Irkutsk)
root pts/1 91.185.47.241 Thu Jul 25 08:44 - 08:49 (00:05) (Irkutsk)
root pts/0 188.168.29.223 Thu Jul 25 07:26 - 14:07 (06:41) (Moscow)
root pts/0 188.168.29.223 Wed Jul 24 21:25 - 23:30 (02:04) (Moscow)
root pts/0 ppp91-78-123-40. Wed Jul 24 20:07 - 20:07 (00:00)
reboot system boot 2.6.32-358.6.1.e Fri Jul 12 23:30 - 09:36 (13 10:05)
С этих заходили в панель:
176.14.34.161 (Moscow)
176.9.227.94 (Germany)
91.185.47.241 (Irkutsk)
91.78.123.40 (Moscow)
Поехал я в полицию с новыми данными, звонил, сказали привози. Спасибо вам большое за помощь и поддержку. Спасибо всем остальным отписавшимся.
Да! Спасибо вам большое! Я не знал где посмотреть это! Это уже доказательство, что покупатель ничего не проверял. Надо также отослать это в годадди.
Вот данные продавца:
>>> Его данные
>>> icq - 687090939
>>> http://id.pr-cy.ru/SellerSity
>>> Сайт продавался на pr-cy.ru
Вот лог переписки покупателя и продавца, после того как покупателю стало известно что сайт украден.
> Andrey (13:41) :
> сайт вообще ваш?
>
> Полина ...... (13:41) :
> конечно мой с партнером
> Andrey (13:42) :
> а партнер знает что вы продали сайт?
> Полина ...... (13:42) :
> коненчо
> а что такое ?
> Andrey (13:43) :
> письмо пришло, что вроде как у владельца сайт украли
> Полина ...... (13:43) :
> ???
> дубликат скиньте на bad_lady@list.ru
> Andrey (13:44) :
> а кто раньше сайт наполнял не осталось контактов?
> Полина ...... (13:44) :
> ytn
> нет
> Полина ...... (13:45) :
> у админа спрашу как он появится
> Andrey (13:47) :
> это не ваш адрес?
> мой-адрес!!!@mail.ru
> Полина ...... (13:47) :
> партнера моего (какого на.... партнера, я один все делаю)
> Andrey (13:48) :
> вот он и прислал письмо что домен у него украли
> Полина ...... (13:48) :
> хм
Спасибо за помощь! Покупатель говорит что купил сайт через pr-cy или как он там называется. Дал мне аську продавца и все... Говорит что купил сайт за 20000 рублей. Сайт приносил 3000 в месяц в трастлинке и столько же на рекламе. То есть купил он его за 3 месяца окупаемости. Значит знал на что шел. Посему, мало что с него можно взять. Говорит что не знает продавца.
Плюс в хуисе до последнего времени стояли мои данные а продал ему сайт какой-то Туз. Покупатель ничего не проверил, просто перевел деньги. Это наводит на размышления.
Вообщем данные покупателя передал в полицию, а в годадди послал скан счета за квартиру, скан паспорта, скан прав, ундо форму заполненную, логи и детали расследования произведенные хостером (раскрою детали когда все закончится).
Этих данных должно быть достаточно уже им, для вынесения решения.
Да, везде один пароль. Такой я лошара. Теперь разные. Было достаточно слить конфиг пхп, где было все, и почта и пароль и доступ к базе... Но самое главное - почта. Увели почту, увели все. :(---------- Post added 29-07-2013 at 09:45 ----------
Спасибо за ответ)
Я заполнил форму, на 3 письме где-то они мне ее прислали, отвечают через ундо раз в 8-12 часов. В последнем написали что заблокировали домен и дали эту форму.
Я ее распечатал, заполнил от руки, отсканил и послал им. Правильно?
