Нужен совет.
У меня взломали площадку на Мастерхосте; поменяли пароли и DNS сервера. Сегодня мы сменили контактный мейл, вернули площадку в управление. Заодно запросили у провайдера ip, с которого были совершены изменения.
Умом понимала, что ip скорее всего левый, но решила проверить.
Мастерхост дал ip - 90.156.197.251
Спрашиваю: "Господа, вы шутите??? Это же ваш адрес?"
Через пять минут, заикаясь объясняют, что сам Мастерхост пал жертвой атаки; что какую-то их тестовую площадку взломали, установили там скрипты и прочее и прочее....
Меня смущают два вопроса.
Первый. Площадка была взломана 04.09, а я обратилась к провайдеру только в четверг - когда вернулась из командировки. Т.е. сегодня 6 дней с момента взлома. Если бы явление носило массовый характер (десятки, сотни недовольных клиентов), они бы не в пали в ступор в тот момент, когда я сообщила им что взлом произошел "изнутри".
Второй. До того, как я сообщила им о том, кому принадлежит ip, мне оказывали всяческое содействие. Сейчас - словно отрезало.
На все вопросы отвечают "проводится расследование".
У меня серьезные подозрения, что пострадавший во всей этой истории один - я. Можете считать это паранойей.
Сейчас я ищу других клиентов Мастерхоста, чьи площадки были захвачены вечером четвертого сентября. Просматриваю тематические форумы, ищу через поисковики. Если у кого-то есть идеи, как еще можно найти "пострадавших" - буду признательна.
Прошу совета
Все-таки не думаю, что взлом был масовым. Иначе бы какие-то официальные заявления по поводу случившегося представители Мастерхоста сделали бы обязательно. Как, например, по случаю взлома в 2007 году. Правда, тогда констатировался сам факт, без указания уязвимости. В Вашем случае, мне представляется, либо количество атакованных площадок было невелико, либо взломщик, по каким-то причинам, в качестве жертвы выбрал именно Вас. Хотя, если бы речь шла о конкурентом взломе, то не вижу смысла в смене паролей... Этим взломщик выдал себя. Вполне возможно также, что взломщик просто практиковался, набивал руку, так сказать, а Вы просто случайная жертва.
SelfMade, мы за последнюю неделю перебрали все варианты - очень хотелось найти подтверждение вариантам "случайность".
Щас видим проблему в том, что чел с мастерхостовским ip (т.е. уже будучи в панели управления) заодно взломал наш контактный мейловский ящик; с него подал запрос на изменение паролей, а только затем начал менять сервера (к которым уже имел доступ с ПУ) в течении 2,5 минут.
Зачем? Как?
МХ отвечает только в телефонном режиме; письменные запросы игнорирует (о чем честно предупредил). Служба безопасности Мэйл.ру вообще нас слила. В "К" обращаться не хочется - во-первых бесполезно, во вторых оба провайдера предупредили, что в этом случае перестанут давать хоть какую-то инфу.
В сети по-прежнему тишина. Значит, другие клиенты МХ не пострадали. Или играют в молчанку.
Я не против хакеров, я только за.
Если это была "учебная тренировка" - я восхищусь мастерством и пожелаю удачи. Беда в том, что 2 года назад, мы переживали то же самое - там вся эта кутерьма растянулась на много недель.
Сейчас боюсь "продолжения"
Щас видим проблему в том, что чел с мастерхостовским ip (т.е. уже будучи в панели управления) заодно взломал наш контактный мейловский ящик; с него подал запрос на изменение паролей, а только затем начал менять сервера (к которым уже имел доступ с ПУ) в течении 2,5 минут.
Зачем? Как?
МХ отвечает только в телефонном режиме; письменные запросы игнорирует (о чем честно предупредил). Служба безопасности Мэйл.ру вообще нас слила. В "К" обращаться не хочется - во-первых бесполезно, во вторых оба провайдера предупредили, что в этом случае перестанут давать хоть какую-то инфу.
В сети по-прежнему тишина. Значит, другие клиенты МХ не пострадали. Или играют в молчанку.
Я не против хакеров, я только за.
Если это была "учебная тренировка" - я восхищусь мастерством и пожелаю удачи. Беда в том, что 2 года назад, мы переживали то же самое - там вся эта кутерьма растянулась на много недель.
Сейчас боюсь "продолжения"
Сложно судить о мотивах такого взлома. Вообще-то сама панель управления у Мастерхоста дырявая. В 2007 году, судя по всему, была использована именно уязвимость в ПУ. Если Вы говорите, что такое уже было 2 года назад, то, может быть, есть смысл перейти на другой хостинг? А правды Вы вряд ли добьетесь.
Про 2007 год я не слышала. Про 2004 - да. Но ведь там все провайдеры посыпались? Правда, никто не подтвердил, что через ПУ. И вроде, как с тех времен залатали дыры...
А про 2 года назад - с МХ тогда проблем не было. Взломали внутренний сервер и личные месенджеры.
Как хостер МХ меня полностью устраивает.
Достойной альтернативы я не вижу. То, что таких монстров время от времени ломают - это нормально; я согласна потерпеть с условием, что появится какая-то определенность. А сейчас мозги набекрень - вроде как надо поверить, что это случайность, а не верится.
Зачем - ну зачем - давать запрос на смену паролей с ящика, когда ты уже в МХ? Если ты вошел в МХ - неужели тебя не преследует мысль, что ты ограничен по времени? Зачем тратить 2,5 минуты на то, чтобы провести операцию по смене серверов через площадку Ириски Пупкиной? Как можно войти в МХ и не разместить картинку голой тетки на главной странице сайта московской мэрии? И т.д. и т.п...
А про 2 года назад - с МХ тогда проблем не было. Взломали внутренний сервер и личные месенджеры.
Как хостер МХ меня полностью устраивает.
Достойной альтернативы я не вижу. То, что таких монстров время от времени ломают - это нормально; я согласна потерпеть с условием, что появится какая-то определенность. А сейчас мозги набекрень - вроде как надо поверить, что это случайность, а не верится.
Зачем - ну зачем - давать запрос на смену паролей с ящика, когда ты уже в МХ? Если ты вошел в МХ - неужели тебя не преследует мысль, что ты ограничен по времени? Зачем тратить 2,5 минуты на то, чтобы провести операцию по смене серверов через площадку Ириски Пупкиной? Как можно войти в МХ и не разместить картинку голой тетки на главной странице сайта московской мэрии? И т.д. и т.п...
Не совсем так.
МХ-кий ip означает, что человек зашел на сервер. И не говорит - как.
Или ты думаешь, что сотрудники МХ считают, что меня успокоит
объяснение "с вами это произошло, потому что сначала нас взломали" ? Можешь представить себе провайдера, который так успокаивает клиента (даже в неофициальном порядке) ?
Переносить ресурс не буду. МХ с этим уже столкнулся, а другие - пока нет. Значит, у МХ преимущество в защите.
МХ-кий ip означает, что человек зашел на сервер. И не говорит - как.
Или ты думаешь, что сотрудники МХ считают, что меня успокоит
объяснение "с вами это произошло, потому что сначала нас взломали" ? Можешь представить себе провайдера, который так успокаивает клиента (даже в неофициальном порядке) ?
Переносить ресурс не буду. МХ с этим уже столкнулся, а другие - пока нет. Значит, у МХ преимущество в защите.
Ириска, я вот тут подумал... а откуда известно, что хакер ломал почту, находясь в панели управления? это по логам установили? мне представляется более вероятным вариант, что чел сначала получил доступ к почт. ящику, послал запрос на смену паролей, а потом уже, будучи в ПУ, сменил DNS. за 2,5 мин., что он пробыл в ПУ, как Вы говорите, невозможно сломать почтовый ящик, хоть семи пядей во лбу будь, это только в голливудских фильмах про хакеров такое может быть. почему я пишу об этом... а потому, что, если это так, то Вы из разряда случайной жертвы переходите в разряд целевого объекта взлома. т.е. в этом случае действия хакера планомерны и последовательны: получение доступа к ящику - смена паролей - получение доступа к ПУ - смена DNS-серверов. я бы Вам посоветовал проверить Ваш ПК, с которого Вы заходите в почт. ящик и ПУ, на всякую заразу. и хорошо бы проверить не только антивирусами, а обратиться к специалисту, который вручную может сделать такую проверку, потому что то, что антивирусы отлавливают - это вершина айсберга, паблик-версии заразы, которыми балуются школьники.
-----Original Message-----
From: MAILER-DAEMON@mx-13.masterhost.ru
[mailto:MAILER-DAEMON@mx-13.masterhost.ru]
Sent: Thursday, September 16, 2010 6:59 PM
To: ХХХ Subject: failure notice
Hi. This is the qmail-send program at mx-13.masterhost.ru.
I'm afraid I wasn't able to deliver your message to the following
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<bandiedjwxu667___casi>:
91.199.149.30 does not like recipient.
Remote host said: 550 5.7.1 <bandiedjwxu667___casi>... Relaying denied.
Proper authentication required.
Giving up on 91.199.149.30.
--- Below this line is a copy of the message.
Return-Path: <ХХХ>
Received: (qmail 25218 invoked by uid 46059); 16 Sep 2010 16:58:28 -0000
Delivered-To: ХХХ@ХХХ.ru
Received: (qmail 25076 invoked from network); 16 Sep 2010 16:58:23 -0000
Received: from unknown (HELO eximx8.masterhost.ru) (83.222.26.13)
by mx.mail.masterhost.ru with SMTP; 16 Sep 2010 16:58:23 -0000
Received: from ams-iport-2.ХХХ.com ([ХХХ.254.224.141])
by eximx8.masterhost.ru with esmtp
(envelope-from <ХХХХ>)
id 1OwHmw-000MAo-TP
for ХХХ@ХХХ.ru; Thu, 16 Sep 2010 20:58:23 +0400
Authentication-Results: ams-iport-2.ХХХ.com; dkim=neutral (message not
signed) header.i=none
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result:
AhIIAHfpkUyQ/khM/2dsb2JhbACGEJsqUG4DqFqcRoVBBIFai1k
X-IronPort-AV: E=Sophos;i="4.56,377,1280707200";
d="scan'208,217";a="9577504"
Received: from ams-core-3.cisco.com ([ХХХ.254.72.76])
by ams-iport-2.ХХХ.com with ESMTP; 16 Sep 2010 16:58:21 +0000
Received: from xbh-ams-201.ХХХ.com (xbh-ams-201.ХХХ.com
[ХХХ.254.75.7])
by ams-core-3.ХХХ.com (8.14.3/8.14.3) with ESMTP id
o8GGwLt8022800
for <ХХХХХХХ>; Thu, 16 Sep 2010 16:58:21 GMT
Received: from xmb-ams-114.ХХХ.com ([ХХХ.254.74.89]) by
xbh-ams-201.ХХХ.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 16 Sep 2010 18:58:21 +0200
X-MimeOLE: Produced By Microsoft Exchange V6.5
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01CB55C0.5E367BD1"
Subject:
Date: Thu, 16 Sep 2010 18:58:15 +0200
Message-ID:
<CEA78583ABEF6F44936B06A6E538064001E25A5B>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Index: ActVwFqn/cHIUNF3Tr6wr09Uvp1sow==
From: "David ХХХХХХХ \(\)"
<dХХХХХ>
To: "???????? ?????????" <ХХХ>
X-OriginalArrivalTime: 16 Sep 2010 16:58:21.0368 (UTC)
FILETIME=[5E425B80:01CB55C0]
X-SpamTest-Envelope-From:ХХХ@ХХХ.com
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 15800 [Sep 16 2010]
X-SpamTest-Method: none
X-SpamTest-Rate: 0
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0284], KAS30/Release
This is a multi-part message in MIME format.
------_=_NextPart_001_01CB55C0.5E367BD1
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
http://www.dailymail.co.uk/news/article ... tanding-ro
om-tickets-4--funded-charging-passengers-use-toilet.html
=20
http://www.economics-addicted.com/2009/ ... uggests-pa
ssengers-to-fly-on-standing-places/
=20
http://www.lenta.ru/news/2009/07/03/stehende/
=20
http://smi2.ru/velsi_info/c354136/
=20
http://www.dzd.ee/?id=3D283167
------_=_NextPart_001_01CB55C0.5E367BD1
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
<DOCTYPE>
<HTML><HEAD> <META> <META></HEAD> <BODY> <DIV><FONT><A>http://
w=
ww.dailymail.co.uk/news/article-1291103/Ryanair-sell-standing-room-ticke
t=
s-4--funded-charging-passengers-use-toilet.html</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.economics-addicte
d=
.com/2009/07/05/airline-ryanair-suggests-passengers-to-fly-on-standing-p
l=
aces/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.lenta.
r=
u/news/2009/07/03/stehende/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://smi2.ru/velsi_info/c3
5=
4136/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.dzd.ee/?id=3D283167</
A=
Развернуть
</FONT></DIV></BODY></HTML>
------_=_NextPart_001_01CB55C0.5E367BD1--
From: MAILER-DAEMON@mx-13.masterhost.ru
[mailto:MAILER-DAEMON@mx-13.masterhost.ru]
Sent: Thursday, September 16, 2010 6:59 PM
To: ХХХ Subject: failure notice
Hi. This is the qmail-send program at mx-13.masterhost.ru.
I'm afraid I wasn't able to deliver your message to the following
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<bandiedjwxu667___casi>:
91.199.149.30 does not like recipient.
Remote host said: 550 5.7.1 <bandiedjwxu667___casi>... Relaying denied.
Proper authentication required.
Giving up on 91.199.149.30.
--- Below this line is a copy of the message.
Return-Path: <ХХХ>
Received: (qmail 25218 invoked by uid 46059); 16 Sep 2010 16:58:28 -0000
Delivered-To: ХХХ@ХХХ.ru
Received: (qmail 25076 invoked from network); 16 Sep 2010 16:58:23 -0000
Received: from unknown (HELO eximx8.masterhost.ru) (83.222.26.13)
by mx.mail.masterhost.ru with SMTP; 16 Sep 2010 16:58:23 -0000
Received: from ams-iport-2.ХХХ.com ([ХХХ.254.224.141])
by eximx8.masterhost.ru with esmtp
(envelope-from <ХХХХ>)
id 1OwHmw-000MAo-TP
for ХХХ@ХХХ.ru; Thu, 16 Sep 2010 20:58:23 +0400
Authentication-Results: ams-iport-2.ХХХ.com; dkim=neutral (message not
signed) header.i=none
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result:
AhIIAHfpkUyQ/khM/2dsb2JhbACGEJsqUG4DqFqcRoVBBIFai1k
X-IronPort-AV: E=Sophos;i="4.56,377,1280707200";
d="scan'208,217";a="9577504"
Received: from ams-core-3.cisco.com ([ХХХ.254.72.76])
by ams-iport-2.ХХХ.com with ESMTP; 16 Sep 2010 16:58:21 +0000
Received: from xbh-ams-201.ХХХ.com (xbh-ams-201.ХХХ.com
[ХХХ.254.75.7])
by ams-core-3.ХХХ.com (8.14.3/8.14.3) with ESMTP id
o8GGwLt8022800
for <ХХХХХХХ>; Thu, 16 Sep 2010 16:58:21 GMT
Received: from xmb-ams-114.ХХХ.com ([ХХХ.254.74.89]) by
xbh-ams-201.ХХХ.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 16 Sep 2010 18:58:21 +0200
X-MimeOLE: Produced By Microsoft Exchange V6.5
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01CB55C0.5E367BD1"
Subject:
Date: Thu, 16 Sep 2010 18:58:15 +0200
Message-ID:
<CEA78583ABEF6F44936B06A6E538064001E25A5B>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Index: ActVwFqn/cHIUNF3Tr6wr09Uvp1sow==
From: "David ХХХХХХХ \(\)"
<dХХХХХ>
To: "???????? ?????????" <ХХХ>
X-OriginalArrivalTime: 16 Sep 2010 16:58:21.0368 (UTC)
FILETIME=[5E425B80:01CB55C0]
X-SpamTest-Envelope-From:ХХХ@ХХХ.com
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 15800 [Sep 16 2010]
X-SpamTest-Method: none
X-SpamTest-Rate: 0
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0284], KAS30/Release
This is a multi-part message in MIME format.
------_=_NextPart_001_01CB55C0.5E367BD1
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
http://www.dailymail.co.uk/news/article ... tanding-ro
om-tickets-4--funded-charging-passengers-use-toilet.html
=20
http://www.economics-addicted.com/2009/ ... uggests-pa
ssengers-to-fly-on-standing-places/
=20
http://www.lenta.ru/news/2009/07/03/stehende/
=20
http://smi2.ru/velsi_info/c354136/
=20
http://www.dzd.ee/?id=3D283167
------_=_NextPart_001_01CB55C0.5E367BD1
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
<DOCTYPE>
<HTML><HEAD> <META> <META></HEAD> <BODY> <DIV><FONT><A>http://
w=
ww.dailymail.co.uk/news/article-1291103/Ryanair-sell-standing-room-ticke
t=
s-4--funded-charging-passengers-use-toilet.html</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.economics-addicte
d=
.com/2009/07/05/airline-ryanair-suggests-passengers-to-fly-on-standing-p
l=
aces/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.lenta.
r=
u/news/2009/07/03/stehende/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://smi2.ru/velsi_info/c3
5=
4136/</A></FONT></DIV>
<DIV><FONT></FONT> </DIV> <DIV><FONT><A>http://www.dzd.ee/?id=3D283167</
A=
Развернуть
</FONT></DIV></BODY></HTML>
------_=_NextPart_001_01CB55C0.5E367BD1--
Ириска, а вопрос в чем? 
почему письма не доходят до bandiedjwxu667@casi.ru и возвращается ошибка доставки? или Вы вообще не посылали на этот адрес никаких писем?
почему письма не доходят до bandiedjwxu667@casi.ru и возвращается ошибка доставки? или Вы вообще не посылали на этот адрес никаких писем?
Так только дураки не боятся :D Если у Вас серьезный интернет-бизнес, то хорошо бы иметь специалиста по информационной безопасности, хотя бы в качестве консультанта. В любом случае паниковать не нужно. Если взлом был случайным, то Вы - везучий человек, можете в лотереях участвовать))) Если же это был заказной взлом, то тоже хорошо - значит у Вас дела идут отлично и это повод для беспокойства Ваших конкурентов)))SelfMade, я боюсь.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 7 гостей