Доброе время суток.
Вчера произошел инцедент со "взломом" форума, а точнее, редактирование одного файла, и слив на связку сплойтов, могу сразу успокоить:
1. Код айфрейма был кривой, и у большей части пользователей он даже не прогрузился.
2. В тот момент шла DDOS аттака на форум (Наверное все помнят 502 ошибку в течение дня), исходя из этого, 60% находящихся на тот момент пользователей даже не смогли получить код для айфрейма.
3. БАЗА ДАННЫХ НЕ ТРОНУТА, НИКТО ЕЁ НЕ СЛИВАЛ, ТРОНУЛИ ТОЛЬКО ОДИН ФАЙЛ, В КОТОРОМ БЫЛ JAVASCRIPT КОД IFRAME.
4. Связка была древняя очень, так что вероятность пробива там вообще нулевая была.
В совокупности факторов:
1. Пробив малейщий у связки.
2. Время прибывания зловредного (кривого кода) на сервере было не долгим. Сработали оперативно. (Около 2 часов)
3. 60% посетителей вообще не получили этот файл.
4. Количество посетителей в тот момент было не многим примерно 200-300 человек.
Оттуда выводы:
1. Инциденты заражения были единичные (На данный момент известен один, и то не факт что словил от нас).
2. Базу данных не трогали, волноваться не о чем.
Интересный момент уже здесь:
В скриптах ничего не было (На сервере gровели внеплановый аудит, ничего не обнаружили), так что скорее всего это хостер, который предоставлял ддос защиту.
Немного о связке, подвержены следующие предложения:
1. Java v7.2, 6.30 и 5.33
2. Adobe Reader и Adobe Acrobat Professional versions 8.0 до 8.2 и 9.0 до 9.3.
Скрипт проверял версии данного ПО, если не подходили - редирект на гугл.
Трафф шел на socks4you.biz
Немного о домене куда сливалось:
Все вопросы пожалуйста в этом топике.
Всем спасибо за внимание!
Don't Worry, Be Happy
Вчера произошел инцедент со "взломом" форума, а точнее, редактирование одного файла, и слив на связку сплойтов, могу сразу успокоить:
1. Код айфрейма был кривой, и у большей части пользователей он даже не прогрузился.
2. В тот момент шла DDOS аттака на форум (Наверное все помнят 502 ошибку в течение дня), исходя из этого, 60% находящихся на тот момент пользователей даже не смогли получить код для айфрейма.
3. БАЗА ДАННЫХ НЕ ТРОНУТА, НИКТО ЕЁ НЕ СЛИВАЛ, ТРОНУЛИ ТОЛЬКО ОДИН ФАЙЛ, В КОТОРОМ БЫЛ JAVASCRIPT КОД IFRAME.
4. Связка была древняя очень, так что вероятность пробива там вообще нулевая была.
В совокупности факторов:
1. Пробив малейщий у связки.
2. Время прибывания зловредного (кривого кода) на сервере было не долгим. Сработали оперативно. (Около 2 часов)
3. 60% посетителей вообще не получили этот файл.
4. Количество посетителей в тот момент было не многим примерно 200-300 человек.
Оттуда выводы:
1. Инциденты заражения были единичные (На данный момент известен один, и то не факт что словил от нас).
2. Базу данных не трогали, волноваться не о чем.
Интересный момент уже здесь:
В скриптах ничего не было (На сервере gровели внеплановый аудит, ничего не обнаружили), так что скорее всего это хостер, который предоставлял ддос защиту.
Немного о связке, подвержены следующие предложения:
1. Java v7.2, 6.30 и 5.33
2. Adobe Reader и Adobe Acrobat Professional versions 8.0 до 8.2 и 9.0 до 9.3.
Скрипт проверял версии данного ПО, если не подходили - редирект на гугл.
Трафф шел на socks4you.biz
Немного о домене куда сливалось:
Name: Aleksandr M Sugay
Address1: Shkolnaya 7
City: poselok Nahabino
State/Province: Moskowskaya oblast
Postal Code: 143430
Country: Russian Federation
Country Code: RU
Phone Number: +7.4957239170
Email: [email protected]
Все вопросы пожалуйста в этом топике.
Всем спасибо за внимание!
Don't Worry, Be Happy
Last edited: