pkj Skrevet 6. juni 2009 Del Skrevet 6. juni 2009 Hei. I dag ble serveren min som jeg brukte til både hobby prosjekter og bedriftsserver hacket. Hackeren klarte å laste opp 2 filer gjennom et dårlig PHP script som han klarte å kjøre, dermed slettet han alt som var på serveren min. Bla. et community med 3000 medlemmer, bedrifts siden, blogg sider + mange side prosjekter. På toppen av det hele har jeg ikke backup, ting har vært travelt så jeg har ikke fått tatt noe backup. Jeg sjekket gjennom loggen (apache loggen) og kom frem til: Hackeren brukte disse scriptene til å infisere maskinen: - http://darkc0de.com/c0de/perl/conback.txt - http://milw0rm.com/sploits/2009-lib_mysqlu...ys_0.0.3.tar.gz Jeg fant IP adressen til vedkommende i apache loggen. ISP'en sin adresse: address: ABTSaddress: 1st Floor, Koramangala Intermediate Ring Road Amarjyoti Layout,Domluraddress: Bangalore,Karnataka - INDIA Jeg har send en epost til ISPen's abuse mail der jeg spurte bla. om å få oppgitt kontakt detailjer til personen og beskrev gjerningen som ble gjort. Da er spørsmålet mitt, hva bør jeg gjøre videre ? Jeg har lyst å få tak i vedkommende som gjorde dette, saksøke om det er mulig - men dette er nytt for meg. Vurdere å skaffe meg en advokat. Tips ? Lenke til kommentar
M98kF1 Skrevet 6. juni 2009 Del Skrevet 6. juni 2009 [...]Tips ? Marsj ned på politistasjonen å anmeld... De kommer ikke til å kunne gjøre så mye, men offisielle papirer med stempel med løve og krone hjelper utrolig mye når papirer skal frem og tilbake over landegrenser. Lenke til kommentar
pkj Skrevet 6. juni 2009 Forfatter Del Skrevet 6. juni 2009 [...]Tips ? Marsj ned på politistasjonen å anmeld... De kommer ikke til å kunne gjøre så mye, men offisielle papirer med stempel med løve og krone hjelper utrolig mye når papirer skal frem og tilbake over landegrenser. takk for tipset! Tar turen til politistasjonen så snart de åpner. Lenke til kommentar
gxi Skrevet 6. juni 2009 Del Skrevet 6. juni 2009 (endret) Det der er automatiske ormer som går igjennom alt av domener og IP-ranger som leter etter svakheter, for når de finner det hiver seg inn, sletter det som er nødvendig, kompilerer seg selv, og starter på nytt på den maskinen med å spre seg igjen samtidig som en bakdør blir satt opp. Du kommer ingen vei med IP-adressen. Endret 6. juni 2009 av gxi Lenke til kommentar
pkj Skrevet 6. juni 2009 Forfatter Del Skrevet 6. juni 2009 Det der er automatiske ormer som går igjennom alt av domener og IP-ranger som leter etter svakheter, for når de finner det hiver seg inn, sletter det som er nødvendig, kompilerer seg selv, og starter på nytt på den maskinen med å spre seg igjen samtidig som en bakdør blir satt opp. Du kommer ingen vei med IP-adressen. Jeg vet hvem som gjorde det utifra en ip adresse og et forum brukernavn på en annen side. Angrepet var ikke automatisk grunnet at angrepet ble første å fremst gjort for å eliminere vårt community for å annonsere sitt eget ( De skrev bla. You were hacked by ... ) så var det et stort linket bilde til deres egen side som vi er godt kjent med. Det som er tingen er at jeg tror ikke angriperen viste at jeg hadde andre sider enn community siden, han gikk egentlig bare for å få ned den siden, men slettet altså alt annet i samme slengen. Lenke til kommentar
Ueland Skrevet 7. juni 2009 Del Skrevet 7. juni 2009 Er bare å anmelde det. Er du heldig vil politiet(Kripos) videresende saken til rette lands myndigheter og henlegge saken i Norge. Var grovt sagt det som skjedde når vi ble hacket av en noen som ville reklamere litt for seg selv. Siten de reklamerte for forsvant ila en uke eller to. Men du vil ikke få kontaktinfo fra abuse, det er det kun politimyndigheter som får. Lenke til kommentar
TEE Skrevet 7. juni 2009 Del Skrevet 7. juni 2009 Anmeld det. Deretter går du inn og sikrer php-koden du kjører, og til slutt skaffer du deg separate servere til hobby og jobb. Etter at det er gjort bruker du 3 minutter på å konfigurere automatisk backup på begge serverne. Lenke til kommentar
ZyberZone Skrevet 9. juni 2009 Del Skrevet 9. juni 2009 Det må jo være mulig å hente ut dataen igjen (uten noe større problemer) så lenge du ikke har skrevet over alle filene? Lenke til kommentar
The Avatar Skrevet 10. juni 2009 Del Skrevet 10. juni 2009 Det må jo være mulig å hente ut dataen igjen (uten noe større problemer) så lenge du ikke har skrevet over alle filene? Utan å kjenne til kva slags script som blei brukt så vil eg anta det som sannsynleg at hackeren passa på å overskrive serveren mange ganger med tomme data slik at gjennoppretting blir vanskeleg/umogleg. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå