Борьба с хакером: кто кого?

[avgur]

Борьба с хакером: кто кого?

Есть некоммерческий сайт очень известного и любимого всеми артиста. Некоторое время назад (при заходе по ftp с чужого компа) был украден пароль. Появился троян - внедренный в некоторые файлы .css javascript-код...
Файлы были очищены, пароли ftp и БД изменены, найдены и удалены php-файлы с вызовом их через браузер с post-параметрами (для запуска другого файла). Но троян снова появляется на сервере.

Логи дали некоторую догадку об ip взломщика. Хостер, ест-но, это не подтверждает, готов показать эту информацию только по запросу правоохранительных органов.

В связи с переездом мой доступ к интернету ограничен. Кто может помочь в этой борьбе с хакером?

Вопрос щепетильный, поэтому обращаюсь с просьбой обсудить все детали в привате.

 

[Kuzya]

avgur пиши на kuzya59собакаyandex.ru

 

[avgur]

Kuzya, и сразу пароли высылать? Ты вроде бы новичок пока?
Хотелось бы от более опытных получить ответ.
Можем собрать условленную сумму, если об этом пойдет речь.

 

[Kuzya]

не нужно никаких паролей. Ты сказал

обращаюсь с просьбой обсудить все детали в привате

Я лишь дам пару рекомендаций которые помогут выяснить - на сайте оставлен бэкдор или же кто-то знает пароль от ФТП и прочих админ-сервисов.

 

[zerkms]

дурдом

 

[HEm]

avgur
антивирусом проверялся? каким?

 

[Фанат]

странно ,что логи дают информацию об ip, но не дают о СПОСОБЕ ВЗЛОМА.
В общем, я бы тоже не искал врага народа, а проверился бы на вирусы.

 

[avgur]

HEm, да, вирус был. Сейчас на этом компе стоит Касперский 6.0 для workstations.

Автор оригинала: *****
странно ,что логи дают информацию об ip, но не дают о СПОСОБЕ ВЗЛОМА.
В общем, я бы тоже не искал врага народа, а проверился бы на вирусы.

Есть кусок лога, где видно, что по ftp меняли файл не с моего ip.
По ftp были внесены модификации некоторых файлов и добавлены свои php-файлы.
После смены паролей, удаления чужих файлов и каталогов они появляются снова...

 

[Фанат]

на мой взгляд, проблема банальная - пароли утекают через трояна.

 

[nirex]

если сайт построен на известной cms или просто известные скрипты читай про них тут, так же про софт который установлен на этом сервере (core, http, sshd, ftp, etc ):
http://securityvulns.com/
http://www.securityfocus.com/
http://www.securitylab.ru/

если нет, то надо конечно смотреть.

-~{}~ 04.03.08 11:58:

да точно, установи себе какой нить снифер трафика на ПК посмотри не лезет из тебя неизвестно что , неизвестно куда.

 

[Активист]

+1 Троян

Пусть там стоит хоть Mega AVP Protection Pack Limited Edition, сейчас кодируют трояны так, что их не видит ни один анти вирус, существует много закрытых сообществ, которые тот же Zeus закодирую за определенную плату так, что возможно только через пару месяцев AVP (кашперский и др.) его увидят.

А что умеет Zeus ))

 

[avgur]

securitylab.ru, конечно же, посещаю, спасибо.

Автор оригинала: *****
на мой взгляд, проблема банальная - пароли утекают через трояна.

На днях перехали - захожу с другого компа другим ftp-клиентом. Тот же троян не может быть. Флешку даже не вставлял.
Будем искать...