Forum Supportu

[Piotrek Quill]

Cześć,
Piszę tutaj, bo to jedyny możliwy kontakt z Tobą. Nasze forum o pbfach: eden.wxv.pl zostało właśnie shakowane. Najpierw usunięto nam kody, reklamy, zapowiedzi... Teraz hakerzy nam je całkowicie zamknęli. Nie wiemy, co mamy robić. Ratunku!

[roszpunka]

Dorzucam screena z logów czynności na wxv:
https://i.imgur.com/ocB4KCx.png


edit: fałszywy alarm, to próba logowania do panelu jednego z adminów.

[Mich@ł]

Piotrek Quill, z tego co widze zostały wykasowane wszystkie dane.

Już ściągam backup i myślę że w przeciągu 2 godzin zostanie on przywrócony.

[Mich@ł]

No to teraz pytanie o wasze hasła... albo do konta pocztowego albo do konta na wxv.pl.

Któreś musiało być "uniwersalne" lub proste.

[Piotrek Quill]

Dziękujemy!

Edit:
Dziwna sprawa, bo każdy z nas używa dość niezłej kombinacji - ale to koleżanka nie mogła się zalogować i to chyba przez jej konto wleźli. Trudno powiedzieć :/

[Mich@ł]

Piotrek Quill, możliwości jest wiele ale tak jak większości przypadków przyczyną włamu jest czynnik ludzki czyli np. proste hasło, jedno hasło do kilku stron, czasami wirusy, trojany itd.

Niech na wszelki wypadek przeskanuje komputer.

Forum zostało przywrócone. Backup z dnia wczorajszego.

Wszystkie uprawnienia administratora zostały pozdejmowane i dodatkowo konieczne jest wygenerowanie sobie nowych haseł.

Dodatkowo polecam zmiane hasła do konta wxv.pl oraz konta pocztowego.

[Piotrek Quill]

Po raz kolejny nas zaatakowano :C

Prawdopodobnie atak poszedł z poniższych adresów IP:
173.254.216.66, 66.222.155.251, 195.176.3.24
Najpewniej atak poszedł jakimś brute forcem na konta adminów (Asami i Nori - > zostały im zmienione adresy email) a potem jakiś zapuszczony bocik po kolei kasował użytkowników i tematy (znikały na mych oczach).

Jest możliwość odzyskania forum do stanu sprzed ataku?

[Mich@ł]

Piotrek Quill, forum przywrócone. Hasła do kont administratorów zostały pozmieniane. Musicie je na nowo sobie przywrócić. Do kont email również pozmieniajcie hasła bo tutaj ewidentnie ktoś znał hasło do konta waszego administratora...

Ataki typu brutefotce są bardzo mało prawdopodobne bo trwają bardzo długo a i sam serwer również powinien taki atak zablokować.


Gdy już wszystko pozmieniacie to proszę o maila to nadam jednej osobie uprawnienia administratora.

[Mich@ł]

Piotrek Quill, ew jeszcze pomyślcie nad zmniejszeniem uprawnień. Zamiast 4 adminów z pełnymi uprawnieniami może warto dać np 2 i 2 junior adminów z mniejszymi uprawnieniami.

[życzliwy]

Przepraszam bardzo, ale że tak się wtrącę, może warto byłoby przyjrzeć się samemu składowi owego forum, który z niewiadomych przyczyn sam sobie rzuca kłody pod nogi, symulując włamania i zapominając o jednym, jakże istotnym szczególe? W internecie nic nie ginie moi drodzy, dlatego panu administratorowi wxv polecam zapoznać się z poniższymi screenami

[Mich@ł]

życzliwy, a jakieś logiczne wytłumaczenie sensu takiego działania ;)?

Przecież to nie ma najmniejszego sensu... ;)

[betina]

Mich@ł, co to za akcja była w sobotę ?
na naszym forum prawie zawału dostałyśmy gdy pojawił się komunikat:




edit. :nie mogę wkleić foty

w każdym bądź razie komunikat brzmiał, że forum jest w trakcie usuwania - czas do usunięcia to ok. 71h
w panelu admin. wstrzymałam to ciulstwo ale co to było?

[Mich@ł]

betina, było włączone czyszczenie jednak jeżeli forum było aktywne czyli logował się na nie administrator lub był napisany jakiś post w przeciągu 30 dni to nie powinno było go zablokować.

Widocznie musiało zle pobrać datę. Na tygodniu do tego zerknę.

Ogolnie raz w miesiącu, każdego 1 dnia miesiąca będzie samoczynne włączać się czyszczenie nieaktywnych forów.

[betina]

Mich@ł, ok-zerknij proszę bo jak nas wyczyści (a tu akurat trafiło na mój długi weekend) to będzie słabo :)

1 dnia każdego miesiąca tak? no to też będę czujna

[Mich@ł]

betina, już błąd znalazłem ;) Tylko miałbym jeszcze pytanie czy logujecie się czasem na konta administratora? Bo ostatnie posty pobrało poprawnie z ostatnich dni, natomiast ostatnie logowanie administratora było dość dawno.