Взлом пароля админа

Главные вкладки

Аватар пользователя Kublahan Kublahan 26 января 2015 в 17:34

Привет! У меня сайт на drupal 7. С моего последнего посещения остался незавершенный сеанс у меня на компе. Сегодня обнаружил, что логин админа переименован и пароль его сменен. Спасло меня то, что в этом незавершенном сеансе я смог зайти в админку и сменить пароль. Скажите, как могли злоумышленники такое сделать? Пароль до этого был сильный. Где можно в логах посмотреть, когда произошла смена пароля и логина?

Комментарии

Аватар пользователя remmor remmor 26 января 2015 в 18:23

"Kublahan" wrote:
Привет! У меня сайт на drupal 7. С моего последнего посещения остался незавершенный сеанс у меня на компе. Сегодня обнаружил, что логин админа переименован и пароль его сменен. Спасло меня то, что в этом незавершенном сеансе я смог зайти в админку и сменить пароль. Скажите, как могли злоумышленники такое сделать? Пароль до этого был сильный. Где можно в логах посмотреть, когда произошла смена пароля и логина?

Может получили доступ через FTP - а там уже несложно, данные базы есть. В базе уже сменили почту - и через "Забыли пароль"

Аватар пользователя amator amator 26 января 2015 в 18:26

На счёт логов не знаю, но если ты сохраняешь пароли в интерфейсе браузера (при входе на сайт), то этого КАТЕГОРИЧЕСКИ делать не стоит. У меня так на бирже ссылок деньги увели XD. Не много правда, но обидно было всё равно. После чего я почистил комп антивирусом (мало ли вредоносная прога какая закралась) и с тех пор никогда не сохранял пароли в браузере.

Аватар пользователя Chyvakoff Chyvakoff 27 января 2015 в 8:35

"amator" wrote:
с тех пор никогда не сохранял пароли в браузере.

Всю жизнь сохраняю пароли в браузере. Ни разу пароль не уводили.

Аватар пользователя Orion76 Orion76 27 января 2015 в 9:00

"Chyvakoff" wrote:
Всю жизнь сохраняю пароли в браузере.Ни разу пароль не уводили.

Таки ДА.. Если к браузеру гарантировано не имеют доступ сторонние, "ненадежные" личности, то "взлом" с этой стороны маловероятен.

Гораздо вероятнее сохраненные ftp-пароли в ftp-менеджерах и т.п.
FTP для доступа к файлам сайта использовался?
логи ftp-доступа должны сохраняться на сервере.

Так же в логах друпал должно что-то сохраниться про логин админа, смену учетных данных, запрос на изменение пароля и т.п.

Аватар пользователя amator amator 28 января 2015 в 2:03

"orion76" wrote:
Если к браузеру гарантировано не имеют доступ сторонние, "ненадежные" личности, то "взлом" с этой стороны маловероятен.

Маловероятен, до тех пор пока до твоего браузера не добралась шпионская программа - это не фантастика, а реальность. Мой пароль вскрыли, бабки увели и никакого FTP там и рядом не было. Самый надёжный способ хранения пароля - это твой мозг, ну или блокнот. Блокноты пока шпионские программы вскрывать не научились XD

Аватар пользователя Chyvakoff Chyvakoff 5 февраля 2015 в 10:43

amator wrote:
"Chyvakoff" wrote:
Всю жизнь сохраняю пароли в браузере. Ни разу пароль не уводили.

Жди "жареного петуха" XD

Сколько лет уж жду...
а если не посещать всякие шлаковые сайты и пользоваться антивирусом-какова вероятность дождаться петуха в ближайшем будущем?

Аватар пользователя amator amator 27 января 2015 в 16:27

"kosHta" wrote:
так что не надо понтоваться своими пролётами

Ты дебил что ли, где здесь понты??? Я написал, что пароли из браузера спокойно могут увести и у меня так и было и это как ещё один вариант, каким образом у него могли вскрыть аккаунт.

Аватар пользователя Kublahan Kublahan 27 января 2015 в 17:08

"remmor" wrote:
Может получили доступ через FTP - а там уже несложно, данные базы есть.

Зашел на хостинг сайта через ftp и посмотрел. В корне сайта лежит свежий файл backup20144.php. Я его скачал, так nod32 начал орать, что "PHP/Obfuscated.F потенциально нежелательная программа"
Это вирус. Других файлов "чужих" больше нет.
Что теперь надо сменить, что обезопасить себя на будущее?

Аватар пользователя amator amator 27 января 2015 в 18:00

"Kublahan" wrote:
Что теперь надо сменить, что обезопасить себя на будущее?

Ну перво-наперво поменяй пароль в аккаунте, на хостинге и если ты раньше сохранял его в браузере, то лучше воздержись от этого теперь. Ну и пароль на FTP-доступ к сайту тоже поменять не помешает. Это из самого простого. Так же вполне может быть что это был не последний "вредоносный" файл и если доступ опять вскроют, то придётся ставить "чистый" друпал (со всеми модулями, которые у тебя стояли) и восстанавливать базу данных из резервной копии.

P.S.: резервную копию лучше сделай сейчас, пока у тебя есть доступ к сайту.

Аватар пользователя Kublahan Kublahan 27 января 2015 в 17:43

Вот кстати отрывок из вирусного файла. Точками я убрал длинный текст из него

<?php
$bpass="cEFhf";
eval(gzinflate(base64_decode('DZfFDsRGFkX3+/...........++19//PPff//zfw==')));
?>

Что это значит?

Аватар пользователя amator amator 27 января 2015 в 17:46

"Kublahan" wrote:
Что это значит?

Посмотри в инете. Если я не ошибаюсь есть сервисы или программы которые переводят из base64_decode, в понятный код и наоборот. Как то так. Тогда может и понятнее будет что там.

Аватар пользователя amator amator 5 февраля 2015 в 11:34

"Chyvakoff" wrote:
какова вероятность дождаться петуха в ближайшем будущем?

Сложно сказать. Жареный петух он такой - клюёт сцука когда этого совсем не ждёшь. По поводу шлаковых сайтов - и на нормальных сайтах (на которых у "простых смертных" есть возможность выкладывать файлы), можно подхватить вирус. По поводу антивирусов - идеальных антивирусов нет, не так ли? Всегда есть лазейка, в которую "бравые ребята" захотят пролезть.

Просто ради интереса смоделирую ситуацию: ты зарабатываешь на биржах ссылок, статей или других сервисах ~ 30000 рублей в месяц. Вопрос - будешь ли ты сохранять пароли в браузере?
Аргументы за:

1) ты уверен в своём антивирусе;
2) ты не лазишь по шлакосайтам;
3) у тебя член 25 сантиметров... хотя это вряд ли поможет XD ;

Аргументы против:

1) у тебя распланирован бюджет (с учётом этих средств) +-2000 рублей;
2) не хотелось бы дарить даже 10 рублей каким-то хакерастам;

Вопрос ради интереса, да и просто диалога ради. )

Аватар пользователя Chyvakoff Chyvakoff 5 февраля 2015 в 15:46

amator, везде где крутятся деньги - либо невозможно их вывести на левый кошелёк, либо пароль приходит по смс. Взять те же яндекс деньги, сбербанк онлайн или вебмани. Тут хоть логин с паролем в открытый доступ выкладывай, без номера телефона не залогинишся всё-равно.

Если на бирже ссылок, с которой имеешь тридцатку в месяц нет авторизации по смс-нахер такая биржа. Если есть, но пользователь ей не пользуется-сам дурак.

Теперь я смоделирую ситуацию. Попала на компьютер какая-то дрянь, которая может скачать сохранённые в браузере пароли и перехватывать клавиатуру. Какая разница-сохранишь ты пароль в браузере или нет-пароль уйдёт, так как клавиатура тупо перехвачена. Смысл тогда "безопасности" в несохранении паролей вбраузере.

И напоследок. Переустанавливал я недавно винду. Хотел сохранить все настройки оперы. Сохранил значит файл с экспресс панелью и закладками. Перенёс, с этим всё норм.
С файлом паролей всё посложнее. Логины и сайты там видны, а пароли зашифрованы. В шифровании применяется соль, которая зависит от ОС. И установив новую винду, на тот же комп, с того же дистрибьютива, эта соль изменится. И расшифровать эти пароли будет невозможно.

Аватар пользователя amator amator 5 февраля 2015 в 19:37

В принципе всё логично изложил. Кстати по поводу экранной клавиатуры, вещь по моему очень полезная, немного муторно на первых порах, так как набрать пароль (особенно длинный) гораздо быстрее на реальной клаве, но со временем привыкнуть можно. Ну или можно по полной удариться в паранойю и набирать пароль посредством клавиш Alt+Num1, Alt+Num85 и тому подобное )

Аватар пользователя Chyvakoff Chyvakoff 6 февраля 2015 в 12:16

Экранная клавиатура-да.
Но если вредоносная программа умеет перехватывать данные - хоть по сканеру отпечатка пальца авторизовывайся-данные всё равно уйдут.