+2
Отвечен

Взломана статика. Украдены деньги

golnet 2 года назад обновлен 2 месяца назад 8

30 июня была взломана база данных. Каким образом, до сих пор разбираюсь. Вероятнее всего через порт mysql

В логах на авторизацию сервака удачных авторизаций нет.

Так вот был подменен яндекс кошелек в базе данных.

В базу данные данные поступали - на кошелек нет. Заметили только после выходных.

И как теперь решать эту проблему, чтобы следующего раза не было?

На рассмотрении

Соболезнуем

firewall закрыть.

Биллинг обновить до последней версии.


Еще почистить rootkit с сервера стоит а так же проверить на его наличие.

В вики у нас были рекомендации по безопасности

firewall закрыт.

Но выяснилось, что phpmyadmin доступен из интернета.

Сейчас закрою его.

Но как-то очень все ненадежно, что кто-то мог знать где в sql выставлять номер кошелька.

Придется каким-то образом обходить этот вариант.

Закрытие phpMyAdmin в вашем случае уже не поможет. Напишите на mikbill@mikbill.ru, вам отправят инструкцию "по лечению" и рекомендации по безопасности. 

Добрый день, аналогичная ситуация. Подскажите нашли места уязвимостей? и как решили.

Переустановил с 0 систему, перенес базу. и ситуация повторилась через месяц

Судя по тому, что разработчики не заинтересованы в безопасности собственного продукта, никакой информации, кроме как обновить систему они не дали. У меня вообще стало складываться впечатление, что они сами-же и взламывают сервера тех, кто не обновляет их систему. Других вариантов мне не приходит в голову, т.к. в интернете не нашел ничего, чтобы рассказывало как всем этим пользуются. А взломы продолжаются, даже с учетом того, что практически все перекрыто снаружи фаерволом, кроме доступа к статистике и платежным системам. Мало того меня поражает то, что злоумышленники каким-то образом не только попадают в базу данных mysql и хорошо в ней ориентируются, но и удаляют/правят файлы так-же хорошо ориентируясь, что нужно конкретно делать. При всем том, что не найдено ни одного руткита в системе. В логах системы полная тишина. И это только происходит на биллинговой системе. Больше ни на одном из серверов ничего не наблюдается даже близко. Вывод напрашивается сам собой.

не злоумышленник, но это обратный реверс инженеринг, ставим себе демку. Делаем бейкап базы меня кошелек. Делаем новый бейкап.  Делаем diff бейкапов. Профит. С подменой файлов тоже всё просто. 

а кто додумался сервак с биллингом выставлять в инет на прямую? ежу понятно что каждый в новь установленный сервис пудет правть фаервол... да и в любом случае приватные уязвимости не кто не отменял... топик стартер сам виноват... для таких вещей в сеть ставят ядро

Сервис поддержки клиентов работает на платформе UserEcho