На сайте добавили новые разделы. Теперь нужно туда перенести часть старого контента. К сожалению, сайт устроен так, что нет удобного способа это сделать через интерфейс администратора, возникают проблемы. Поэтому прислали мне список изменений, который я собирался воплотить в жизнь с помощью SQL-скриптов.
Но уже в тот же день некоторые разделы оказались частично наполнены контентом. А я-то ещё ничего не делал! Не сразу поверил, но факты налицо: да, наш сайт опять взломали. То, что взломали - само по себе не так уж удивительно. Движок написан на PHP почти семь лет назад, да и не в самом лучшем стиле. Многие явные дыры я исправил, но наверняка, если хорошо покопаться, то можно найти уязвимость.
Удивительно, что хакер, похоже, не сделал, ничего плохого. Он закрыл одну потенциальную дыру в безопасности, да ещё и практически без ошибок внес изменения в базу данных. Т.е. у этого человека есть не только технические навыки, но он ещё и разбирается в нашей тематике. Наш фан, так сказать, который решил помочь своему любимому сайту.
В принципе, один подозреваемый есть. Один парень в свое время сообщил нам о нескольких местах, где можно было сделать SQL Injection. Но доказательств нет.
Было, правда, и другое объяснение в духе Shutter Island: может, у меня провалы в памяти, и изменения я внес сам?
Скачал архивы с логами IIS. Нет, похоже, я таки не шизофреник: и свежий архив логов за март, и один из старых архивов были модифицированы сегодня. Похоже, что он давно что-то прощупывал, а теперь замел следы. Но, опять-таки, это сделано очень аккуратно! Ведь хакер мог просто грохнуть компрометирующие его логи, а не возиться с редактированием!
Это прямо какой-то капитан Немо или Супермэн вируального мира...
2 комментария:
вы же можете всю компанию потерять таким способом...
Речь не о моей работе, это наш маленький семейный сайт.
Отправить комментарий