Меня тут немного взломали

Воры - это всегда неприятноЯ пишу это для тех немногих моих друзей, которые пока меня читают.

Да. Меня в этом январе взломали. Взломали сайты. Взломали инстаграм. Взломали скайп. И это только то что я знаю. Будь я параноиком, я бы думал, что это атака лично на меня, но скорее всего это такое стечение обстоятельств.

Спойлер: сайты на месте, скайп и инстаграм аккаунты ушли безвозвратно.
Итак по порядку

Взломали инстаграм
==============================
У меня нет никаких идей, как это произошло. Скорее всего подобрали пароль. Пароль там был, надо сказать плюшевый. Поскольку я никогда не воспринимал инстаграм, как что-то ценное, что надо защищать. Мне казалось, что лёгкость запоминания пароля для меня важнее.

Буквально на днях я обнаружил в почте уведомление от инстаграма, что у меня какая-то странная активность происходит на аккаунте, и если это не я, то пора менять пароль. Я бы даже не обратил внимания, если бы не заметил, что мой андроид перестал логиниться с инстаграмом, явно были проблемы с паролем.

Короче, я восстановил пароль(пришло на мыло) и охренел. Фотки на месте, мои дети, моё домашнее котэ и прочая фигня. А вот на аватаре стояло что-то похабное с сиськами, описание в духе «я классная тёлка хочу познакомиться» на английском. И главное — я оказался подписан на ~500 каких-то арабов, негров, и азиатов. Жесть ребята.

Зачем взломали? Фиг знает, видимо кто-то предоставляет услуги накрутки подписчиков, и им нужны полудохлые аккаунты. Тупо для счётчика похоже.

После того как я восстановил, что мог восстановить, после чистки списка подписки всё вроде вернулось. Но я заметил, что в день я подписываюсь на 2 новых негра/араба. Как — ума не приложу!
У я чо — удаляю из подписки. Не хочу я их видеть в своей ленте!

А потом у меня аккаунт просто исчез. Похоже просто удалён. Возможно жалоба была какая-то? Фиг знает. Вот такая история

Не скажу, что что-то ценное потерял. Но ощущение, будто кто-то залез к тебе в дом и нагадил на ковре. Ты делаешь фотки того что тебе дорого и интересно, детей, хобби, делишься с друзьями, а тут набегают какие-то непонятные люди с грязными намерениями…

Оглядываясь назад, я думаю, что стоило сделать пароль сложнее. Хотя бы чтобы не испытывать потом эту гадливость.

Взломали скайп
==============================

Представьте, вы взломали чей-то аккаунт на инстаграме, у вас на руках пароль и емейл человека. Какова вероятность, что где-то он использует такой же пароль и емейл?

В общем ребята, всё плохо. Я настолько лох, что использовал на скайпе тот же плюшевый пароль, что и на инстаграме. И если на инстаграм плевать и забыть, то скайп оказался для меня критичной потерей. Я бы сказал критичной для бизнеса.

Мало того, что там остались куча контактов моих клиентов, но и история переговоров, а там просто тьма паролей! Страшно подумать, сколько там было клиентских паролей за всё время существования аккаунта! И это всё оказалось в руках реальных взломщиков, которые реально охотятся за чужими паролями! У меня просто волосы дыбом встают …

В общем, я напряг всех клиентов кого вспомнил, чтобы срочно меняли все пароли

Восстановить аккаунт я не могу. Емайл там поменяли. Сейчас на моём бывшем аккаунте в скайпе какой-то левый чувак, который косит под француза (скорее всего им не являясь). Вполне возможно он с кем-то там общается от моего имени. С женой он переписывался, пытаясь изобразить французский. При этом использовал кириллицу… Ага…

Взломали сайты
============================
Ну тут как раз обошлось с минимальными потерями.

На мои сайты был внедрён вредоносный код, что-то вроде SSDORGEN. Пострадали сайты исключительно на wordpress. От очень древних версий до самых свежих.
Думаю это произошло где-то в начале января 2015 года.
Прикладываю для рассмотрения файлы.
* /wp-includes/cli.php — cобственно вредоносный код.
* /wp-includes/cache.php — точка где он подключается.

Вредоносный код сработал только на сайте одного моего клиента, в результате чего Google убрал его из выдачи. В других случаях код НЕ сработал, поскольку был подключен неправильно, и просто вывелся прямо на странице. Видимо эксплоит не рассчитывали на старые версии WP.
Самописные сайты не зацепило

Удаление этого вредоносного кода для меня не так сложно. Гораздо большая проблема — понять как он ко мне пришёл. К сожалению у меня есть лишь версии

1. Есть вероятность, что найдена какая-то уязвимость в WordPress.
Но непонятно, почему тогда эта уязвимость присутствует во всех версиях сразу. От новейших до древнейших. Вариант какой-то фантастический, дело в том, что WordPress так сильно изменился за 5 последних лет. Я сильно сомневаюсь, что там есть одинаковая уязвимость сразу во всех версиях.

2. Есть вероятность, что есть какая-то уязвимость в самой ОС. Мне в поддержке проекомендовали поменять сервер, что я и сделал. В связи с этим и переезд

Короче фиг знает. Живём дальше, смотрим

PS: Ребята — срочно проверьте свои пароли! Все! Сделайте их сложными и разными. Да, это будет геморрой ещё тот, но оно того стоит.
Поверьте!

Меня тут немного взломали: 3 комментария

  1. V.exeR

    Ничего себе «немного»!
    Для упрощения жизни можно использовать схемы, типа «название сервиса+постоянная для всех паролей устойчивая для перебора часть». Например, «instagram4t0b_ty_sd0x». Я по похожей схеме работаю, на каждый сервис отдельный стойкий пароль.

  2. altesack Автор записи

    Надеюсь ты тут не свой настоящий пароль приложил? :)
    А схема интересная… Только зря ты её рассказал, мне кажется

  3. zeleboba

    У меня аналогично недавно увели Instagram, который был пустой, ибо сервисом не пользуюсь, но просто застолбил себе некогда ник. А вдруг :) И тоже самое — сообщение, что я девушка, знакомлюсь и т.д. Но дальше этого дело не зашло. Сменил пароль и вроде притихло всё.

    А про пароли, кстати, использую ту же логику, что и Борис :)

Комментарии запрещены.