Как устроить ловушку для хакера, или достойно отбивать атаки?

432

11 мая 2017, 13:59

Ребята выручайте. Меня взломали и в наглую соединились со мной требуя денег.Я новичок в этом деле и думаю что пока научусь то офис скорее снимет мня с работы.

Недавно стал сайт зависать,похоже было на ddos атаку.Забанил его по IP,но бесполезно.Я устал бегать за IP и банить их,да и в принципе это не выход.Просто когда с хакером переписывался он сделал ряд проколов сказав что может сделать даже мою базу данных.А когда проверял базу во время перегрузок то на нее никаких нагрузок не было в основном на сервер.Меняю всякий раз все возможные пароли но сволочь :) беспрепятственно обходит их.

И так шаря да выискивая слабые места наткнулся на то что мой сервер выдает страницы не только по index.php, но и по abc.php, xyz.php.Не знаю блин но носом чую что гад припрятал какой то файл и обращается к нему Где и идут тормоза заполняя канал на 100%.Базу удалить в принципе можно будет изнутри этого файла (DELTE FROM tbl_name).

Как можно найти этот файл, или как можно понять какой то необычный вход на сервер ? У меня symfony 1.4 PHP фреймворк.Сайт 5 летней давности.Писать его заново ? (не вариант,по крайней мере не сейчас).Что я пропустил на уровне хранения лишнего файла ? Или не в ту сторону копаю ?

Я слышал от друзей что в 90 % за этим стоят конкуренты.И в обратку хакнув его чаще всего ддос прекращается.Но мысль навредить кому то из за своей слабости чето невдохновляет.

Если этот вопрос неуместен тo извините,Скажите где задавать я удалю и там задам.

Буду рад любому ответу.

Ребятааааааа где вы. Прошу помогитеeee !!!!!!!!!!

Answer 1

Как минимум сделай это

Сделай бэкапы всего
Ищи в проекте новые файлы по дате
Проверь где-то свои исходники, мб по уже существующей сигнатуре вируса найдет что-то.
И самое главное, не понятно по какой причине вы еще используете symfony 1.4.
Я думаю возможно есть баг в этой версии или у вашем коде.
Посмотрите места там где у вас загружаются файлы.
Поставьте модуль для Nginx (если он стоит, если нету, ставьте) модуль для анти ддоса. Вот статья https://habrahabr.ru/post/139931/
Соглашусь с комментариями, поищите в проекте grep'ом eval

Answer 2

Заранее извините за советы на уровне КО. Однако...

Обратите внимание на специфику вашего проекта. Если ваши клиенты из России, обрубите все иностранные ip. Очень вероятно, что злоумышленник ходит к вам через зарубежный прокси.

Предлагаю разместить на главной форму интересную для злоумышленника, но не интересную для клиентов. Например, вход для дилеров/оптовиков/партнеров. Скорее всего злоумышленник попытается атаковать новую форму, засветив свой ip.

Оцените вероятность внутренней угрозы. Возможно ли, что это кто-то из сотрудников организации?

Попробуйте публичные сканеры безопасности, типа таких https://observatory.mozilla.org/ Конечно эти сервисы достаточно параноидальны и не все нужно внедрять на рабочих проектах. Но может быть вам удастся закрыть какие-либо дыры.

И на мой взгляд хорошо бы поставить в известность руководство. Возможно это поможет найти средства на платный аудит безопасности.