''Daramare'' website

Inteleg...multumesc mult pt sfaturi!

Daca a fost daramat cPanel-ul, cracker-ul (denumire folosita pentru infractorul informatic al carui scop este doar sa distruga, fara a avea avantaje financiare) a avut grija sa nu lase urme, chiar fara sa foloseasca un proxi server.
Eu cred in urmatorul scenariu:
- a identificat IP-ul de server (cu posibilitatea share enabled pe file sau print) si sistemul de operare (windows sau linux)
- daca serverul nu era bine configurat a reusit sa intre si in memoria cache de unde a luat lista de useri (inclusiv dvs.)
- urmatorul pas a fost identificarea serviciilor care rulau pe server si versiunea lor (versiunea serverului pe care erau stocate paginile de web) si astfel a putut gasi un exploit pentru ele
- a scanat standardul de comunicare intre documentele web si scriptul cgi (atat bin-ul cat si win-ul) dupa care a instalat backdoor-ul pe server (in functie de sistemul de operare)
- a decriptat fisierele, le-a editat pentru NT ori a rulat un script care l-a dus in root pentru Unix
- dupa ce a aflat toate parolele, "numarul de la pantofi" si "cand este ziua de nastere a catelului prietenei dvs" (asta inseamna ca acel server nu mai are nici un secret pentru cracker) a sters IP-ul lui din fisierele de log.

Poate va ajuta informatiile continute de scenariul meu si il prindeti in variabilele de mediu ale cgi-ului, in cazul in care a uitat vre-o urma.

Proverb informatic: cine nu face backup merita sa piarda datele!

Teoretic, a investiga un jaf mascat sau un omor e mult mai complex decat a investiga un atac informatic. Acuma, nu e clar ce daune a produs, ca sa merite o investigatie penala internationala de cel putin 50 000 RON iar daca a stiut sa-si ascunda urmele nu poate fi prins (de ex. a folosit VPN fara tinere de loguri sau TOR). Firefox ESR fusese spart la un moment dat de NSA pentru a prinde infractorii care foloseau TOR, dar trucul e expirat si nu era musai sa foloseasca Firefox.