Хакера заразил Павликенската ОБЩИНСКА мрежа

След като вече минаха два-три месеца откакто докладвах хакера, който зарази Павликенската ОБЩИНСКА МРЕЖА реших да ви споделя, какво се случи досега, но преди това нека ви покажа писмото, което изпратих до Община Павликени.

Здрасти Х*****, Казвам се Стефан и днес ти се обадих по телефона за да ти съобщя за системен пробив на pavlikeni.bg, който открих вчера. Въпросният файл е id.php и най вероятно е shell или pfishing скрипт, който се появи впоследствие понеже преди няколко месеца сканирах сайта и не намерих нищо подобно.

Директория: http://pavlikeni.bg/tmp/

• http://pavlikeni.bg/tmp/joomlapack.log

joomlapack.log – от този лог файл, който генерира невероятно абсурдни данни за системата най-вероятно е причината за пробива. Аз лично мога да видя доста скрити директории, версия на системата, модули и тн.

Преди да унищожиш доказателствата, моля да ми изпратиш файла http://pavlikeni.bg/tmp/id.php за да се опитам да проследя хакера и как евентуално е станало. Също така ако ми изпратиш и логовете на уеб-сървъра мога да установя как точно е станал пробива и къде е слабото място. Поздрави, Стефан

Ето част съдържанието на Вируса;

• ;if($_POST[„v“]
• {if(@copy($_FILES[„f“][„tmp_name“],
• {echo“bt;“.$_FILES[„f“][„name“]

Моето заключение:

1. Хакерите са намерили слабо място във сайта pavlikeni.bg, който не е обновяван от години (същото важи и за http://suhindol.bg/)
2. Започнали са процедура по разполагане на останалите части на вируса чрез файл на име id.php
3. 90% съм сигурен, че хакерите са върлували поне 2 месеца напълно необезпокоявани
4. 50% съм сигурен че хакерите са заразили всички компютри, които са паралелно свързани със pavlikeni.bg – рутери, хъбове, компютри на персонала
5. Информацията на pavlikeni.bg е публична и всеки има достъп, но нека се върнем на точка 4 – ако съм прав означава, че е придобит достъп до конфиденциална информация относно гражданите.
6. 50% съм сигурен, че са разбити електронните пощи на общината, което означава, че всички писма и тяхното съдържание са копирани.

Не съм сигурен дали Сухиндолска община е поразена от хакера Dr.SiLnT HilL, който успях да проследя до Египет, Полша и още 2-3 държави. Не мога да потвърдя, че е свалена поверителна информация от Сухиндол. Сигурен съм, че сайта на община Сухиндол не се обновява редовно, което е огромен риск за сигурността. Сигурен съм, че сайта на община Сухиндол се хоства на отделни сървъри от локалната мрежа, което е умен ход. И двата сайта нямат КРИПТАЦИЯ на данните! Струва 20-30 лева на година! Веднага след като се обадих на компютърният отдел на Павликени се свързах и със Сухиндол за да им докладвам за проблемите на съседите ни и евентуално да вземат мерки за предотвратяване на подобни Интернет вандалщини. Оставих личен номер, но никой не се свърза със мен. Надявам се, че личните данни на сухиндолци са добре защитени и не са откраднати без да се усетим. Ако чувствате, че трябва да алармирате общината да направи разследване, моля направете го! Аз съм готов да помогна. Със действията си не съм нарушил законите на Република България.

---