взлом через Roundcube
Posted: Sat Apr 18, 2020 6:47 pm
Сегодня пришло письмо от хакера на английском языке, что он взломал сервер и требует 1500$ в биткоинах, чтобы не разглашать данные клиентов и не ронять репутацию компании. Говорит, что есть спарсенная база данных. Никаких доказательств не предоставил.
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?
Как обычно я подумал, что это просто спам.
Однако полез в логи и увидел подозрительную активность до этого письма в "исследовании" Roundcube и поиске дыр с ним связанных.
Жалею, что не закрыл вообще Roundcube после установки VestaCP.
Вопросов несколько:
1. известны ли случаи взлома через Roundcube что дефолтом идёт к VestaCP?
2. если хакер таки взломал, то как определить, что он сделал и что удалось утащить? Подскажите, куда стоит копать. Судя по списку измененных файлов за отрезок времени когда были попытки взлома, файлы не были изменены или следы были заметены.
3. если в Roundcube не было писем (вся почта переадресовывается), то какую базу данных хакер может скачать, к каким данным получить доступ?
5. как вообще закрыть Roundcube? Какие приложения и директории помимо phpmyadmin вы бы посоветовали закрыть?