В то время, пока я не мог найти время разобраться что же случилось с моим блогом, это случилось снова! 2 раза за два дня - это слишком.

 


 
Решил что не стоит больше это откладывать на потом и сел внимательно просматривать логи. Практически сразу же нашел достаточно интересную строку:
2009-08-16 17:39:33 81.215.238.234 - W3SVC119 WINHOSTING2 194.54.88.53 80 PUT /index.html - 201 0 330 347 16 HTTP/1.0 Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1 - - 
 
Получается каждый нехороший человек желающий может залить любые файлы?! Нехорошо как-то... Сначала подумал что это всё настройки хостера, но проверив несколько других сайтов, расположенных на хостинге, понял, что данной уязвимости подлежат не все сайты. Интересно... Далее залез в панель управленя хостинга и обнаружил такое:
 
Доступ на запись в корневую папку доступен всем! Похоже что когда-то я  зашел на эту страницу и, абсолютно случайно(!) дал доступ на запись всем желающим. Как и когда (и в каком состоянии) это было сделано - это уже отдельная история.
А мораль всего этого такова: проверяйте все настройки, прежде чем нажать на кнопку "Сохранить".
 
P.S. А пингвин мне понравился :). 

Да, это всё-таки случилось. Товарищ по имени ZoRRoKiN хакнул мой блог. Произошло это, судя по всему, из-за моей глупости: лёгкий пароль на админку + старая и бажная версия движка BlogEngine.NET.

А случилось вот что:

На хочтинг были залиты файлы:

  • default.html, zorrokin.htm, index.html с следующим содержанием:

 

ZoRRoKiN

 

  •  ownz.htm с текстом:
    Command Tribulation Ownz your b0x
Также была добавлена пустая папка zorrokin.
Хорошо, что это был простой deface и вся информация осталась целой. Исходя из того, что на хостинге у меня под одним аккаунтом крутятся ещё несколько сайтов, которые не пострадали, то можно сделать вывод что это случилось либо из-за дыры в блоге, либо из-за неудачно выбранного пароля. В любом случае сейчас жду подробнуя статистику от хостинга.
 
P.S. Пароль я уже поменял :).