Комментарии 5
Увлекательно. А удалось установить в какой момент между 21.11.2023 и 28.06.2024 был выгружен дамп и каким способом? Условным курлом на третий ресурс?
По результатам анализа логов за 2024 год успешных обращений к файлу, который содержит дамп БД сайта или его скачивания, не выявлены. Access-логи веб-сервера за 2023 год частично потерты. Мы продолжаем искать следы обращения к файлу и его скачивания, чтобы установить в какой момент атаки произошла компрометация файла.
Вполне честный ответ, считаю, как сотрудник организации в отношении которой Jet сейчас проводит pentestы. А простите мой наивняк, если включен atime на файловой системе может ли помочь условный stat -c '%x %z' file.name?
Вы правы, команда stat с указанными параметрами выведет время доступа к файлу. Но в нашем случае метки к файлу дампа были изменены, поэтому опираться на них для определения момента выгрузки мы по понятным причинам не можем.
Наша рабочая гипотеза заключается в том, что дамп был выгружен 28.06.2024 после загрузки веб-шелла system.php в период с 11:36 до 11:42 по мск.
Лучший инцидент-респонс в моей жизни. Молодцы.
Дефейс jetcsirt.su: разбираем причины и восстанавливаем хронологию