Rzadko wchodzę na swój profil jednak dzisiaj to zrobiłem i zobaczyłem dziwną rzecz. Mianowicie jako stronę domową miałem ustawiony adres http://www.gory.pun.pl, którego nawet nie znam i nigdy nie podawałem. Na szczęście po zmianie w ustawieniach pokazuje już to co wpisałem jednak chciałbym wiedzieć skąd się wzięła poprzednia zawartość.
Brzmi groźnie.
Twoich zmian profilu użytkownika było jedynie trzy (po usunięciu kilku pod rząd w ciągu minut):
Zdarzenie | data | IP (przycięte) |
---|---|---|
Uaktualnienie profilu użytkownika | wczoraj, 14:02 | 217.153.. |
Uaktualnienie profilu użytkownika | 2014-03-28 15:28 | 78.8.. |
Uaktualnienie profilu użytkownika | 2014-02-04 08:53 | 95.48.. |
Najnowsze (217.153..) IP jest na pewno legit (to wczorajsza poprawa)
Najstarsze (95.48..) IP to prawie na pewno nie to -> sporo z niego pisałeś.
Średnie (78.8..) IP wygląda ciekawie -> wszystkie zalogowane zdarzenia to:
Zdarzenie | data | IP (przycięte) |
---|---|---|
Uaktualnienie profilu użytkownika | 2014-03-28 15:28 | 78.8.. |
Edycja postu | 2014-03-28 15:26 | 78.8.. |
Edycja postu | 2014-03-28 15:25 | 78.8.. |
Logowanie do systemu | 2014-03-28 15:21 | 78.8.. |
Edytowany post to ten -> http://4programmers.net/Forum/C_i_.NET/209294-xml-rpcnet_i_wordpress_api_-_kategorie?p=910781#id910781.
A te edycje też interesujące:
Oryginał (2012-12-25 15:45):
Próbuję stworzyć aplikację do wrzucania postów na wordpressowy blog. Korzystam z biblioteki xml-rpc.net w wersji 3.0.
Po pierwszej edycji (2014-03-28 15:25):
Próbuję stworzyć aplikację do wrzucania postów na wordpressowy blog. Korzystam z [url=http://socjolog.strefa.pl/biblioteki.html]biblioteki[/url] xml-rpc.net w wersji 3.0.
Po drugiej edycji (2014-03-28 15:26):
Próbuję stworzyć aplikację do wrzucania postów na wordpressowy blog. Korzystam z biblioteki xml-rpc.net w wersji 3.0.
UA z którego dokonano edycji Mozilla/5.0 Windows NT 6.1 rv27.0 Gecko/20100101 Firefox/27.0
- FYI, sam wiesz czy używasz firefoxa.
Więcej informacji dałoby się wyciągnąć z bazy być może, ale wydaje mi sie że po prostu ktoś (jakiś bot? Edycja z zamianą biblioteki na bb code wygląda na typowego bota, ale kto pisze boty targetowane na 4p ;) ) wpadł Ci na konto i próbował szerzyć spam. Ani go nie wykryje ani nie jest stałym userem (bb code, poważnie?), ani do żadnej odpowiedzialności nie pociągnę (bo i jakiej), więc na Twoim miejscu zmieniłbym hasło dla pewności i zapomniał o sprawie.
PS. może mieć to związek z logowaniem się do sieci uczelnianej, ostatni raz kilka dni wcześniej - przykładowo może jakiś ambitny/ciekawy świata student Cię MitMował a Ty zaakceptowałeś niepoprawny certyfikat
PPS. Fun fact - z tego ip z którego ktoś edytował posty/profil, nie korzystał nikt jeszcze (poza edytujacym). Z podsieci 255.255.255.0 korzystały w sumie 4 osoby - edytujący, jeden użytkownik kilka razy i przede wszystkim... ja :> (dosłownie tylko o 3 w najniższym oktecie się te IP różnią). Nic z tego nie wynika, taka tylko ciekawostka - ten sam ISP, może nawet jesteśmy sąsiadami
@msm Również dzięki za analizę.
Widać, że włamanie jest najbardziej prawdopodobne, bo po pierwsze z Firefoxa praktycznie nie korzystam nawet na uczelni (tylko nagłe wypadki ale wtedy się nie loguję nigdzie tylko szukam w google :P tak to zawsze Chrome albo IE mobilne). A jedyne co w tym roku zmieniałem w profilu to tekst dodawany pod postami i to będzie to z lutego prawdopodobnie.
Ten motyw z certyfikatem jest możliwy bo to co uczelnia nam wydaje oszczędzając parę stów rocznie też porządnym certyfikatem nie da się nazwać i trzeba akceptować czasami na słowo honoru więc łatwo się pewnie podszyć.
Ok, w takim razie zmienię hasło i włączę powiadomienia o logowaniu.