The attacker (based on the language of the blog (Indonesian)) is presumably overseas. Can i track them down and prosecute?
Direi di no; a meno che tu non sia un cittadino multinazionale (che può più facilmente spendere risorse per cacciare le persone in paesi stranieri) - questo quasi certamente non valuterà il tuo tempo. Ma questo non è un consiglio legale, quindi devi fare la tua valutazione qui. Le possibilità di ottenere qualsiasi ricompensa sono incredibilmente piccole.
In termini di come sono entrati, avrai difficoltà a meno che tu non abbia già investito in IDS (Intrusion Detection Systems) di qualche natura. La regola d'oro qui è che una volta compromessa - non puoi più fidarti della macchina . L'attaccante potrebbe aver cancellato i log, modificato i timestamp, ecc. Analogamente a dove proviene - il tuo ISP potrebbe essere in grado di aiutarti (se sei sicuro che sia indonesiano - chiedi tutto il traffico da / verso l'Indonesia, assumendo che non sia un paese con cui spesso intrattengono rapporti commerciali).
È possibile consultare i registri sul server, in particolare i registri di accesso HTTP: il vettore di attacco più probabile per un server HTTP con connessione Web avverrà tramite software Web non sicuro. Controlla le versioni del tuo software per i noti problemi di sicurezza (Wordpress è piuttosto famoso per questo), controlla che le tue password non siano semplicistiche.
Lo scenario più probabile è che alcuni worm automatizzati, probabilmente usando Google, hanno scoperto che il tuo sito stava eseguendo un po 'di software con una vulnerabilità succosa e lo ha colpito. Sto speculando, ma senza ulteriori dettagli, è probabile che siamo dove siamo. Se sei su un host web pubblico e tutti i tuoi file o cartelle sono scrivibili in tutto il mondo, potrebbe trattarsi di uno qualsiasi degli altri siti ospitati sul tuo server.
Supponendo di trovare qualcosa; contatta le forze dell'ordine locali se pensi che punti da qualche parte, ma non terrei il respiro. Se ti trovi in un governo o in un'azienda di grandi dimensioni, dovresti avere un team, un'agenzia o simili da segnalare per assicurarti di fare .
Il bello è che, dato che puoi non fidarti più della macchina (in grassetto di nuovo, è importante), l'opzione migliore è ricominciare . È dura, ma se hanno un amministratore locale, ti rimetteranno di nuovo a martellate.
Si smette di essere una domanda di sicurezza una volta che sei stato effettivamente compromesso - dai un'occhiata a link per altri consigli, ma inizia a diventare una domanda di rischio legale per la tua organizzazione (costa migliaia stare giù? Vale la pena avviare un server forse cattivo?)
Crea di nuovo tutto, aggiusta tutto, ripristina il tuo ultimo backup del database. Quando metti insieme il server, assicurati di posizionare una linea di base sicura ( Processi di certificazione del server ) in modo da poter esaminare i registri salvati su una macchina diversa, di cui ci si può ancora fidare.