Atak hakerski na TopCzat.PL
Komunikat techniczny — incydent bezpieczeństwa (Topczat.pl)
W dniu 2025-10-04/05 wykryliśmy nieautoryzowaną aktywność na serwerze hostingującym serwis Topczat.pl. Objawy: nagłe zużycie pamięci i krótkotrwała niedostępność usług.
Jak wyglądał atak (skrót):
Atakujący uruchomił złośliwny program w postaci plików ELF (pod nazwami /var/tmp/apt.log oraz /home/test/.bash_logout) uruchamiany z konta systemowego test.
Złośliwy proces replikował się i obciążał zasoby VPS co spowodowało częściowy zanik usług.
W logach zaobserwowaliśmy liczne podejrzane próby dostępu i połączenia z adresów zewnętrznych.
Podjęte działania (natychmiastowe):
Zatrzymanie i zabicie procesów złośliwego programu.
Zablokowanie i usunięcie kompromitowanego konta (test).
Usunięcie wykrytych plików złośliwych (/var/tmp/apt.log, /home/test/.bash_logout, inne podejrzane pliki).
Usunięcie wpisów crona i wyłączenie automatycznych uruchomień powiązanych z infekcją.
Zablokowanie podejrzanych adresów IP na zaporze oraz aktualizacja reguł Fail2Ban.
Skan systemu narzędziami bezpieczeństwa (rkhunter/chkrootkit) i kontrola binarek wykonywalnych poza kontenerami Docker.
Przywrócenie działania usług i restart serwera po czyszczeniu.
Wzmocnienie zabezpieczeń SSH i rekomendacja zmiany haseł.
Co rekomendujemy użytkownikom:
Zmień hasło do konta na Topczat.pl, jeśli logowałeś się w ostatnich 48 godzinach.
Zgłoś każdą podejrzaną aktywność na swoim koncie pod adres: admin@topczat.pl
.
Jeśli korzystasz z tej samej pary login/hasło na innych serwisach, zmień je tam natychmiast.
Status: Usługi zostały przywrócone. Dochodzenie trwa. Kontynuujemy monitorowanie i dodatkowe hardeningi systemu.
Przepraszamy za utrudnienia. Dziękujemy za zgłoszenia i współpracę.