Atak nie tylko na Joomlę
Wyniki 1 do 9 z 9

Temat: Atak nie tylko na Joomlę

  1. #1
    Debiutant
    Dołączył
    15-08-2006
    Wpisy
    10
    Punkty
    10

    Domyślny Atak nie tylko na Joomlę

    Witam ze względu na brak działu o bezpieczeństwie zamieszczam post tutaj.

    Objawy: Brak strony www - wyświetla się tylko białe tło nawet w źródle strony nie ma tagów

    Diagnoza: na serwerze pojawiły się pliki php o różnych nazwach (najczęściej myserver.php, server.php, xdews.php) pliki te zawierają coś w rodzaju exploida napisanym w php po pobieżnej analizie (skrypt ma ponad 6000lini kodu) przedstawię jego możliwości:
    1. plik znany jest w światku jako c99shell.php
    2. wskazuje na witrynę http://ccteam.ru
    3. interfejs skryptu można obejrzeć pod linkiem http://64.233.183.104/search?q=cacheUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd =1&lr=lang_pl&client=firefox-a
    4. skrypt próbuje przejąć kontrolę nad maszyną (windowsową lub *nix) po czym przesyła ważne informacje takie jak:
    • 100 lini z pliku z hasłami systemowymi
    • robi zrzuty baz danych serwera mysql i wysyła na ccteam.ru
    • przeszukuje dyski i listuje w poszukiwaniu plików zawierających w nazwie config
    • przeszukuje i listuje pliki .htpasswd, .fetchmailrc itp.
    ma naprawdę potężny arsenał możliwości, nie wszystkie jego funkcje uruchamiają się poprawnie więc (chociaż nie jest wymierzony w joomla) zrobił mi na serwerze www nast. spustoszenia:
    1. wymazał zawartość plików (rozmiar pliku 0 kb) index.php, index2.php, globals.php, mainbody.php
    2. uszkodzona baza danych (być może po dumpingu bazy miał ją skasować ale poszło coś nie tak)
    3. po instalował swoje kopie na wszystkich witrynach www w ramach mojego konta hostingowego
    Jeszcze nie rozmawiałem z adminami bo problem odkryłem ok. godz. 21.00 natomiast piszę posta o godz. 1:00 w nocy więc admini śpią. Jak tylko uda mi się ustalić jakieś nowe fakty to dam znać na forum.

    jeżeli ktoś chciałby otrzymać plik ze źródłem pliku to proszę dać znać
    Ostanio edytowane przez lechu_b : 21-08-2006 00:46

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Bywalec
    Dołączył
    31-05-2006
    Skąd
    piękne Kaszuby
    Wpisy
    229
    Punkty
    14

    Domyślny

    Mam pytanie, gdzie masz serwer, moze jest słabiej zabezpieczony?

  4. #3
    Debiutant
    Dołączył
    15-08-2006
    Wpisy
    10
    Punkty
    10

    Domyślny

    konto hostingowe mam na superhost.pl ale jak doczytałem w necie skrypt wykorzystuje lukę w systemie "Simple PHP Blog" więc wystarczy że ktoś na serwerze ma ten system to to robactwo się rozłazi gdzie tylko może. z tego co wiem na tą chwilę nie wykorzystano żadnej luki w joomla. admini serwera jeszcze nie dali mi odpowiedzi. jak się dowiem to dam znać
    pzdr
    Ostanio edytowane przez lechu_b : 21-08-2006 00:43

  5. #4
    Bywalec
    Dołączył
    31-05-2006
    Skąd
    piękne Kaszuby
    Wpisy
    229
    Punkty
    14

    Domyślny

    Jak to nie dali odpowiedzi ??? Przeciez minely 2 dni! Ja mam wszystko na kei.pl Nie jest tanio, ale to chyba najlepsza oferta na rynku i chyba bezpiecznie. Admini reaguja na maile najpozniej po 10-15 minutach, a jest tez alarmowa komorka calodobowa. Szczerze polecam.

  6. #5
    Debiutant
    Dołączył
    15-08-2006
    Wpisy
    10
    Punkty
    10

    Domyślny

    admini odpowiedzieli!
    Winny jest formularz kontaktowy w phpNuke (jeden serwis stoi na moim koncie hostingowym na tej platformie) i prawdą jest że od miesiąca dostępna jest łata której nie zainstalowałem (łata nie dotyczy formularza kontaktowego) więc wygląda na to że to ja zaspałem. Chociaż mam wątpliwości co do rzetelności zajęcia sie sprawą przez administratorów bo odpisali mi m.in. tak "W logach ftp nie ma niestety informacji na temat przesłania pliku mysqlserver.php. Prawdopodobnie - bo w taki sposób zazwyczaj się to odbywa - włamanie nastąpiło poprzez luki w zainstalowanym na Państwa koncie oprogramowaniu."
    A co z nagłówkami http? pytam retorycznie przyglądam się ofercie kei.pl
    Ostanio edytowane przez lechu_b : 21-08-2006 00:42

  7. #6
    Bywalec
    Dołączył
    31-05-2006
    Skąd
    piękne Kaszuby
    Wpisy
    229
    Punkty
    14

    Domyślny

    A co z nagłówkami http?
    Nie rozumiem pytania.

  8. #7
    Wyjadacz nexus246 awatar
    Dołączył
    23-09-2005
    Wpisy
    664
    Punkty
    20

    Domyślny

    A od kiedy administratorzy serwera mają obowiązek zajmowania się skryptami użytkowników od strony bezpieczeństwa?

  9. #8
    Bywalec
    Dołączył
    19-08-2006
    Skąd
    Dębica
    Wpisy
    243
    Punkty
    13

    Domyślny

    Cytat Wysłane przez Michael_23
    Jak to nie dali odpowiedzi ??? Przeciez minely 2 dni! Ja mam wszystko na kei.pl Nie jest tanio, ale to chyba najlepsza oferta na rynku i chyba bezpiecznie. Admini reaguja na maile najpozniej po 10-15 minutach, a jest tez alarmowa komorka calodobowa. Szczerze polecam.
    A na i365 jest tanio, nie ma żadnych komórek całododobowych, bo u nich standardem jest całodobowość, odpowiadają jeszcze szybciej niż w ciagu 10-15 minut, ale to tak na marginesie, bo nexus246 uważa, że admini serwerów nie muszą interesować się skryptami klientów. A właśnie, że powinni. Jeśli czyjś skrypt pożera serwery, to reagują, bo inni się skarżą na zdychający serwer, dlatego powinni interesować się też nie tylko wydajnością, ale i bezpieczeństwem skryptów działających na ich serwerze, by czyjś dziurawy skrypt nie odbił się echem w innych serwisach. Jeśli jednak firma hostingowa dba jedynie o swoje finanse, to mamy standard usług jaki mamy. Jednak kilka razy wymieniałem uwagi z adminami na temat bezpieczeństwa skryptów, sugerowali, doradzali, odpowiadali na pytania i widać, że znali dobrze wiele skryptów. Powinni też interesować się nowymi zagrożeniami, jak choćby opisanym w tym temacie
    szuman.eu

  10. #9
    Przeglądacz
    Dołączył
    21-11-2005
    Wpisy
    91
    Punkty
    11

    Domyślny

    Cytat Wysłane przez szuman
    nexus246 uważa, że admini serwerów nie muszą interesować się skryptami klientów. A właśnie, że powinni. Jeśli czyjś skrypt pożera serwery, to reagują, bo inni się skarżą na zdychający serwer,
    no chyba nie do końca tak powinno być jak piszesz. Tak długo jak działanie mojego serwisu nie wpływa na wydatne obciążenie serwera, ponad granice normy to sprawy zawartości są moją sprawą ale nie widzę tez powodu dla którego administracja ma mnie na siłę chronić przed źle działającym, zainstalowanym przeze mnie jakimś skryptem, albo łatać za mnie dziury.
    Ostanio edytowane przez Joshua : 22-10-2006 23:41

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •