We have been hacked! - Niewinnie ale zawsze - Info
witam
jak w tytule. dobrali mi sie do serwisu. zostawie info to moze innym sie przyda zeby sobie dziury polatac.
OPIS
kilka dni temu, wieczorem, pracowalem nad serwisem. przy okazji odswiezenia strony w pewnej chwili pokazalo mi sie cos dziwnego. kilka linijek tekstu. bezwiednie to zignorowalem nawet nie czytajac co tam napisane. kolejne odswiezenie i dokladnie to sam. co jest? wklepanie z palca adresu podstrony - to samo... dopiero po kilku sekundach zrozumialem co jest grane.
SKUTKI
nasz serwis http://southampton.info.pl zostal zaatakowany. jak sie okazalo niewinnie i 'ofiar w ludziach' nie bylo ale sam fakt dawal do myslenia. padlismy ofiara ataku typu H czyli 'homepage defacement' (podmiana strony glownej). wykorzystano fakt braku deklaracji w pliku .htaccess domyslnego rozszerzenia pliku 'index'. na serwer wyslany zostal plik index.htm ktory w tym przypadku wzial gore nad joomlowym index.php (przy braku wspomnianej deklaracji pliki index.html lub index.htm sa traktowane przez serwer Apache jako domyslne i wyswietlane 'przed' plikami index.php).
kopie podmienionej strony glownej zobaczycie tutaj:
http://southampton.info.pl/_index_ha...dex-hacked.htm
zainteresowani struktura pliku (zrodlem) zamiast 'podgladac' mog pobrac spakowany plik tutaj:
http://southampton.info.pl/_index_ha...dex-hacked.zip
po za podmiana strony glownej (ktora zreszta wyswietlala sie rowniez na wszystkich adresach podstron i to wpisanych 'z palca' (ciekawe...) nie ponieslismy innych strat. nie skasowano lub podmieniono innych plikow. poniewaz 'bylem na stronie' w chwili ataku, nie trfal on dlugo. moze 5 minut. po tym czasie przywrocilem normalna funkcjonalnosc serwisu. jednak juz to 5 minut wystarczylo aby atak zostal zaliczony i odnotowany w statystykach grupy ktora nas zaatakowala.
nazywaja sie PadiSim Hack Team .
wlam do nas jest odnotowany w ich statystykach tutaj:
http://www.zone-h.org/index2.php?opt...=43&id=4590309
SLEDZTWO....
....wykazalo ze hasla do ftp nie zostaly ruszone. uwazne wertowanie logow przynioslo skutki i oto co te fajfusy zostawily po sobie:
http://southampton.info.pl/_index_ha...bsite_hack.log
atak trwal od 22:59:07 do 23:04:58.
o 23:02:14 odwiedzil nas skrypt z http://www.zone-h.org ktory zaliczyl fajfusom wlam.
adresy IP zamieszane w hack:
85.102.201.9 - TurkTelekom / turcja (WHOIS TUTAJ)
- pod tym adresem siedzial fajfus bezposrednio atakujacy strone
- adres jest juz notowany w bazie spam i abuse (czerowne pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=85.102.201.9
85.103.232.27 - TurkTelekom / turcja (WHOIS TUTAJ)
- ktos z tego adresu wszedl na strone glowna
- adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=85.103.232.27
62.150.154.23 - kuwait (WHOISE TUTAJ)
- z tego IP zostal wyslany adres mojej strony do
http://www.zone-h.org/component/opti...cks/Itemid,45/ w celu zaliczenia wlamu przez skrypt statystyk
- adres jest juz notowany w bazie spam i abuse (czerwone pola w tabeli)
http://www.dnsstuff.com/tools/ip4r.ch?ip=62.150.154.23
atakujacy wykorzystal skrypt zapisany do pliku tekstowego o nazwie 2Fc99.txt. plik ze skryptem jest (a raczej na chwile obecna byl) umieszczony pod adresem http://2fmectruy.by.ru. adres IP tego serwera to 217.16.29.51 - rosja (WHOIS TUTAJ). serwer oczywiscie notowany w bazie spam i abuse (czerwone pola w tabeli) http://www.dnsstuff.com/tools/ip4r.ch?ip=217.16.29.51
osoby zainteresowane kodem zrodlowym skryptu ktory podmienil strone glowna (a raczej zostal wykorzystany do jej podmiany) moga go pobrac tutaj:
http://southampton.info.pl/_index_ha...sitory3.25.zip
zamieszczam go bo moze pomoc to koderom w lepszym poznaniu metod wlamu i pisaniu szczelniejszego kodu.
UWAGA: w pliku .zip znajduje sie spakowany dokument Worda z kodem zrodlowym skryptu. w TAKIEJ POSTACI skrypt NIE JEST AKTYWNY i jest calkowicie BEZPIECZNY! prosze jednak NIE ZAPISYWAC tego dokumenty jako pliku tekstowego .txt. czynnosc taka AKTYWUJE kod i tworzy z pliku czynny plik trojana. zostaliscie ostrzezeni. bawicie sie tym plikiem na wlasna odpowiedzialnosc!
skrypt ten jest znany. wykorzystuje luke bezpieczenstwa w Remository 3.25. na forum projektu Remository znajdziecie wiecej informacji:
http://www.remository.com/component/.../id,3657/#3657
PREWENCJA
wykorzystano luke w Remository 3.25. tak wiec update do nowej wersji Remository to pierwszy krok obrony.
jak widac hasla nie zostaly ruszone. zmienilem jednak i wzmocnilem sile wszystkich hasel na stronie, do ftp, panelu administracji kontem u ISP oraz panelu admina joomli. dodatkowo dostep do katalogu z logowaniem admina joomli zostal uszczelniony po przez ochrone http_auth czyli ochrone dostepu do katalogu po przez haslo. wiecej info tutaj:
http://php.benscom.com/manual/pl/features.http-auth.php
w pliku .htaccess zostaly dopisane:
Kod:#ustalenie 'kolejki waznosci' wyswietlania domyslnego pliku #index w zaleznosci od rozszerzenia DirectoryIndex index.php index.html index.htmdodatkowo w tym samym pliku .htaccess dodalem:Kod:########## Begin - Blokowanie dostepu z adresow IP # <Files 403.shtml> order allow,deny allow from all </Files> # zone h - serwer zliczajacy statystyki wlaman deny from .zone-h.org deny from .zone-h.com deny from 213.219.122 deny from 62.150.154.23 # cyber-warrior.org - serwer zliczajacy statystyki wlaman deny from .cyber-warrior.org deny from .cyber-security.org deny from 80.237.211.8 #blokowanie dostepu z adresow IP deny from 85.102.201.9 deny from 85.103.232.27 deny from 62.150.154.23 deny from 217.16.29.51 #
polecam wszystkim uszczelnienie systemu i dodanie tych fragmentow do pliku .htaccess (uwaga: trzeci kod 'rewrite rules' nie dziala z plikami htaccess.txt).Kod:########## poczatek - Rewrite rules - blokowanie niektorych #znanych exploitow # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## koniec
PODSUMOWANIE
"....myjcie sie dziewczyny bo nie znacie dnia ani godziny...."
czyli badzcie czujni i nie zapominajcie ze kazdy z nas moze zostac obiektem ataku. aktualizacje komponentow i systemu rzecz swieta!
mam nadzieje ze moje wypociny pomoga innym w utrzymaniu ich serwisow 'on-line' hehe.
pozdro i THE END
Cytuj
Wysłane przez kkafara
