atak hackera

[jamic]

dzisiaj miałem atak na moją witrynę.
w katalog joomla oraz administrator (prawa dostępu: 711) podłożono mi plik index.html
po ataku pojawiał się obrazek - sami zobaczcie jak to wyglądało:
http://img118.imageshack.us/img118/8598/ffffdd5.jpg
kod pliku index.html zamieszczam poniżej:

<html>
<head>
<meta http-equiv="Content-Language" content="tr">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>By SanalBela</title>
</head>
<body bgcolor="#000000">
<center><img src=http://img118.imageshack.us/img118/8598/ffffdd5.jpg></img></center>

</script>
<SCRIPT LANGUAGE="Javascript"><!--
// ***********************************************
// AUTHOR: www..com, SanalBela
// ***********************************************
var message=" ";
function click(e)
{
if (document.all) {
if (event.button == 2) {
alert(message);
return false;
}
}
if (document.layers) {
if (e.which == 3) {
alert(message);
return false;
}
}
}
if (document.layers) {
document.captureEvents(Event.MOUSEDOWN);
}
document.onmousedown=click;
// --></SCRIPT>
</script>
<script language="JavaScript1.2">
// ************************************************** *****************
// script By SanalBela,
// ************************************************** *****************
var message="By SanalBela" //specifys the title
var message=message+" " //gives a pause at the end,1 space=1 speed unit, here I used 10 spaces@150 each = 1.5seconds.
i="0" //declares the variable and sets it to start at 0
var temptitle="" //declares the variable and sets it to have no value yet.
var speed="150" //the delay in milliseconds between letters
function titler(){
if (!document.all&&!document.getElementById)
return
document.title=temptitle+message.charAt(i) //sets the initial title
temptitle=temptitle+message.charAt(i) //increases the title by one letter
i++ //increments the counter
if(i==message.length) //determines the end of the message
{
i="0" //resets the counter at the end of the message
temptitle="" //resets the title to a blank value
}
setTimeout("titler()",speed) //Restarts. Remove line for no-repeat.
}
window.onload=titler
</script>
<script language="Javascript">

function initArray(n) {
this.length = n;
for (var i =1; i <= n; i++) {
this[i] = ' '
}
}
var slide = new Array()
slide[0]="Ne!!!";
slide[1]="BySanalBela";
slide[2]="";
slide[3]="Turkey Was Here";
var delay1 = 3
var delay2 = 3000
var text = slide[0] + " "
var str = " "
var leftmsg = ""
var nextmsg = 0
function setMessage() {

if (str.length == 1) {
while (text.substring(0, 1) == " ") {
leftmsg += str
str = text.substring(0, 1)
text = text.substring(1, text.length)
}
leftmsg += str
str = text.substring(0, 1)
text = text.substring(1, text.length)
for (var x = 0; x < 120; x++) {
str = " " + str
}
}
else {
str = str.substring(10, str.length)
}
window.status = leftmsg + str
if (text == "") {
str = " "
nextmsg++
if (nextmsg > slide.length) {
nextmsg = 0
}
text = slide[nextmsg] + " "
leftmsg = ""
setTimeout('setMessage()',delay2)
}
else {
setTimeout('setMessage()',delay1)
}
}
setMessage();
//-->
</script>


<center><EMBED src="http://www.sehitlerolmez.com/sehitani1.swf" WIDTH="0" HEIGHT="0"></center>

ps: traktuję ten atak jako sygnał ostrzegawczy. pojawia się pytanie rodem z filmu VaBank - kto to zrobił ???

[Dylek]

A jaka w Vabanku byla na to odpowiedz? "Trzeba bylo uwazac"

Sprawdz w logach serwera - powinny byc slady.

[markooff]

Hmm.... zapewne byl to niejaki SanalBela
Jesli masz dostep do logow apacha(/innego serwera www na ktorym TWoj portal stoi / serwera proxy po drodze ) to moglbys dowiedziec sie czegos wiecej... Ale tez i nie robilbym mmsobie wielkich nadziei - jesli ten misiu byl choc troche rozgarniety (a na takiego wygladal) to na pewno nie usiad i nie zaczal rozpracowywac twoj serwis bezposrednio z komputera od siebie na biurku.

Osobna sprawa byloby pytanie o mechanizm z ktorego skorzystal 'nasz Bela'
ale to wymagaloby chyba dokladnej analizy powlamaniowej na miejscu
(czyli w twoim serwisie ) oraz odpowiedzi ktorego z doswiadczonych administratorow
mambo/joomla

Pozdrawiam

[jamic]

i mialem kolejny atak oto plik ktory mi podlozyl na witrynie index.php

Kod HTML:

</SCRIPT>
<SCRIPT>
var clickw=170; // Width
var clickh=20; // Height
var clickb=2; // Border width
var clickc="#CCFFCC"; // Border color
var clickbg="#000000"; // Background color
var clickt="HaCk INdexini Göremek Icýn TIKs."; // Text to display
var clickFont="font-family:Tahoma,arial,helvetica; font-size:10pt; font-weight:bold; color:#FF0000"; // The font style of the text
new initReveal(0,'#555555','#000000',1,1,'#555555','#000000',3,10,true);
</SCRIPT><body> 
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=windows-1254">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>Ov3R Deface......</title>
</head>
<body bgcolor="#000000">
<p align="center"><font color="#FFFFFF" size="7">N</font><font
color="#FF0000" size="6">ush ile </font><font color="#FFFFFF"
size="7">U</font><font color="#FF0000" size="6">slanmayani </font><font
color="#FFFFFF" size="7">E</font><font color="#FF0000" size="6">tmeli
</font><font color="#FFFFFF" size="7">T</font><font
color="#FF0000" size="6">ekdir, </font></p>
<p align="center"><font color="#FFFFFF" size="7">T</font><font
color="#FF0000" size="6">ekdir ile </font><font color="#FFFFFF"
size="7">U</font><font color="#FF0000" size="6">slanmayanin </font><font
color="#FFFFFF" size="7">H</font><font color="#FF0000" size="6">akký
</font><font color="#FFFFFF" size="7">K</font><font
color="#FF0000" size="6">otektir</font></p>
<p align="center">&nbsp;</p>
<p align="center"><font color="#FF0000" size="10">Hacked By Ov3R...</font></p>
<p align="center"><font color="#FFFFFF" size="5"><strong>S</strong></font><font
color="#FF0000" size="4"><strong>analBela &amp; </strong></font><font
color="#FFFFFF" size="5"><strong>K</strong></font><font
color="#FF0000" size="4"><strong>amaiMaseN &amp;</strong></font><font
color="#FF0000" size="5"><strong> </strong></font><font
color="#FFFFFF" size="5"><strong>I</strong></font><font
color="#FF0000" size="4"><strong>NF3Rno</strong></font></p>
<p align="center"><font color="#FFFFFF" size="4"><strong>Ms-DoS-By Crayz-HacKFatheR-GaPoLaS-DeliKadir-MiliTan-SseS-ByAlien-Jok3R-ELeCTro-UmuT</strong></font></p>
<p align="center"><font color="#FF0000" size="5"><strong></strong></font>&nbsp;</p>
<p align="center"><font color="#FF0000" size="6"><strong>B</strong></font><font
color="#FF0000" size="5"><strong>u Ýţler </strong></font><font
color="#FF0000" size="7"><strong>Ö</strong></font><font
color="#FF0000" size="5"><strong>zveri,</strong></font><font
color="#FF0000" size="7"><strong>A</strong></font><font
color="#FF0000" size="5"><strong>kýl,</strong></font><font
color="#FF0000" size="7"><strong>T</strong></font><font
color="#FF0000" size="5"><strong>ecrübe Ýster Her Önüne Gelen
&quot;</strong></font><font color="#FF0000" size="6"><strong>Hacker</strong></font><font
color="#FF0000" size="5"><strong>&quot; Olamaz..!</strong></font></p>
<p align="center"><font color="#FFFFFF" size="5"><strong>WWW.MIRATURK.ORG---WWW.AKINCIHACK.COM---WWW.AVCIHACK.COM</strong></font></p>
<p align="center"><font color="#FFFFFF" size="5"><strong></strong></font>&nbsp;</p>
 
<center></font><font color="#FFFFFF" size="7"></font><font
color="#FF0000" size="6">Ov3R@turkhack.eu</font></p><center>
 
<P align=center><EMBED
src=http://www.fileden.com/files/2007/4/24/1013018/503779.mp3
width=200 height=30 type=audio/x-ms-wma></P></TD></TR></BODY></HTML>
 

[Sova]

Sprawdź wszystkie dodatki - czy nie używasz czegoś z "dziurą" - ponadto podstawą posiadać serwer spełniający wymagania Joomla! i skonfigurować wszystko tak, aby było jak najmniej możliwości ingerencji z zewnątrz.

Kto to był? Po odciskach paluchów pozostawionych na monitorze wygląda na Turka...