57 odpowiedzi na ten temat

[Shk]

Witam,
dzisiaj zauważyłem, że na wszystkich moich domenach znajdujących się na serwerze upares.pl
widnieje napis :

Cytuj

hacked by HiDDEN Pain , am really really sorry

Myślałem, że to tylko moje konto shared zostało zaatakowane, ale nie. Okazuje się, że po wpisaniu
do google : site:upares.pl kilka innych stron też ma taki problem. Nie wszystkie...

Możecie coś na ten temat powiedzieć? Zgłoszenie poszło już od firmy, zobaczymy co odpisze.
Pozdrawiam

Użytkownik nie zgadza się na otrzymywanie ofert od firm.

[Pawel_15]

Jest coś na rzeczy, kilka stron z 1 strony google ma ten napis, kilka działa normalnie. Jedna ma napis: o powód zapytaj administrację i podany niżej jest mail do BOK UPhost.

[Shk]

Co robić, aby unikać takich ataków? Druga sprawa - co zrobić teraz, w obecnej sytuacji już po ataku?

Widać, że wszystkie pliki zostały zmodyfikowane dzisiaj pomiędzy 00:00 a 01:00 w nocy (i graficzne i pliki html),
a przeglądając logi to w tych godzinach można zauważyć :

[Sat Dec 03 01:38:05 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
[Sat Dec 03 01:38:06 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!?

Pliki zostały można powiedzieć nadpisane takim tekstem jak w pierwszym moim poście.
W sumie nic nie straciłem. Na serwerze zaparkowanych było kilka domen (1 hostingowa, 1 regionalna, 3 *.pl i 1 *.eu),
które czekały na swoją kolej. Dziwny ten atak jest o tyle, że nie miałem żadnej bazy danych, skryptów przez które można by cokolwiek zdziałać.

Ten post był edytowany przez Shk dnia: 03 grudzień 2011 - 12:55

[Devil]

Oj Panowie hmm ... : ) - jeżeli ktoś nie aktualizuje na bieżąco oprogramowania i szukam pracowników za 100 zł to ma efekty. Swoje dane powierzajcie firmą które mają doświadczenie i lata stabilnej pozycji na rynku.

Ten post był edytowany przez Devil dnia: 03 grudzień 2011 - 14:20

[tym]

Nie ma się co dziwić, jak DNSów nawet nie potrafią poprawnie ustawić... Ah ten Miodek Żenujący poziom usług i wiedzy się potwierdził. Co do samego ataku... pewnie wszyscy klienci jadą na tych samych prawach (apacha) + niezabezpieczone php i gotowe... @Shk, ten log oznacza że apache został przeładowany, a miodek nawet nie zmienił nazwy serwera na hostname

Ten post był edytowany przez tym dnia: 03 grudzień 2011 - 14:46

[roobsx]

No trochę przykro. Na szczęście trzymałem tam tylko niedokończone zaplecze.

[Dawid Sz.]

Chyba czas się wynieść z UPHosta Ostatnio spadek wydajności serwerów, zmiana maszyny VPSów o 15:00 i wszystko leżało przez ok. 18h i teraz jeszcze to...

[Shk]

Czy kogoś z Was też spotkał taki atak?

Support twierdzi, że problem występuje tylko u mnie. Ciekawe...

[Macsch]

Shk, o 03 grudzień 2011 - 16:03, powiedział:

Czy kogoś z Was też spotkał taki atak?

http://forum.invisio...rona-shakowana/

[Piotr GRD]

Ja właśnie znalazłem u siebie gotowy do uzycia plik php pozwalający na edytowanie wszystkich plików znajdujących się na serwerze, nazwane to jest wewnętrznie "Pain Indexer", wgrany dziś w nocy o godz. 01:32 (patrząc po dacie modyfikacji pliku). Jeszcze nie przeszukałem wszystkiego dokładnie, ale chyba nie zostało nic poza tym zmodyfikowane.

[Shk]

Tylko gdzie w tej chwili jest "inż. Miodek"?

EDIT : Znalazłem u siebie też ten plik. Był w folderze głównym jednej z domen.
Nazwany index2final.php. Wygląda to tak :

http://iv.pl/images/...21514243237.png
http://iv.pl/images/...31266891355.png

Ten post był edytowany przez Shk dnia: 03 grudzień 2011 - 16:33

[Pawel_15]

Zaraz, jeżeli dobrze rozumiem to UPhost to są płatne konta, zaś upares to darmowe konta ? I to te genialne DARMOWE konta tak niedawno zachwalane zaliczyły wielki włam ? Jeżeli tak to nie pozostaje nic innego napisać że dobrze wam tak skoro żałowaliście paru złotych na porządny hosting na markowych serwerach. Najpierw zachwalali a teraz zgrzytają zębami pomimo tego że byli ostrzegani jak to się może skończyć w przypadku darmowego hostingu, zwłaszcza jeżeli prowadzi go dr. Miodek.

[roobsx]

Nie tylko darmowe. Ja mam płatne za pomocą SMS i też zhakowane. Tak czy inaczej nigdy tam niczego ważnego nie miałem. Ot tak dla testów sobie zamówiłem usługę.

[Shk]

Mylisz się Paweł. Korzystałem akurat z płatnego konta za SMS.
Jak wspominałem wcześniej nie mam żadnej straty z powodu tego ataku.

Darmowe konta to upfree.pl, a upares.pl to konta płatne.
I skoro nie wiesz jak jest w rzeczywistości, to zostaw sobie te pouczenie dla siebie.

Korzystam z płatnego, profesjonalnego konta w unixstorm.org na którym przechowywane są wszystkie moje projekty,
a uphost.pl był tylko hostingiem testowym.

Ten post był edytowany przez Shk dnia: 03 grudzień 2011 - 17:02

[Pawel_15]

Hmm, faktycznie pomyliły mi się nazwy. No nic, pozostaje czekać na jakąs reakcję firmy i może jakiś komunikat...

[Kamikadze]

Ja mam najtańszy pakiet za sms i włamu chyba nie było na moje konto.

Ogólnie trzymam same domeny i konto służy do zarządzania strefą DNS ale kilka subdomen mam i nie ma tam żadnych takich plików.

[kaszub1136]

Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie.

[Dawid Sz.]

kaszub1136, o 03 grudzień 2011 - 18:35, powiedział:

Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie.

Ja mówiłem o obciążeniu serwera z VPSami. Przeładowany jak nic...

[Piotr GRD]

Próba wywołania wspomnianego pliku "index2final.php" (akurat u mnie przypadkiem, na całe szczęście, zakończona niepomyślnie) odbyła się z IP 41.107.198.159 wskazującego na: Algeria, Bejaia (Bidżaja). Wywołanie zdaje się, że było z normalnej przeglądarki, bo pobierało całą zawartość mojej strony "404" włącznie z js, css, obrazkami itd., a nawet było wywołanie nieistniejącej u mnie favicon.ico.

Pytanie pozostaje: jak ten plik dostał się na nasze konta? Ciekaw jestem wyników śledztwa, jeśli takie będzie i wskaże ono metodę jakiej ktoś użył. Mam nadzieję, że czegoś się od właściciela hostingu dowiem, bo brak informacji - wiem z doświadczenia - działa często gorzej niż nawet złe informacje.



A do osób krytykujących wybór takiego a nie innego hostingu...
Nie oszukujmy się, ale czynnikiem decydującym często jest głównie cena. Pamiętajmy, że wartość pieniądza jest względna, dla niektórych osób 50 zł miesięcznie będzie mało znaczące, dla innych nawet 50 zł rocznie będzie znaczącym wydatkiem, nad którym się trzeba zawsze zastanowić, więc jeśli można znaleźć coś za 20 zł rocznie (czy nawet mniej), wiele osób się skusi. Niektórzy z pełną świadomością niedogodności i ryzyka za tym idącego (jak np. ja), inni bez.

Ten post był edytowany przez Piotr GRD dnia: 04 grudzień 2011 - 09:16

[Devil]

Jeżeli komunikat nie pojawia się w przeciągu 48 godzin od daty zdarzenia to chyba ktoś klientów ma w ...

Ten post był edytowany przez Devil dnia: 04 grudzień 2011 - 09:29