Włamanie na konto w webd

[Dżo 0]

Wczoraj wykryłem, że na konto w webd, na którym stoi blog mojej dziewczyny dokonano włamania. W sumie niegroźnego, najwyraźniej włamywacz nie poczynił żadnych szkód, jedynie zmienił hasło dostępu do panelu administracyjnego bloga. Włamanie to jednak włamanie, a co najważniejsze po ponad 18 godzinach od zgłoszenia tego faktu w webd nie dostałem od nich żadnej odpowiedzi, nawet zwyczajowego "spadaj pan, to wina skryptu, którego pan używa" (taką odpowiedź choć grzeczniej sformułowaną dostałem od nich przy innej okazji). Szkoda, bo bardzo prawdopodobne, że włamywacz mógł sniffować ruch z ich serwera. Dlatego piszę o tym tutaj, być może nagłośnienie sprawy skłoni ich do zajęcia stanowiska. Poza tym chciałbym wiedzieć czy komuś jeszcze przytrafił się podobny przypadek.

 

Poniżej garść faktów i domysłów.

- Włamywacz zalogował się z adresu 212.71.37.* (zgaduję, że to jakieś proxy w Arabii Saudyjskiej).

- Logi Apache'a pokazujące aktywność tego jegomościa dostępne są tutaj.

- Na bloga mojej dziewyczny trafił z wyszukiwarki Live Search. Jak widać szukał stron stojących na tym konkretnym IP, co oznacza, że mógł znać lukę w zabezpieczeniach serwera, albo mógł sniffować ruch z serwera.

- Po wejściu do panelu administracyjnego bloga przez kilka minut nic nie robił, a potem zalogował się korzystając z poprawnego loginu i hasła. Zupełnie jakby szukał danych gdzieś u siebie. Poza tym to dowód, że atak nie nastąpił metodą słownikową ani siłową. Hasło nie było łatwe do złamania. Logi nie wskazują by wykorzystano cross site scripting ani SQL injection.

- Poharcował po panelu, prawdopodobnie zgrał zawartość bazy danych, zmienił hasło i tyle go widzieli.

- Moja dziewczyna korzysta z neostrady po kablu, nie dzieli z nikim dostępu. W ciągu ostatnich sześciu miesięcy nie logowała się spoza domu. Jeśli włamywacz mógł sniffować ruch to raczej po stronie serwera, a nie po stronie mojej dziewczyny.

[kuku 0]

robisz i igly widly. zapewne bug w wordpressie, ostatnio ich sporo. zrob upgrade, zmien hasla i nie rob przedstawienia.

[Dżo 0]

robisz i igly widly. zapewne bug w wordpressie, ostatnio ich sporo. zrob upgrade, zmien hasla i nie rob przedstawienia.

 

Pudło. To nie Wordpress, a Nucleus, oczywiście w najnowszej wersji. Moją pierwszą hipotezą był błąd w skrypcie, jednak nie znalazłem nic na potwierdzenie tej tezy, za to sporo wskazuje na sniffing.

 

Poza tym, jeśli firma hostingowa nie reaguje na zgłoszenie dotyczące możliwej luki w bezpieczeństwie to chyba coś jest nie halo.

[Gość RuFiK]

noi co z tego ? zgłósc to do swojego hostera, aczkolwiek niska szkodliwość społeczna wiec daj se siana ;]

 

pzdr

[Dżo 0]

Właśnie w tym tkwi połowa problemu, że webd ma moje zgłoszenie w głębokim poważaniu. Jak dotąd nie raczyli odpowiedzieć ani słowem.

[kuku 0]

sniffing na ich sieci i wlamanie na blog twojej kobiety? wolne zarty. mozlie ze bug typu 0-day. zrob sobie ssl`a i po klopocie. moze pc jest czyms zasiany, ale moim z daniem nie warto robic z tego wielkiego halo. a webd ma do tego jak piernik do wiataka.

[Dżo 0]

Moje podejrzenia mogą być mylne, a poza tym włamywacz nie poczynił żadnych szkód. O to nie zamierzam kruszyć kopii. Natomiast niepokojący jest fakt, że firma nie reaguje na zgłoszenie dotyczące bezpieczeństwa i dlatego moim głównym celem było zwrócenie na to uwagi.

[GLOBUS 1]

- Na bloga mojej dziewyczny trafił z wyszukiwarki Live Search. Jak widać szukał stron stojących na tym konkretnym IP, co oznacza, że mógł znać lukę w zabezpieczeniach serwera, albo mógł sniffować ruch z serwera.

 

czy wyszukana fraza zawierała .php ?

 

 

po co komu hasło skoro wystarczy sesja ...

 

raczej napewno to poprzez XSS ...

[Gość RuFiK]

ehh a co ty chcesz za 3 zl / miesiecznie

[sonin 0]

Hmm, powiem Ci obrazowo - duża firma hostingowa dostaje takich informacji czasami po kilka dziennie, w 99% wina leży po stronie dziurawego skryptu.. uwierz mi, że tego typu zgłoszenia są codziennością i nikt nie traktuje ich bardziej czy mniej priorytetowo.. a jak napisał kolega powyżej, za parę groszy miesięcznie nie spodziewaj się odpowiedzi po kilku minutach ; ].

 

Pozdrawiam.

[Info-Cal 0]

- Po wejściu do panelu administracyjnego bloga przez kilka minut nic nie robił, a potem zalogował się korzystając z poprawnego loginu i hasła. Zupełnie jakby szukał danych gdzieś u siebie. Poza tym to dowód, że atak nie nastąpił metodą słownikową ani siłową. Hasło nie było łatwe do złamania. Logi nie wskazują by wykorzystano cross site scripting ani SQL injection.

- Poharcował po panelu, prawdopodobnie zgrał zawartość bazy danych, zmienił hasło i tyle go widzieli.

I webd.pl udostępnia takie szczegółowe dane, skoro wiesz dokłądnie każdy krok tego robota i każdej innej osoby na stronie?

[Gość patrick]

po części apachowy access_log ?

[BlueMan 69]

Ale te logi są bardzo ubogie... sam kiedyś próbowałem dojść dlaczego i jak się ktoś włamał i nic ciekawego w ich nie zauważyłem, oprócz IP włamywacza... .

[Dżo 0]

czy wyszukana fraza zawierała .php ?

po co komu hasło skoro wystarczy sesja ...

 

raczej napewno to poprzez XSS ...

 

Wyszukiwana fraza nie zawierala "php". Z czego wnosisz, ze to XSS?

[GLOBUS 1]

http://securityreason.com/securityalert/3593 w wersji 3.31

 

byś musiał sprawdzić logi z przed miesiąca-dwóch i szukać coś o pliku action.php/