Cal.pl zaatakowane przez Albańczyków

[Macsch 122]

Było czy nie już ? Jak nie to przesyłam linka

http://niebezpiecznik.pl/post/cal-pl-zaatakowane-przez-turkow

 

I treść w razie usuniecia:

Zastanawialiście się kiedyś co by się stało gdyby Wasz dostawca usług hostingowych padł ofiarą ataku? Nie? Mnie do dzisiejszego dnia też nie interesowało to zupełnie…

Autorem tego artykułu jest radekk. Jeśli chcesz aby na Niebezpieczniku pojawił się Twój artykuł, daj nam znać.

Deface tu, deface tam

 

Dzień jak co dzień. Wracam z pracy, wchodzę do domu, odbieram telefon w drzwiach:

 

– Wejdź na xxyyy123.com (domena wymyślona na potrzeby filmu), ktoś schakierował Ci stronkę.

– *** – tutaj padło kilka niestosownych określeń z mojej strony, których nie mogę przytoczyć

 

Nie minęła minuta, otwieram przeglądarkę, wpisuję adres swojej domeny i co widzę?

 

Nie wiem dlaczego, ale nagle poczułem doskwierający głód, dostałem ochoty na kebaba…

Analiza powłamaniowa

 

Index.html ewidentnie podmieniony, pewnie bazy danych też już straciłem, tak samo jak pozostałe pliki. Zalogowałem się na serwer, listuję pliki, listuję bazy, wszystko w normie za wyjątkiem wspomnianego index.html oraz index.php, ufff.

 

#> ls -la

-rw-r--r-- 1 root root 2,47K Nov 24 17:03 index.html

-rw-r--r-- 1 root root 2,47K Nov 24 17:03 index.php

 

Wszystkie domeny, które były podpięte do mojego konta w katalogu public_html/ zawierały podane wyżej 2 pliki. Natomiast podkatalogi już nie, tak więc podmiana nie nastąpiła rekurencyjnie.

 

Pierwsza myśl jaka przeszła mi przez głowę była związana z c99, r57 – to jednak nic z tych rzeczy. Żadnych plików PHP nie miałem u siebie na serwerze, kilka statycznych html i reszta to pliki tekstowe, obrazki. Wynika z tego, że wykorzystanie bezpieczeństwa luki w mojej webaplikacji odpada, lecimy dalej.

 

W związku z tym, że dostęp do konfiguracji domeny i plików mamy poprzez DirectAdmina, pomyślałem sobie, że to może być klucz do zagadki. Faktycznie 6 stycznia 2010 wyszedł exploit, a konkretniej “Symlink Permission Bypass” dla DA ver. <= 1.33.6 (zainteresowani sami znajdą). Changelog: http://www.directadmin.com/features.php?id=1097 Plik /etc/shadow wystarczyłby żeby złamać hasła. Tak więc to może być miejsce, w którym Turcy przełamali zabezpieczenia serwera i zdobyli roota.

Tego jest więcej…

 

Ale to nie wszystko. Byłoby nudno gdyby chodziło tylko o 1 serwis www, do tego jeszcze mój. Trzymajcie się mocno… Szybki kurs bash i mamy coś takiego:

 

Reklama Blogvertising.pl

 

for i in `seq 192 255`; do IP="178.63.212.$i"; wget "http://www.zone-h.org/archive/ip=$IP" -q -O - | egrep -i "Total notifications:" | sed -r "s/^.*Total notifications: <b>([0-9]+)<\/b>.*$/\1/g" | awk -v ip=$IP '{if ($1 > 0) {print ip" domen: "$1}}'; done;

 

Powyższa linijka sprawdza nam cały zakres IP, który został przydzielony dla cal.pl pod kątem występowania w serwisie zone-h.org

 

Wynik to:

178.63.212.198 domen: 407

178.63.212.199 domen: 4

 

Łącznie 411 domen, wszystkie z 24 listopada, które zostały zaatakowane w ciągu 1 dnia, nieźle. Na większości z nich plik index.html jest wciąż podmieniony. Cal.pl milczy…

 

Bonus pack: http://www.zone-h.org/archive/ip=178.63.212.198

 

#> whois 178.63.212.198

 

inetnum: 178.63.212.192 - 178.63.212.255

netname: TRZISZKA-ROMAN

descr: Trziszka Roman

country: DE

admin-c: RT3786-RIPE

tech-c: RT3786-RIPE

status: ASSIGNED PA

mnt-by: HOS-GUN

source: RIPE # Filtered

 

#> uname -a

Linux san.cal.pl 2.6.18-028stab059.6 #1 SMP Fri Nov 14 14:01:22 MSK 2008 x86_64 x86_64 x86_64 GNU/Linux

 

Całe szczęście cal.pl nie powierzyłem swoich istotnych danych, używałem serwera jako storage na różnego rodzaju “śmieci”. Zapewne w przeciwieństwie do ludzi, którzy utrzymują na serwerach cal.pl swoje sklepy, aplikacje, co najgorsze może nawet systemy ERP…

 

Jak jest moja rada? Sprawdźcie pliki na swoich kontach i zażądajcie od cal.pl wyjaśnienia w tej sprawie.

[xorg 693]

Po raz kolejny dają ciała, a za pół roku będą się wypierać czegokolwiek.

[Gość Pokuć]

Jak widać duży transfer i niskie ceny nie idą w parze z jakością...

 

Ostatnio dwie duże galerie kolejowe były zgłoszone jako dokonujące ataków, admini wyczyścili z syfu serwer i znów mieli problemy...

 

No ale tak to jest jak się robi lipę w OVH...

[MiSi3kK 16]

Ich systemy są mocno dziurawe, w dodatku mało ich to interesuje