Macsch 122 Zgłoś post Napisano Listopad 26, 2010 Było czy nie już ? Jak nie to przesyłam linka http://niebezpiecznik.pl/post/cal-pl-zaatakowane-przez-turkow I treść w razie usuniecia: Zastanawialiście się kiedyś co by się stało gdyby Wasz dostawca usług hostingowych padł ofiarą ataku? Nie? Mnie do dzisiejszego dnia też nie interesowało to zupełnie…Autorem tego artykułu jest radekk. Jeśli chcesz aby na Niebezpieczniku pojawił się Twój artykuł, daj nam znać. Deface tu, deface tam Dzień jak co dzień. Wracam z pracy, wchodzę do domu, odbieram telefon w drzwiach: – Wejdź na xxyyy123.com (domena wymyślona na potrzeby filmu), ktoś schakierował Ci stronkę. – *** – tutaj padło kilka niestosownych określeń z mojej strony, których nie mogę przytoczyć Nie minęła minuta, otwieram przeglądarkę, wpisuję adres swojej domeny i co widzę? Nie wiem dlaczego, ale nagle poczułem doskwierający głód, dostałem ochoty na kebaba… Analiza powłamaniowa Index.html ewidentnie podmieniony, pewnie bazy danych też już straciłem, tak samo jak pozostałe pliki. Zalogowałem się na serwer, listuję pliki, listuję bazy, wszystko w normie za wyjątkiem wspomnianego index.html oraz index.php, ufff. #> ls -la -rw-r--r-- 1 root root 2,47K Nov 24 17:03 index.html -rw-r--r-- 1 root root 2,47K Nov 24 17:03 index.php Wszystkie domeny, które były podpięte do mojego konta w katalogu public_html/ zawierały podane wyżej 2 pliki. Natomiast podkatalogi już nie, tak więc podmiana nie nastąpiła rekurencyjnie. Pierwsza myśl jaka przeszła mi przez głowę była związana z c99, r57 – to jednak nic z tych rzeczy. Żadnych plików PHP nie miałem u siebie na serwerze, kilka statycznych html i reszta to pliki tekstowe, obrazki. Wynika z tego, że wykorzystanie bezpieczeństwa luki w mojej webaplikacji odpada, lecimy dalej. W związku z tym, że dostęp do konfiguracji domeny i plików mamy poprzez DirectAdmina, pomyślałem sobie, że to może być klucz do zagadki. Faktycznie 6 stycznia 2010 wyszedł exploit, a konkretniej “Symlink Permission Bypass” dla DA ver. <= 1.33.6 (zainteresowani sami znajdą). Changelog: http://www.directadmin.com/features.php?id=1097 Plik /etc/shadow wystarczyłby żeby złamać hasła. Tak więc to może być miejsce, w którym Turcy przełamali zabezpieczenia serwera i zdobyli roota. Tego jest więcej… Ale to nie wszystko. Byłoby nudno gdyby chodziło tylko o 1 serwis www, do tego jeszcze mój. Trzymajcie się mocno… Szybki kurs bash i mamy coś takiego: Reklama Blogvertising.pl for i in `seq 192 255`; do IP="178.63.212.$i"; wget "http://www.zone-h.org/archive/ip=$IP" -q -O - | egrep -i "Total notifications:" | sed -r "s/^.*Total notifications: <b>([0-9]+)<\/b>.*$/\1/g" | awk -v ip=$IP '{if ($1 > 0) {print ip" domen: "$1}}'; done; Powyższa linijka sprawdza nam cały zakres IP, który został przydzielony dla cal.pl pod kątem występowania w serwisie zone-h.org Wynik to: 178.63.212.198 domen: 407 178.63.212.199 domen: 4 Łącznie 411 domen, wszystkie z 24 listopada, które zostały zaatakowane w ciągu 1 dnia, nieźle. Na większości z nich plik index.html jest wciąż podmieniony. Cal.pl milczy… Bonus pack: http://www.zone-h.org/archive/ip=178.63.212.198 #> whois 178.63.212.198 inetnum: 178.63.212.192 - 178.63.212.255 netname: TRZISZKA-ROMAN descr: Trziszka Roman country: DE admin-c: RT3786-RIPE tech-c: RT3786-RIPE status: ASSIGNED PA mnt-by: HOS-GUN source: RIPE # Filtered #> uname -a Linux san.cal.pl 2.6.18-028stab059.6 #1 SMP Fri Nov 14 14:01:22 MSK 2008 x86_64 x86_64 x86_64 GNU/Linux Całe szczęście cal.pl nie powierzyłem swoich istotnych danych, używałem serwera jako storage na różnego rodzaju “śmieci”. Zapewne w przeciwieństwie do ludzi, którzy utrzymują na serwerach cal.pl swoje sklepy, aplikacje, co najgorsze może nawet systemy ERP… Jak jest moja rada? Sprawdźcie pliki na swoich kontach i zażądajcie od cal.pl wyjaśnienia w tej sprawie. Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Listopad 26, 2010 Po raz kolejny dają ciała, a za pół roku będą się wypierać czegokolwiek. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Listopad 26, 2010 Jak widać duży transfer i niskie ceny nie idą w parze z jakością... Ostatnio dwie duże galerie kolejowe były zgłoszone jako dokonujące ataków, admini wyczyścili z syfu serwer i znów mieli problemy... No ale tak to jest jak się robi lipę w OVH... Udostępnij ten post Link to postu Udostępnij na innych stronach
MiSi3kK 16 Zgłoś post Napisano Listopad 27, 2010 Ich systemy są mocno dziurawe, w dodatku mało ich to interesuje Udostępnij ten post Link to postu Udostępnij na innych stronach