Skocz do zawartości
Shk

UPHOST (upares.pl) zaatakowane przez hackerów?

Polecane posty

Witam,

dzisiaj zauważyłem, że na wszystkich moich domenach znajdujących się na serwerze upares.pl

widnieje napis :

 

hacked by HiDDEN Pain , am really really sorry :(

 

Myślałem, że to tylko moje konto shared zostało zaatakowane, ale nie. Okazuje się, że po wpisaniu

do google : site:upares.pl kilka innych stron też ma taki problem. Nie wszystkie...

 

Możecie coś na ten temat powiedzieć? Zgłoszenie poszło już od firmy, zobaczymy co odpisze.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Jest coś na rzeczy, kilka stron z 1 strony google ma ten napis, kilka działa normalnie. Jedna ma napis: o powód zapytaj administrację i podany niżej jest mail do BOK UPhost.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co robić, aby unikać takich ataków? Druga sprawa - co zrobić teraz, w obecnej sytuacji już po ataku?

 

Widać, że wszystkie pliki zostały zmodyfikowane dzisiaj pomiędzy 00:00 a 01:00 w nocy (i graficzne i pliki html),

a przeglądając logi to w tych godzinach można zauważyć :

 

[sat Dec 03 01:38:05 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
[sat Dec 03 01:38:06 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!?

 

Pliki zostały można powiedzieć nadpisane takim tekstem jak w pierwszym moim poście.

W sumie nic nie straciłem. Na serwerze zaparkowanych było kilka domen (1 hostingowa, 1 regionalna, 3 *.pl i 1 *.eu),

które czekały na swoją kolej. Dziwny ten atak jest o tyle, że nie miałem żadnej bazy danych, skryptów przez które można by cokolwiek zdziałać.

Edytowano przez Shk (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie ma się co dziwić, jak DNSów nawet nie potrafią poprawnie ustawić... Ah ten Miodek wink.png Żenujący poziom usług i wiedzy się potwierdził. Co do samego ataku... pewnie wszyscy klienci jadą na tych samych prawach (apacha) + niezabezpieczone php i gotowe... @Shk, ten log oznacza że apache został przeładowany, a miodek nawet nie zmienił nazwy serwera na hostname ;)

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chyba czas się wynieść z UPHosta ;) Ostatnio spadek wydajności serwerów, zmiana maszyny VPSów o 15:00 i wszystko leżało przez ok. 18h i teraz jeszcze to...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy kogoś z Was też spotkał taki atak?

 

Support twierdzi, że problem występuje tylko u mnie. Ciekawe...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja właśnie znalazłem u siebie gotowy do uzycia plik php pozwalający na edytowanie wszystkich plików znajdujących się na serwerze, nazwane to jest wewnętrznie "Pain Indexer", wgrany dziś w nocy o godz. 01:32 (patrząc po dacie modyfikacji pliku). Jeszcze nie przeszukałem wszystkiego dokładnie, ale chyba nie zostało nic poza tym zmodyfikowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tylko gdzie w tej chwili jest "inż. Miodek"?

 

EDIT : Znalazłem u siebie też ten plik. Był w folderze głównym jednej z domen.

Nazwany index2final.php. Wygląda to tak :

 

http://iv.pl/images/98858781221514243237.png

http://iv.pl/images/34349642231266891355.png

Edytowano przez Shk (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Zaraz, jeżeli dobrze rozumiem to UPhost to są płatne konta, zaś upares to darmowe konta ? I to te genialne DARMOWE konta tak niedawno zachwalane zaliczyły wielki włam ? Jeżeli tak to nie pozostaje nic innego napisać że dobrze wam tak skoro żałowaliście paru złotych na porządny hosting na markowych serwerach. Najpierw zachwalali a teraz zgrzytają zębami pomimo tego że byli ostrzegani jak to się może skończyć w przypadku darmowego hostingu, zwłaszcza jeżeli prowadzi go dr. Miodek.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie tylko darmowe. Ja mam płatne za pomocą SMS i też zhakowane. Tak czy inaczej nigdy tam niczego ważnego nie miałem. Ot tak dla testów sobie zamówiłem usługę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mylisz się Paweł. Korzystałem akurat z płatnego konta za SMS.

Jak wspominałem wcześniej nie mam żadnej straty z powodu tego ataku.

 

Darmowe konta to upfree.pl, a upares.pl to konta płatne.

I skoro nie wiesz jak jest w rzeczywistości, to zostaw sobie te pouczenie dla siebie.

 

Korzystam z płatnego, profesjonalnego konta w unixstorm.org na którym przechowywane są wszystkie moje projekty,

a uphost.pl był tylko hostingiem testowym.

Edytowano przez Shk (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Hmm, faktycznie pomyliły mi się nazwy. No nic, pozostaje czekać na jakąs reakcję firmy i może jakiś komunikat...

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Ja mam najtańszy pakiet za sms i włamu chyba nie było na moje konto.

 

Ogólnie trzymam same domeny i konto służy do zarządzania strefą DNS ale kilka subdomen mam i nie ma tam żadnych takich plików.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie.

 

Ja mówiłem o obciążeniu serwera z VPSami. Przeładowany jak nic...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Próba wywołania wspomnianego pliku "index2final.php" (akurat u mnie przypadkiem, na całe szczęście, zakończona niepomyślnie) odbyła się z IP 41.107.198.159 wskazującego na: Algeria, Bejaia (Bidżaja). Wywołanie zdaje się, że było z normalnej przeglądarki, bo pobierało całą zawartość mojej strony "404" włącznie z js, css, obrazkami itd., a nawet było wywołanie nieistniejącej u mnie favicon.ico.

 

Pytanie pozostaje: jak ten plik dostał się na nasze konta? Ciekaw jestem wyników śledztwa, jeśli takie będzie i wskaże ono metodę jakiej ktoś użył. Mam nadzieję, że czegoś się od właściciela hostingu dowiem, bo brak informacji - wiem z doświadczenia - działa często gorzej niż nawet złe informacje.

 

 

 

A do osób krytykujących wybór takiego a nie innego hostingu...

Nie oszukujmy się, ale czynnikiem decydującym często jest głównie cena. Pamiętajmy, że wartość pieniądza jest względna, dla niektórych osób 50 zł miesięcznie będzie mało znaczące, dla innych nawet 50 zł rocznie będzie znaczącym wydatkiem, nad którym się trzeba zawsze zastanowić, więc jeśli można znaleźć coś za 20 zł rocznie (czy nawet mniej), wiele osób się skusi. Niektórzy z pełną świadomością niedogodności i ryzyka za tym idącego (jak np. ja), inni bez.

Edytowano przez Piotr GRD (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Nawet najtańszy hosting powinien mieć porządne zabezpieczenia, na równi z droższymi i znanymi markami. Może mieć słabsze serwery, darmowy panel - to są ważne rzeczy, ale najważniejsze są zabezpieczenia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wystarczyło by wklepać /usr/loca/directadmin/custombuild/build secure_php i myślę że by wystarczyło... (choć mogę się mylić)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

a nawet było wywołanie nieistniejącej u mnie favicon.ico.

Mały OT.

favicon.ico to wydaje mi się, że niektóre przeglądarki same z siebie próbują wywołać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie niektóre, tylko każda nowoczesna przeglądarka woła o faviconkę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@ regdos

Właśnie dlatego wnioskuję, że wywoływał to ktoś z prawdziwej przeglądarki, a nie był to bot.

Najpierw w jakiś niewiadomy dla mnie sposób wrzucił ktoś ten plik do folderów niektórych domen u różnych klientów, a potem wywoływał to przez HTTP. Ba, w moim przypadku za pierwszym podejściem wywołał w ogóle błędny URL, kilka sekund później się poprawił, co jednak z pewnych względów i tak nic dla tej mojej domeny nie dało (szczęśliwie). Po dwóch odświeżeniach i otrzymaniu 404 zrezygnował z dalszych prób.

Jeśli ktoś robił to w pełni "ręcznie", to tłumaczy to fakt małej ilości dotkniętych stron, w przeciwnym razie (przy użyciu bota) poszłoby lawinowo.

Edytowano przez Piotr GRD (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ze strony właściciela hostingu - inż. Miodka, nadal brak informacji...

Śmieszne, no ale.

 

Support 12:00-19:00 pon-pt

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.

×