Uwaga: Exploit Na Vhcs'a

[Gość normanos]

Jaki dzisiaj szok przezylem widzac nowego usera o randz eadmin w swoim vhcs'ie user: oko2 z mailem vhcs-exploit@rs-labs.com

 

wg. forum VHCSa exploit poszedł na naprawdę sporo serwerów więc lepiej sprawdzcie swoje bo jest duże prawdopodobieństwo, że coś złapaliście

 

tutaj info:

http://securityreason.com/exploitalert/335

http://lists.grok.org.uk/pipermail/full-di...ary/042106.html

 

tutaj poprawka:

http://vhcs.net/new/modules/news/article.php?storyid=25

 

info o skasowaniu admina:

http://vhcs.net/new/modules/newbb/viewtopi...#forumpost23285

http://vhcs.net/new/modules/newbb/viewtopi...#forumpost24014

http://vhcs.net/new/modules/newbb/viewtopi...#forumpost23794

 

To niestety nie przysporzy vhcsowi dobrej opini.

[mahatma 0]

Potwierdzam

Zassalem ta poprawke kilka dni temu ale nie zainstalowalem bo czasu bylo brak i co?

Blad - duzy blad

15 tego miesiaca przestala sie otwierac jedna strona zresetowalem i poszlo

dzis jak wielkie bylo moje zdziwienie jak na stronie pojawila sie informacja ze zostala skackowane przez "Cyber Raider Hack Team" z Turcji.

Po wejsciu do panela okazalo sie ze mam 4 wspoladminow wysadzac ich mosialem z SQL pozmieniali hasla fdo kont ftp. pododawali kilka ftpuw i zmienili pliki index.* na swoje

zrobili to 17 wieczorem

kiedy zorientowali sie ze zaczynam ich usowac zalogowali sie ponownie pododawali sobie konta i zaczeli wkladan zamiast indexow wirusy.

 

Wylaczylem FTP

usunolem ich i potraktowlem vhcs2 poprawka co wszystkim polecam a przy okazji

to sa ip "kolegow" zastanawiam sie czy jest po co blokowac bo jak maja dynamiczne to nic nie da

 

202.150.92.34 anggands

202.80.112.198 wendz

85.99.19.106 deli

88.240.38.163 deli

[mahatma 0]

i skonczylo sie tym ze mam lezacy server

nie mam sostepu do ssh

vhcs nie dziala wcale dziala tylko poczta

[Gość normanos]

no i na co czekales? (((

 

ostrzegalem

 

wystarczy posta spreparowana stronka i juz mozna dopisac sobie admina do vhcs. to juz nawet zadnej filozofi nie trzeba i zadnych hakerow bo to kwestia kilku sekund. sam siebie "shaczylem" apotem wgralem update i sprawdzilem ponownie czy dziura naprawiona.

 

swoja droga to chyba najprostszy i najniebezpieczniejsyz blad jaki widzialem na drugim serwie chyba zabule z atego kretynskiego cpanela

[mahatma 0]

no i na co czekales? (((

 

ostrzegalem

 

wystarczy posta spreparowana stronka i juz mozna dopisac sobie admina do vhcs. to juz nawet zadnej filozofi nie trzeba i zadnych hakerow bo to kwestia kilku sekund. sam siebie "shaczylem" apotem wgralem update i sprawdzilem ponownie czy dziura naprawiona.

 

swoja droga to chyba najprostszy i najniebezpieczniejsyz blad jaki widzialem na drugim serwie chyba zabule z atego kretynskiego cpanela

Najgorsze jest to ze wczoraj wgralem ta poprawke a dzia wywalili mi ssh

wczoraj ich wywalilem z wszystkich baz wywalilem im wszystkie strony pliki konta itp

pozmienialem hasla i poblokowalem im IP

I rano

Bingo

[p 3]

1) To nie zadni hackerzy, ani nawet crackerzy, tylko zwykli 'script-kiddies' - jakby ktos kompetentny ci sie wlamal to bys nawet o tym nie wiedzial

2) To wcale nie taki najprostrzy i najniebezpieczniejszy blad... Duzo jest takich, a i troche gorszych tez by sie znalazlo. Generalnie w opraciu o tego typu bledy dzialaja wszyscy 'script-kiddies' (a przynajmniej tak mi sie wydaje).

[mahatma 0]

no tak ale jak ich wywalilem to jak oni mi wywalili SSH?

[p 3]

Widocznie ich nie wywaliles.

[mahatma 0]

Widocznie ich nie wywaliles.

tez mam takie wrazenie ale skad ich jeszcze moglem nie wywalic z baz napewno

 

i jak wywalili ssh? z VHCS

[p 3]

Jak mieli admina via VHCS to pewno (nie jestem na 100% pewien, bo nie uzywam VHCSa) mogli odpalic dowolny program / rootkita i zostawic sobie inny dostep do serwera niz tylko przez VHCS. Ilosc mozliwosci jest wrecz nieograniczona.

 

Jedyne co moge poradzic to czysta reinstalka systemu.

[Gość normanos]

po pierwsze: tak, to zwykli script-kiddies zgadzam sie w zupelnosci. jak juz mowilem "skrypt" jest ogolnie dostepny. wystarczy tylko podac hosta i juz mozna zakladac konta admina na starych wersjach vhcs'a.

 

po drugie: zajales sie tylko vhcsem a przeciez oni w tym czasie dostali zupelny wjaz na serwer. od mysqla poprzez shella i ftp.

 

ja jeszcze poskanowalem na rootkity itp. i nic nie znalazlem. przejrzalem logi vhcsa (mialem szczescie, chyba automatycznie zostal zalozony drugi admin ale zadna inna akcja nie zostala zrobiona), potem przejrzalem wszystkie logi systemowe i ostatnie logowania.

 

strachu sie najadlem, jeszcze troche sie boje ale wyglada na to, ze mialem duzo szczescia

 

a blad? oj masakra masakra... panowie panele adm. robia a proste bledy w php robia

[mahatma 0]

Miales szczecscie

moj problem polegal na tym ze zauwazylem dopiero po 2 dniach poniewaz 2 poprzednie dni bylem niedostepny i zauwazylem dpiero jak indexy zaczeli wywalac

 

 

pytanie teraz jak przywrocic te dane ale bez ich dodatkow?

[Gość voytar]

pytanie teraz jak przywrocic te dane ale bez ich dodatkow?

Nie masz backupu?

[mahatma 0]

mama mam ae zastanawialem sie tylko czy ich plikow w tym backupie nie ma