Próba włamania na moją stronę ???

[Rafal]

Jak codzień, również dziś przeglądałem statystyki mojej strony (Webalizer Version 2.01). Wczoraj zostało pobranych 2 razy więcej danych niż zwykle! Reszta statystyk:

* Wywołania: 45.379 (o około 10.000 więcej niż zwykle)

* Wizyty i lokalizacje: średnio, czyli tyle co zwykle

* Strony: 6 razy więcej niż zwykle

* Pierwsze 30 z ogólnej liczby URLi: na 1. miejscu /galeria/login.php (pierwszy raz ten plik pojawił się w statystykach) - wywołania: 12852 (więcej niż strona o GG! - 5573)

* Pod względem transferu strona /galeria/login.php weszła na 3. miejsce w zestawieniu miesięcznym.

Nie trzeba być detektywem, żeby stwierdzić, że ktoś próbował złamać hasło do mojej galerii zdjęć.

Moje pytanie:

Czy można dowiedzieć się kto to był (po IP).

W statystykach mam nazwy hostów w:

* Pierwsze 30 z ogólnej liczby 8929 lokalizacji

* Pierwsze 10 z ogólnej liczby 8929 lokalizacji uszeregowane wg KB

A może poprosić mojego povidera o jakieś logi?

Najgorsze, że nie wiem, czy to był jakiś dzieciak, któremu się nudziło, czy może komuś podpadłem... (ale za co?!)

[michal]

Najgorsze, że nie wiem, czy to był jakiś dzieciak, któremu się nudziło, czy może komuś podpadłem... (ale za co?!)

Uzywasz skryptu Coppermine, a to jest dosyc popularny skrypt i tak jak do phpnuke sa ludzie, ktorzy caly czas chca znalezc jakis exploit. jak sie znajdzie exploit to jest publikowane i wtedy banda dzieciakow robi defacements.

Jak zminisz skrypt to przestaniesz miec takie problemy, a dopoki tego uzywasz to radze stosowac wszystkie security updates na biezaco.

[Rafal]

Jak zminisz skrypt to przestaniesz miec takie problemy, a dopoki tego uzywasz to radze stosowac wszystkie security updates na biezaco.

W takim razie pewnie z phpBB jest tak samo. Też rozejrzeć się za aktualizacjami? A czy Ty miałeś kiedyś podobne problemy z tym forum?

[michal]

Z forum nie wiem, bo nie chce mi sie analizowac 40,000 linijek logow dziennie pod tym katem.

Kidys uzywalem phpnuke do czegos i tam mialem caly czas.

Jednak zawsze przy uzyciu skryptow open source dbam o to zebym mial wszystkie aktualizacje jak najszybciej.

[nrm]

krytyczne bugi w phpBB pojawiaja sie stosunkowo rzadko, ostatni poważny jaki pamietam to z wyświetlaniem , wszyscy na forach poblokowali ;-)))

co do coppermine (tez używam) to na razie na ich forum nie zauważyłem jakiejs większej ilości infosów o poważnych bugach.

[rattkin]

michal, jest juz phpbb 2.0.10, jesli mowimy o uaktualneniach

[michal]

michal, jest juz phpbb 2.0.10, jesli mowimy o uaktualneniach

fakt, jest i to juz nawet dosyc dlugo. Mi bardziej chodzilo o uaktualnianie w celu zatykania luk krytycznych.

Narazie nie bede instalowal wersji 2.0.10, bo i tak zastanawiam sie nad tym o czym kiedys rozmawialismy i IM coraz bardziej mi sie podoba.

[Rafal]

co do coppermine (tez używam) to na razie na ich forum nie zauważyłem jakiejs większej ilości infosów o poważnych bugach.

Ja też szukałem i znalazłem jedną łatkę, ale do jakiejś dużo starszej wersji.

Wpadłem jeszcze na taki pomysł, żeby nikt mi więcej nie marnował bez potrzeby transferu i żeby przypadkiem hasła nie złamał.

W tej galerii tylko ja mogę dodawać i usuwać zdjęcia, więc nikt poza mną nie ma potrzeby logowania się. Może by tak zmienić nazwę pliku do logowania na taką, którą tylko ja będę znał, a pod starą nazwą utworzyć plik HTML z rozszerzeniem PHP wyglądający tak samo jak oryginalny.

Dobry pomysł?

[Daniel Kędzierski]

Rafał to że ktoś odpalał stronę 300 razy wcale nie musi oznaczać włamania, keidyś też tak myślałem i prześledziłem wszystko - objawem takiej sytuacji może być np. dynamicznie przypisane IP dopakietów wtedy w logach pojawia się przy jednym wysiwetleniu strony około 30 IP które popierają bo kilka bajtów danych, są to celowe zabezpieczenia prze hackerami. Druga sprawa czy tak łatwo ustalisz po IP,nie koniecznie admin żeby żadać od drugiego admina kto na danym IP na jego sieci buszował musi przedstawic mu nie tylko logi wejść ale udowodnić że te logi są związane z włamaniem, skanowanie portów lub inne czynności.

Jest jeszcze jeden aspekt takiego widoku w statystykach - coś ala zjadanie twojego transferu bądź obciążanie Twojego serwera - jest na to zabezpieczenie, ale jeżeli ktoś ci to robi to znaczy że chyba mu podpadłeś. Wystarczy umieścić najcieższy element z Twojej strony na jakimś serwisie który jest odpalany po 3000 razy dziennie,za każdym odpaleniem pobierana grafika obciąży Twój serwer i zje transfer. Jak to wykryjesz to możesz zmienić nazwę, aleczy to pomoże śrendio bo na bład 404 też można wywalić serwer wystarczy wysłać jednorazowo jakieś 5000 zapytań z kilku msc.

Swojego czasu bawiliśmy się z kolegą w takie rzeczy - wystarczyło posiadać kilka serwisów które mają dużą odwiedzalność i serwer padały samoczynnie.

Sprawdź czy to było włamanie czy zwykłe otwieranie strony zjednego IP bo to różnica, nie wiem czy coś na to wskórasz.

Ja np mam automat do takich rzeczy który mógłbym zjeść transfer 2GB na godzine korzystając z różnych adresów IP - nie proxy.

Możliwości jest wiele więc musisz przeanalizować logi dokładnie nie tylko na podstawie webalizer bo to raczej mało mówiąc system statystyk.

Pozdrawiam

Mariusz

[zYm3N]

<censored>

Sory Panowie :-)

[rattkin]

schodzicie panownie na niebezpieczny grunt... o botnetach raczej nie wypada nam tu plotkowac, zwlaszcza ze za uzywanie botnetu mozna juz byc w polsce skazanym, znam kilka przypadkow precedensowych.

michal, chetnie zobacze PiO powered by IntegraMOD ! mozna by wprowadzic duzo ciekawych dodatkow...

[nrm]

michal, chetnie zobacze PiO powered by IntegraMOD ! mozna by wprowadzic duzo ciekawych dodatkow...

a ja bym tego nie instalował. kupe niepotrzebnego śmiecia obciążającego serwer. podobnie jak phpBB by przemo. naładowane wszystkimi mozliwimy dodatkami. ja wolę doinstalowywac sobie sam potrzebne dodatki.

[michal]

michal, chetnie zobacze PiO powered by IntegraMOD ! mozna by wprowadzic duzo ciekawych dodatkow...

Ja rowniez

Musze tylko troche zmian zrobic w nim, bo tak jak tutaj mam troche wlasnego kodu do pewnych rzeczy tak i tam bede musial to wprowadzic. Poza tym nie znalazlem polskiego pakietu, wiec do modulow, ktore beda uzywane bede musial sam przetlumaczyc. Na to potrzebuje troszeczke spokojnego czasu, a tego mi ostatnio coraz bardziej brakuje.... ale zrobie to napewno.

kupe niepotrzebnego śmiecia obciążającego serwer. podobnie jak phpBB by przemo. naładowane wszystkimi mozliwimy dodatkami. ja wolę doinstalowywac sobie sam potrzebne dodatki.

dlatego ja robie swoje wlasne amiany i ani w przemo ani w IM nie bede wrzucal wszystkiego na serwer.

Jednak chyba latwiej mi bedzie zmodyfikowac IM do wlasnych potrzeb niz robic wszystko od nowa, bo czesc modow ktore tam sa, zaoszczedza mi kupe pracy.