Ktoś mi wrzucił reklamę Viagry na stronę !!!

[tojan3]

Niejasno się wyraziłem . Forum było (jest) w katalogu /forum/,

a podmieniony plik to główna strona całego serwisu - /index.php, a więc

poza katalogiem forum. Oprócz tego w głównym katalogu znalazło się

jeszcze kilka plików: index.php.01, index.php.02, itp.

no tak, to raczej jednoznacznie wskazuje ....

[breja]

poza tym mam swticha

To nie problem :-) moze masz AP ??

[mb]

szy:

Dzieki niektorym dziurom w phpbb mozna(bylo) przejac calkowicie wladze nad kontem Zarowno tworzyc katalogi, kasowac, dostep do konsoli, ftp,bazy itp itd. Wiem bo sie interesowalem

[zYm3N]

poza tym mam swticha, więc sniffing wykluczony.

Nawet nie wiesz, jak bardzo się mylisz

dla świętego spokoju przeskanuję

A gdyby "dobry znajomy" napisał i Ci podrzucił? Takie cudo to około 200-500 linii kodu. Do napisania w jeden dzień. Wiem, bo robiłem.

jest odporne na ataki słownikowe i brute force (tzn. szybko się go nie złamie)

Brute force jest jedyną 100% skuteczną metodą. Nic nie jest jemu odporne, może tylko wydłużyć czas działania do nieosiągalnego.

Nie sadze, zeby to byla wina phpbb. dziury w phpbb pozwalaja na administracje skryptem, ale z tego co moja skromna wiedza mi mowi, to przeciez nie oznacza, ze beda mieli dostep do ftpa (Ta strona nie powstala przy pomocy phpbb, tylko po wrzuceniu ftpem)

Przy źle skonfigurowanym hostingu dajesz sobie system("") i robisz co chcesz.. są nawet "skrypty emulujące powłokę w php'...

A folder można też w ten sposób utworzyć?

Tak:

mkdir

(PHP 3, PHP 4 , PHP 5)

mkdir -- Makes directory

Description

int mkdir ( string pathname, int mode)

Attempts to create the directory specified by pathname. 

Note that you probably want to specify the mode as an octal number, which means it should have a leading zero. The mode is also modified by the current umask, which you can change using umask(). 

mkdir ("/path/to/my/dir", 0700);

 

Returns TRUE on success and FALSE on failure. 

See also rmdir(). 

[Rafal]

Nawet nie wiesz, jak bardzo się mylisz

Czytałem, że jak jest połączenie przez switcha, to sniffing jest utrudniony. Poza tym to tylko moja rodzina, która sobie nawet z XP nie radzi.

Brute force jest jedyną 100% skuteczną metodą. Nic nie jest jemu odporne, może tylko wydłużyć czas działania do nieosiągalnego.

Dlatego napisałem w nawiasie co mam na myśli.

Bardzo szybko otrzymałem odpowiedź:

Faktycznie, z logów serwera wynika, że z domeny rosyjskiej ktoś logował 

się na Pana konto. Hasło było mu znane, w logach nie ma zapisanych 

nieudanych prób logowania, ani też prób logowania się na inne konta z 

tej domeny. W załączniku przesyłam komplet logów od dnia 19 kwietnia 

(od_19_04_2005.ftp.log.gz), oraz wycięty tylko ten fragment, dotyczący 

włamania (prawdopodobnie.ftp.log.gz).

No i mamy:

[...]

gprs-226-40.scs-900.ru UNKNOWN rafal [26/May/2005:10:47:46 +0000] "MKD cialis" 257 -

[...]

Wydaje mi się, że ktoś zna się na rzeczy.

Cytując mojego wykładowcę od matematyki:

Ważne pytanie:

- Skąd mieli moje hasło i jak można się zabezpieczyć przed takim włamaniem? Może w ciągu dnia coś mi przyjdzie do głowy.

PS. Dzięki Szy.

/EDIT/

- Teraz dałem takie hasło, że nawet miałem problemy z przepisaniem go.

- W Firefoxie mam zapamiętane wszystkie hasła, ale plik 'signons.txt' mam zaszyfrowany. Klient FTP to TotalCommander, gdzie hasło mam też zapamiętane, ale nie zaszyfrowane. Tylko, że ktoś musiałby mi się do komputera włamać, ale na prawdę bardzo staram się, żeby był jak najlepiej zabezpieczony.

- Czasem ktoś mi skanuje porty, ale tylko z 62.179.x.x

[zYm3N]

Czytałem, że jak jest połączenie przez switcha, to sniffing jest utrudniony

Trzeba tylko zrobić zalew arpekami aż do przepełnienia bufora huba. Jedna pętla w linuxie (bash).

Jakiego masz firewalla ?

I jedna z gorszych spraw:

jeśli ktoś jest inteligentny, podrzucił Ci program. Program jest np. w pamięci i uruchamia się (aktywuje procedurę działania) co jakiś czas. Wtedy łączy się z jakimś serwerem poprzez np. http (tego sobie raczej nie zablokujesz) i przy użyciu post posyła mu zalogowane dane.. a te zalogowane dane, to mogą być np. hasła..

Rozwiązanie? Przeczesać system w poszukiwaniu programów, które nie powinny być zainstalowane: rejestr, aktywne procesy.. Dobrze by było, gdybyś także np. znalazł jakiś program do logowania połaczeń z witrynami/serwerami, odpalił go i zostawił komputer na jakiś czas (pytanie tylko, czy atakujący ustawił sobie 30 min odstępu, czy 5 dni...).. Jest szansa, że coś znajdziesz. Możesz także postawić serwer na linuxie i ewentualnie zapisywać wszystkie wysyłane zapytania, a później grep albo awk i sprawdzanie, które szły np. na rosję. Może wtedy coś znajdziesz?

Ogólnie, jeśli nastąpił włam, to nie wiesz, czy coś nie zostało zmodyfikowane. Teraz, to nawet Twój ping może być przebudowany (jaki problem zbudować pinga i dodać do niego mały kod?)... Na Twoim miejscu wypiąłbym się z sieci, przeinstalował system, zainstalował firewalla, podpiął się do internetu od razu wszedł na windowsupdate i był bardzo uważny na każdy komunikat systemu.. aha, no i antyvirus też po dyskach bym zapuścił. Jakiekolwiek info, out. Tylko, tak jak pisałem, jak to jest atak pojedynczy, to żaden antyvirus nie da rady. Zresztą kiedyś w formie testów zmodyfikowałem sobie w netbusie ten nagłówek co jest na początku: "this program must be run under win32" na jakiś śmieszny tekst o takiej samej długości.. nie poprzesuwały się ofsety w pliku, natomiast antyvirusy też już programu nie wykryły...

Trudne hasła? Jak ktoś ma zainstalowanego trojana/sniffera/keyloggera u Ciebie, to nawet nie będzie musiał z kartki przepisywać ))

ps. Nie masz czasem jakiegoś emula/dc++ i udostępniasz haseł w pliku tekstowym? To dość częsty problem...

pzodr.

[EDDY]

"Nie masz czasem jakiegoś emula/dc++ i udostępniasz haseł w pliku tekstowym? To dość częsty problem..."

W ten sposób mialem dostęp do różnych ftp.

:mrgreen:

[zYm3N]

W ten sposób mialem dostęp do różnych ftp.

Bawiłem się kiedyś i dzięki czemuś takiemu, dzięki indeksowaniu przez google zasobów, które nie powinny być zaindeksowane można dokonać naprawdę wiele

pzodr.

[EDDY]

Właśnie zapolowalem i już ciągnę from Amsterdam :mrgreen:

[Skuzik]

Właśnie zapolowalem i już ciągnę from Amsterdam :mrgreen:

Na emulu troche tego jest, ale na DC pewnie jak by się szukało, to by się jeszcze więcej znalazło , bo goście, żeby mieć więcej udostępnione dodają do rzeczy udostępnionych cały dysk C .

A swoją drogą ciekawe dlaczego akurat właśnie u ciebie to zrobili :? :?:

[Rafal]

Trzeba tylko zrobić zalew arpekami aż do przepełnienia bufora huba. Jedna pętla w linuxie (bash).

Ale to tylko z sieci lokalnej się da, prawda?

Jakiego masz firewalla ?

Sygate Personal Firewall Pro.

Wtedy łączy się z jakimś serwerem poprzez np. http (tego sobie raczej nie zablokujesz) i przy użyciu post posyła mu zalogowane dane.

Czasem jak jakiś program chce np. uruchomić przeglądarkę i otworzyć swoją stronę domową, to mój firewall to wykrywa i pyta się, czy pozwolić na to. Takich komunikatów nigdy nie bagatelizuję. Czy to nie wyklucza użycia keyloggera?

Przeczesać system w poszukiwaniu programów, które nie powinny być zainstalowane: rejestr, aktywne procesy..

Najrzadziej raz na miesiąc aktualizuję wszystkie programy, skanuję system, nawet jeśli wszystko jest w porządku. - Ad-Aware, AntiVir, Spybot - Search & Destroy. Również kilka razy dziennie zaglądam do Menadżera zadań. Czasami przeglądam listę usług (services.msc), autostart (msconfig). Powyłączałem wszystkie usługi typu pomoc zdalna, wszystko od sieci lokalnej, rejestr zdalny, telefonia, itd. Aktualizuję system, czasem monitoruję (przeglądam) aktywne połączenia.

Dobrze by było, gdybyś także np. znalazł jakiś program do logowania połaczeń z witrynami/serwerami

Firewall ma taką opcję (Traffic Log). Niestety mam standardowo ustawioną max. wielkość pliku 512 KB, co wystarcza na niecałe 2 dni. (Człowiek uczy się na błędach...)

zainstalował firewalla, podpiął się do internetu od razu wszedł na windowsupdate

Zanim podłączy się kable MUSI BYĆ zainstalowany SP2. Inaczej nie starczy czasu na aktualizację przed atakiem wirusów.

ps. Nie masz czasem jakiegoś emula/dc++ i udostępniasz haseł w pliku tekstowym? To dość częsty problem...

Sam o tym przestrzegam na swojej stronie. Mam DC++, ale pliki udostepnione mam na osobnej partycji.

Może włączyć szyfrowanie na całej partycji systemowej?

Moim błędem może być korzystanie z Outlook Express.

Czy na Hostings można łączyć się przez SFTP? (WinSCP)

Mam jeszcze jedną potencjalną drogę wycieku.

23 lutego 2005 07:59

Przypomnienie hasla konta (Webserwer.pl)

Poczta nieszyfrowana. Ja NIE wybierałem opcji przypomnienia.

[zYm3N]

Ale to tylko z sieci lokalnej się da, prawda?

Tak. Tam gdzie zaatakujesz switcha, tam będzie rozsyłał wszędzie (chyba, że ma "klasę" ;-))

Czasem jak jakiś program chce np. uruchomić przeglądarkę i otworzyć swoją stronę domową, to mój firewall to wykrywa i pyta się, czy pozwolić na to. Takich komunikatów nigdy nie bagatelizuję. Czy to nie wyklucza użycia keyloggera?

I tutaj jest problem.. bo np. dajesz pozwolenie na połączenie z forum.optymalizacja.com, a keyloger jest w stanie zamieszać w dns które posiadasz i podmienić forum.optymalizacja.com na ruski IP.. Wtedy jednak firewall powinien o tym poinformować. Tak samo powinien poinformować, jeżeli np. od momentu pozwolenia na dostęp do internetu do czasu dostępu uległ zmianie dany program (oj, jakie to wkurzające, jak się pisze jakiś program do komunikacji w internecie i ma firewalla..)

Sygate Personal Firewall Pro.

Jakoś nie trawię. Ale to opinia ;-) A może masz możliwość odpalenia linuxa (na serwerze, nie wiem jak masz internet dla sieci) + ipchains (to jest chyba stare, ale nowy odpowiednik tego).. Dla mnie to zawsze był idealny sposób obrotny.. a pod winde.. hm, nie mam zielonego pojęcia, ja z niczego nie korzystam

Najrzadziej raz na miesiąc aktualizuję wszystkie programy, skanuję system, nawet jeśli wszystko jest w porządku. - Ad-Aware, AntiVir, Spybot - Search & Destroy. Również kilka razy dziennie zaglądam do Menadżera zadań. Czasami przeglądam listę usług (services.msc), autostart (msconfig). Powyłączałem wszystkie usługi typu pomoc zdalna, wszystko od sieci lokalnej, rejestr zdalny, telefonia, itd. Aktualizuję system, czasem monitoruję (przeglądam) aktywne połączenia.

Szukaj podejrzanych nazw. Czasami niestety jest problem: kumpel znalazł błąd, który sprawia, że jeżeli odpalisz jako usługę program o odpowiedniej nazwie, to nawet jeśli dasz menedżera zadań, to podczas próby skillowania procesu dostaniesz komunikat o niemożności wykonania tego zadania, bo "jest to proces systemowy"... błąd, który jest, a MS go nie zamierza usunać (ciekawe czy ms o tym wie ;]).

Firewall ma taką opcję (Traffic Log). Niestety mam standardowo ustawioną max. wielkość pliku 512 KB, co wystarcza na niecałe 2 dni. (Człowiek uczy się na błędach...)

Będziesz musiał mieć to w zjadliwym formacie. Bez tego, ręcznie przeglądając możesz się zajechać na śmierć..

Zanim podłączy się kable MUSI BYĆ zainstalowany SP2. Inaczej nie starczy czasu na aktualizację przed atakiem wirusów.

Firewall powinien zablokować wszystkie porty oprócz 80. Wtedy nie powinno Ci się nic stać...

Może włączyć szyfrowanie na całej partycji systemowej?

Padnie system, padną klucze, padną dane Sprawdzone.

Moim błędem może być korzystanie z Outlook Express.

Skorzystaj np. z thunderbirda lub the bat.. lub wielu wielu innych. Naprawdę są lepsze narzędzia. Jak w outlooku odbierasz maila, to nawet nie musisz otwierać załącznika, żeby Ci się odpalił wirus/trojan.. wystarczy przeczytać.. Przykre, ale prawdziwe.

Czy na Hostings można łączyć się przez SFTP? (WinSCP)

Nie wiem, ale wiem na pewno, że są problemy z łączeniem się na serwer mailowy i pobieranie kluczy.. mój thunderbird wywala komunikat o niezgodności klucza (jest przydzielony do komputera o domenie ws85.mucha.us, a ja łączę się na mail.zymen.net) i przy ustawieniu odbierania maili co 10 min to jest naprawdę irytujące.. a wyłączenie logowania po ssl powoduje wysyłanie hasła plain-textem.. odpowiedź hostings.pl? "Przykro, niestety nie da się". No, mówi się trudno Szkoda tylko, że to hasło w plain text leci sobie przez pół polski... wróć! Świata

Poczta nieszyfrowana. Ja NIE wybierałem opcji przypomnienia.

Na bravo.pl do konta mailowego (forumowego?) pytanie podpowiedź do zapomnianego hasła brzmiało: jaki jest Twój ulubiony dzień tygodnia. Możliwości odpowiedzi było wiele: poniedziałek, wtorek, środa.. dodatkowo, żeby bylo zabawniej była to lista rozwijana

Może miałeś coś takiego? Np. bardzo często ludzie mają pytania w stylu: "czy kocham XYZ?". Odpowiedzi są 3 [tak, nie, nie wiem].. musze przyznać, że to działa i to baaaaaaardzo sprawnie ))

pozdr.

[breja]

Najrzadziej raz na miesiąc aktualizuję wszystkie programy, skanuję system, nawet jeśli wszystko jest w porządku. - Ad-Aware, AntiVir, Spybot - Search & Destroy. Również kilka razy dziennie zaglądam do Menadżera zadań. Czasami przeglądam listę usług (services.msc), autostart (msconfig). Powyłączałem wszystkie usługi typu pomoc zdalna, wszystko od sieci lokalnej, rejestr zdalny, telefonia, itd. Aktualizuję system, czasem monitoruję (przeglądam) aktywne połączenia.

To ty jestes niezly :-)

Ja nie uzywan NIC na wlasnym kompie do zabezpieczania raz na miesiac dwa przeskanuje system czymstam online

XP stoi juz przeszlo rok (reanimowany kilka(nascie) razy w tym odzyski calych partycji po kaszankach) a programow przewalam tysiace (zeby nie bylo ze nie uzywam xp) Jedynie jakie mam aktywne zabezpieczenie to ten serwerek z podpisu firewall IPTABLES sam ustawialem

Co do twojego przypadku obstawiam trojana/keylogera ktory wysluchal lub wyciagnol twoje hasla z TC lub przechwycil je podczas logowania sie na ftpa.

[Rafal]

Może miałeś coś takiego?

Nie. Sprawdź https://www.webserwer.pl/sendpass.asp tylko proszę, nie wpisauj tam nic, bo właśnie wysłałem sobie znowu moje super trudne hasło na maila. (Nigdy wcześniej nie korzystałem z tej opcji).

A może masz możliwość odpalenia linuxa (na serwerze, nie wiem jak masz internet dla sieci) + ipchains

Mówisz o tym postawiniu serwera i logowaniu połączeń? Pod Mandrake 10.1 mam standardowo Apache + SSL + PHP + ... + zinstalowane MySQL.

Przejrzałem wszystkie oststnie logi FTP i zobaczyłem takie oto różne ciekawostki:

rafal.joint.eu.org UNKNOWN nobody [25/Apr/2005:12:49:55 +0200] "USER raf256" 331 -

rafal.joint.eu.org UNKNOWN raf256 [25/Apr/2005:12:49:56 +0200] "PASS (hidden)" 230 -

[...]

rafal.joint.eu.org UNKNOWN raf256 [25/Apr/2005:10:55:33 +0000] "STOR /studiomb/wwiz-095.01ewm.tar.bz2.part" 226 1331480

[...]

dkg9.neoplus.adsl.tpnet.pl UNKNOWN kompania [28/Apr/2005:21:01:49 +0000] "RETR rafalmilus.jpg" 226 109208

[...]

212.160.208.198 UNKNOWN rafal [02/May/2005:09:03:13 +0000] "RETR /www/secure/baza/config.inc.php" 226 10651

[...]

spb-1-199.dialup.rcom.ru UNKNOWN nobody [21/May/2005:13:30:43 +0200] "USER rafal" 331 -

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:13:30:43 +0200] "PASS (hidden)" 230 -

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:11:31:10 +0000] "RETR config.php" 226 260

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:11:31:46 +0000] "DELE rv.php" 250 -

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:11:31:55 +0000] "RETR r0nin" 226 0

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:11:31:58 +0000] "DELE r0nin" 250 -

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:11:32:14 +0000] "RETR config-php.txt" 226 101

spb-1-199.dialup.rcom.ru UNKNOWN nobody [21/May/2005:13:35:39 +0200] "USER rafal" 331 -

spb-1-199.dialup.rcom.ru UNKNOWN rafal [21/May/2005:13:35:39 +0200] "PASS (hidden)" 230 -

[...]

2.sieradz.mediaclub.pl UNKNOWN skt [30/May/2005:19:29:38 +0000] "DELE krawczyk_rafal.jpg" 250 -

Z tych logów nasuwa się wniosek, że kilka razy ktoś z Rosji się logował, z różnych hostów.

Zastanawiają mnie te inne wpisy, czy:

- Inni też mi grzebali na FTP (hasło jest publicznie znane)

- Admin ma jeden plik logów i wysłał mi wszystko co miało w nazwie 'rafal'.

Chyba napiszę jeszcze na https://forum.cc-team.org/ , ale nie teraz bo i tak już dużo czasu straciłem.

Pozostaje pyatnie: Czemu akurat ja? Czemu pozycjonują stronę na moim serwerze?

[Rafal]

lub przechwycil je podczas logowania sie na ftpa.

Ja raczej bym to obstawiał, zwłaszcza, że jak kiedyś pisałem, moja strona jest na jakiejś (czarnej) liście.

Albo maila z hasłem przechwycili. Przecież to nie jest trudne.