Skocz do zawartości
Dżo

Włamanie na konto w webd

Polecane posty

Wczoraj wykryłem, że na konto w webd, na którym stoi blog mojej dziewczyny dokonano włamania. W sumie niegroźnego, najwyraźniej włamywacz nie poczynił żadnych szkód, jedynie zmienił hasło dostępu do panelu administracyjnego bloga. Włamanie to jednak włamanie, a co najważniejsze po ponad 18 godzinach od zgłoszenia tego faktu w webd nie dostałem od nich żadnej odpowiedzi, nawet zwyczajowego "spadaj pan, to wina skryptu, którego pan używa" (taką odpowiedź choć grzeczniej sformułowaną dostałem od nich przy innej okazji). Szkoda, bo bardzo prawdopodobne, że włamywacz mógł sniffować ruch z ich serwera. Dlatego piszę o tym tutaj, być może nagłośnienie sprawy skłoni ich do zajęcia stanowiska. Poza tym chciałbym wiedzieć czy komuś jeszcze przytrafił się podobny przypadek.

 

Poniżej garść faktów i domysłów.

- Włamywacz zalogował się z adresu 212.71.37.* (zgaduję, że to jakieś proxy w Arabii Saudyjskiej).

- Logi Apache'a pokazujące aktywność tego jegomościa dostępne są tutaj.

- Na bloga mojej dziewyczny trafił z wyszukiwarki Live Search. Jak widać szukał stron stojących na tym konkretnym IP, co oznacza, że mógł znać lukę w zabezpieczeniach serwera, albo mógł sniffować ruch z serwera.

- Po wejściu do panelu administracyjnego bloga przez kilka minut nic nie robił, a potem zalogował się korzystając z poprawnego loginu i hasła. Zupełnie jakby szukał danych gdzieś u siebie. Poza tym to dowód, że atak nie nastąpił metodą słownikową ani siłową. Hasło nie było łatwe do złamania. Logi nie wskazują by wykorzystano cross site scripting ani SQL injection.

- Poharcował po panelu, prawdopodobnie zgrał zawartość bazy danych, zmienił hasło i tyle go widzieli.

- Moja dziewczyna korzysta z neostrady po kablu, nie dzieli z nikim dostępu. W ciągu ostatnich sześciu miesięcy nie logowała się spoza domu. Jeśli włamywacz mógł sniffować ruch to raczej po stronie serwera, a nie po stronie mojej dziewczyny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

robisz i igly widly. zapewne bug w wordpressie, ostatnio ich sporo. zrob upgrade, zmien hasla i nie rob przedstawienia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
robisz i igly widly. zapewne bug w wordpressie, ostatnio ich sporo. zrob upgrade, zmien hasla i nie rob przedstawienia.

 

Pudło. To nie Wordpress, a Nucleus, oczywiście w najnowszej wersji. Moją pierwszą hipotezą był błąd w skrypcie, jednak nie znalazłem nic na potwierdzenie tej tezy, za to sporo wskazuje na sniffing.

 

Poza tym, jeśli firma hostingowa nie reaguje na zgłoszenie dotyczące możliwej luki w bezpieczeństwie to chyba coś jest nie halo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość RuFiK

noi co z tego ? zgłósc to do swojego hostera, aczkolwiek niska szkodliwość społeczna wiec daj se siana ;]

 

pzdr

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie w tym tkwi połowa problemu, że webd ma moje zgłoszenie w głębokim poważaniu. Jak dotąd nie raczyli odpowiedzieć ani słowem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

sniffing na ich sieci i wlamanie na blog twojej kobiety? wolne zarty. mozlie ze bug typu 0-day. zrob sobie ssl`a i po klopocie. moze pc jest czyms zasiany, ale moim z daniem nie warto robic z tego wielkiego halo. a webd ma do tego jak piernik do wiataka.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moje podejrzenia mogą być mylne, a poza tym włamywacz nie poczynił żadnych szkód. O to nie zamierzam kruszyć kopii. Natomiast niepokojący jest fakt, że firma nie reaguje na zgłoszenie dotyczące bezpieczeństwa i dlatego moim głównym celem było zwrócenie na to uwagi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
- Na bloga mojej dziewyczny trafił z wyszukiwarki Live Search. Jak widać szukał stron stojących na tym konkretnym IP, co oznacza, że mógł znać lukę w zabezpieczeniach serwera, albo mógł sniffować ruch z serwera.

 

czy wyszukana fraza zawierała .php ?

 

 

po co komu hasło skoro wystarczy sesja ...

 

raczej napewno to poprzez XSS ...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hmm, powiem Ci obrazowo - duża firma hostingowa dostaje takich informacji czasami po kilka dziennie, w 99% wina leży po stronie dziurawego skryptu.. uwierz mi, że tego typu zgłoszenia są codziennością i nikt nie traktuje ich bardziej czy mniej priorytetowo.. a jak napisał kolega powyżej, za parę groszy miesięcznie nie spodziewaj się odpowiedzi po kilku minutach ; ].

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
- Po wejściu do panelu administracyjnego bloga przez kilka minut nic nie robił, a potem zalogował się korzystając z poprawnego loginu i hasła. Zupełnie jakby szukał danych gdzieś u siebie. Poza tym to dowód, że atak nie nastąpił metodą słownikową ani siłową. Hasło nie było łatwe do złamania. Logi nie wskazują by wykorzystano cross site scripting ani SQL injection.

- Poharcował po panelu, prawdopodobnie zgrał zawartość bazy danych, zmienił hasło i tyle go widzieli.

I webd.pl udostępnia takie szczegółowe dane, skoro wiesz dokłądnie każdy krok tego robota i każdej innej osoby na stronie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale te logi są bardzo ubogie... sam kiedyś próbowałem dojść dlaczego i jak się ktoś włamał i nic ciekawego w ich nie zauważyłem, oprócz IP włamywacza... .

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
czy wyszukana fraza zawierała .php ?

po co komu hasło skoro wystarczy sesja ...

 

raczej napewno to poprzez XSS ...

 

Wyszukiwana fraza nie zawierala "php". Z czego wnosisz, ze to XSS?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×