Ciagle wlamania na strone

[www.mzone.uk 1200]

Czy to włamanie jest zawsze w godzinach nocnych, czy także w dzień?

 

dostep do konta ma tylko on

Kto to jest, Twój administrator?

[Gość Matmaxalez]

w godzinach nocnych

 

Dostep ma tylko wlasciciel konta, czyli admin portalradiowy.pl

[WebhostingIT 0]

Problem leży nie tyle w hasłach co w zainstalowanym oprogramowniu na serwerze, mówię tutaj o skryptach php itd,

 

Np. Oscommerc 2.22 potrafi narobić sporo problemów...

[denis94 0]

Dobrze, PRZYJMIJMY, że skrypt ma dziurę który w jakiś sposób pozwala wyświetlić te dane bazy i w taki sposób atakujący wchodzi do phpmyadmin ale cały czas nie mogę pojąć w jaki sposób był on zdolny zmienić treść plików na serwerze? W bazie danych nie są przechowywane dane kont ftp.

 

Czy skanowanie popularnymi antywirusami może pomóc wykryć ewentualnego keylogera na komputerze?

Skanowałem wiele razy, zaopatrzyłem się w dodatkowe firewale, poblokowałem numery ip, hosty lecz nic z tego

[ksk 67]

A może ma hasło administratora DA ? o tym ktoś pomyślał ?

[denis94 0]

Niczego nie można wykluczać ale stronę posiadam na serwerze wirtualnym i sam nie mam dostępu do administratora DA.

Administracja hostingu raczej nie udostępniła by hasła osobie trzeciej a jeżeli nawet to przecież zauważyła by to, że osoba korzysta z ich konta.

[maminowiec 9]

Skoro zalogował sie do phpmyadmin znając hasło to pewnie wyświetlił go z pliku łączącym sie z bazą (często config.php)

 

Czy po włamaniu wgrywałeś nowy czysty skrypt ?

 

widzę , że forum masz na skrypcie phpbb by przemo więc forum jest w porządku pod warunkiem ze nie ma dostępu do PA.

 

Możesz przeskanować pliki z ftp , ale nie będziesz miał 100% pewności.

Edytowano Marzec 17, 2011 przez maminowiec (zobacz historię edycji)

[denis94 0]

A co jeżeli plik config znajduje sie poza katalogiem public_html i nie da się go w żaden sposób wyświetlić za pomocą przeglądarki lub pobrać? Dostęp do config jest tylko z poziomu ftp.

[maminowiec 9]

Więc pewnie ma wgranego shella i podgląda sobie pliki na ftp.

[m4ni3k 0]

1. Wez jakis inny komputer najlepiej aby byl po formacie, pozmieniaj na nim wszystkie hasla jakiekolwiek sa na twoich serwerze, ftp, panel klienta, skrypty do panelu klienta.

 

2.Wgraj np. najnowszy Cuteftp ( bez tych z sieci + witaminek bo nie massz pewnosci ze witaminka jest dobra i nie wysyla przypadkiem do potencjalnego atakujacego, osoby uprawnionej danych do kont ftp ).

 

3.Przeanalizuj dane ktore masz na kopii zapasowej czy nie jest przypadkiem juz wklejony kod iframe itp.

 

4.zrob analize logow z ftp, http, do jakich plikow mial dostep przed wlamaniem ( o ile wogle mial )

 

Zadzwon do administratora serwera ( dostawca ) i zapytaj sie w jaki spsoob mial dostep potencjalny wlamywacz o ile ci pomoze

Edytowano Marzec 19, 2011 przez m4ni3k (zobacz historię edycji)

[denis94 0]

Witaj. Zastosowałem się do twoich rad.

5 godzin po formacie komputera atakujący zalogował się do phpmyadmin.

Administrator zupełnie nie chce współpracować od razu twierdzi, że to moja wina i mam radzić sobie sam.

[kafi 2425]

Administrator zupełnie nie chce współpracować od razu twierdzi, że to moja wina i mam radzić sobie sam.

To zmień go na takiego, który będzie chciał współpracować... W końcu przecież chyba za to mu płacisz?

[Gość Matmaxalez]

Jezeli chodzi o mnie, to juz problem rozwiazany <br>

[regdos 1848]

Cieszy nas to ale wypadało by napisać co było problemem.

[Gość Matmaxalez]

Problemu nie znalezlismy; ale zeskanowalismy komputery, usunelismy ciasteczka itp. zmienilismy hasla wszystkie, i teraz gdy sie logujemy to usuwamy wszystkie ciasteczka i jakos nie ma juz problemu

[denis94 0]

Tez to robiłem a ciasteczka są usuwane po każdym zamknięciu przeglądarki. Niestety on musi mieć jakiś inny sposób wyciągania haseł.

[Miłosz 2311]

I zapewne dalej twierdzicie, że to wina zabezpieczeń serwera a nie skryptów?

[denis94 0]

Włamanie do bazy - przechowuję na serwerze plik z danymi do bazy i w jakiś sposób atakujący być może mógł je wydobyć ale...

 

Ale włamanie do ftp wydaje się nie możliwe ponieważ żaden skrypt który posiadam nie wykorzystuje ftp a tym bardziej w żadnym pliku na serwerze nie przychowuję hasłą do ftp więc w jaki inny sposób atakujący mógł je zdobyć?

 

Miłoszu. Posiadasz własny hosting czy twoim zdaniem jest możliwe wydobycie hasła do ftp gdy żaden skrypt z niego nie korzysta?

Edytowano Marzec 26, 2011 przez denis94 (zobacz historię edycji)

[Gość hdmagc]

Zapoznaj się z określeniem sniffing.

 

Dla mnie to niezrozumiałe tak długo nie móc wyłapać tematu i klienta.

[Miłosz 2311]

A masz pewność, że ten gość ma dostęp do ftp? Dziura jest bankowo w kodzie.

 

poza tym jak kolega wyżej napisał, hasła ftp sa nieszyfrowane.

[kafi 2425]

Miłosz, odważne stwierdzenie.

Osobiście to bez analizy całości to nie odważył bym się na bankowe stwierdzenia...

[Miłosz 2311]

kafi, może i tak.. ale

Różne VPSy, różne hostingi.. i ten sam problem. Więc śmiem twierdzić iż to problem z kodem. A może kolega denis94 chciałby udostępnić wgląd do kodu?

[denis94 0]

W ten weekend były kolejne 2 włamy

 

Po połączenie z bazą usuwam zmienne za pomocą unset. Czy można je jakoś wyświetlić skoro są usuwane odrazu po połączaniu z bazą?

 

Wgląd do kodu.. Hmm Trochę tego jest, bo w sumie to można to nazwać CMS-em.

[Miłosz 2311]

I co? Dalej jesteś przekonany, że skrypt jest w 100% bezpieczny?

[denis94 0]

Witam. Przeprowadziłem kolejne testy.

 

Na kilka godzin usunąłem pliki z serwera tak więc moje skryptu nie było. Zmieniłem hasła. W tym czasie było logowanie do phpmyadmin zarejestrowane w logach apache tak więc moim zdaniem wyjaśnia to, że problem leży wyżej.

 

 

Oprócz tego skontaktowałem się ze znajomym znającym się na rzeczy, wykonującym częściowe lub całkowite audyty bezpieczeństwa który zaoferował mi pomoc.

 

Po wstępnych oględzinach stwierdził, że priorytetową sprawą to zaktualizowanie oprogramowania na serwerze w tym mysql oraz apache które są nieaktualne.

Istnieje również prawdopodobieństwo podatności serwera na buffer overflow i jutro zostanie to przez niego sprawdzone.