Shk 51 Zgłoś post Napisano Grudzień 3, 2011 Witam, dzisiaj zauważyłem, że na wszystkich moich domenach znajdujących się na serwerze upares.pl widnieje napis : hacked by HiDDEN Pain , am really really sorry Myślałem, że to tylko moje konto shared zostało zaatakowane, ale nie. Okazuje się, że po wpisaniu do google : site:upares.pl kilka innych stron też ma taki problem. Nie wszystkie... Możecie coś na ten temat powiedzieć? Zgłoszenie poszło już od firmy, zobaczymy co odpisze. Pozdrawiam Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Grudzień 3, 2011 Jest coś na rzeczy, kilka stron z 1 strony google ma ten napis, kilka działa normalnie. Jedna ma napis: o powód zapytaj administrację i podany niżej jest mail do BOK UPhost. Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Grudzień 3, 2011 (edytowany) Co robić, aby unikać takich ataków? Druga sprawa - co zrobić teraz, w obecnej sytuacji już po ataku? Widać, że wszystkie pliki zostały zmodyfikowane dzisiaj pomiędzy 00:00 a 01:00 w nocy (i graficzne i pliki html), a przeglądając logi to w tych godzinach można zauważyć : [sat Dec 03 01:38:05 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [sat Dec 03 01:38:06 2011] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? Pliki zostały można powiedzieć nadpisane takim tekstem jak w pierwszym moim poście. W sumie nic nie straciłem. Na serwerze zaparkowanych było kilka domen (1 hostingowa, 1 regionalna, 3 *.pl i 1 *.eu), które czekały na swoją kolej. Dziwny ten atak jest o tyle, że nie miałem żadnej bazy danych, skryptów przez które można by cokolwiek zdziałać. Edytowano Grudzień 3, 2011 przez Shk (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
tym 205 Zgłoś post Napisano Grudzień 3, 2011 (edytowany) Nie ma się co dziwić, jak DNSów nawet nie potrafią poprawnie ustawić... Ah ten Miodek Żenujący poziom usług i wiedzy się potwierdził. Co do samego ataku... pewnie wszyscy klienci jadą na tych samych prawach (apacha) + niezabezpieczone php i gotowe... @Shk, ten log oznacza że apache został przeładowany, a miodek nawet nie zmienił nazwy serwera na hostname Edytowano Grudzień 3, 2011 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
roobsx 0 Zgłoś post Napisano Grudzień 3, 2011 No trochę przykro. Na szczęście trzymałem tam tylko niedokończone zaplecze. Udostępnij ten post Link to postu Udostępnij na innych stronach
Dawid Sz. 98 Zgłoś post Napisano Grudzień 3, 2011 Chyba czas się wynieść z UPHosta Ostatnio spadek wydajności serwerów, zmiana maszyny VPSów o 15:00 i wszystko leżało przez ok. 18h i teraz jeszcze to... Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Grudzień 3, 2011 Czy kogoś z Was też spotkał taki atak? Support twierdzi, że problem występuje tylko u mnie. Ciekawe... Udostępnij ten post Link to postu Udostępnij na innych stronach
Macsch 122 Zgłoś post Napisano Grudzień 3, 2011 Czy kogoś z Was też spotkał taki atak? http://forum.invisionize.pl/topic/28733-strona-shakowana/ Udostępnij ten post Link to postu Udostępnij na innych stronach
Piotr GRD 608 Zgłoś post Napisano Grudzień 3, 2011 Ja właśnie znalazłem u siebie gotowy do uzycia plik php pozwalający na edytowanie wszystkich plików znajdujących się na serwerze, nazwane to jest wewnętrznie "Pain Indexer", wgrany dziś w nocy o godz. 01:32 (patrząc po dacie modyfikacji pliku). Jeszcze nie przeszukałem wszystkiego dokładnie, ale chyba nie zostało nic poza tym zmodyfikowane. Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Grudzień 3, 2011 (edytowany) Tylko gdzie w tej chwili jest "inż. Miodek"? EDIT : Znalazłem u siebie też ten plik. Był w folderze głównym jednej z domen. Nazwany index2final.php. Wygląda to tak : http://iv.pl/images/98858781221514243237.png http://iv.pl/images/34349642231266891355.png Edytowano Grudzień 3, 2011 przez Shk (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Grudzień 3, 2011 Zaraz, jeżeli dobrze rozumiem to UPhost to są płatne konta, zaś upares to darmowe konta ? I to te genialne DARMOWE konta tak niedawno zachwalane zaliczyły wielki włam ? Jeżeli tak to nie pozostaje nic innego napisać że dobrze wam tak skoro żałowaliście paru złotych na porządny hosting na markowych serwerach. Najpierw zachwalali a teraz zgrzytają zębami pomimo tego że byli ostrzegani jak to się może skończyć w przypadku darmowego hostingu, zwłaszcza jeżeli prowadzi go dr. Miodek. Udostępnij ten post Link to postu Udostępnij na innych stronach
roobsx 0 Zgłoś post Napisano Grudzień 3, 2011 Nie tylko darmowe. Ja mam płatne za pomocą SMS i też zhakowane. Tak czy inaczej nigdy tam niczego ważnego nie miałem. Ot tak dla testów sobie zamówiłem usługę. Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Grudzień 3, 2011 (edytowany) Mylisz się Paweł. Korzystałem akurat z płatnego konta za SMS. Jak wspominałem wcześniej nie mam żadnej straty z powodu tego ataku. Darmowe konta to upfree.pl, a upares.pl to konta płatne. I skoro nie wiesz jak jest w rzeczywistości, to zostaw sobie te pouczenie dla siebie. Korzystam z płatnego, profesjonalnego konta w unixstorm.org na którym przechowywane są wszystkie moje projekty, a uphost.pl był tylko hostingiem testowym. Edytowano Grudzień 3, 2011 przez Shk (zobacz historię edycji) 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Grudzień 3, 2011 Hmm, faktycznie pomyliły mi się nazwy. No nic, pozostaje czekać na jakąs reakcję firmy i może jakiś komunikat... 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Grudzień 3, 2011 Ja mam najtańszy pakiet za sms i włamu chyba nie było na moje konto. Ogólnie trzymam same domeny i konto służy do zarządzania strefą DNS ale kilka subdomen mam i nie ma tam żadnych takich plików. Udostępnij ten post Link to postu Udostępnij na innych stronach
kaszub1136 109 Zgłoś post Napisano Grudzień 3, 2011 Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie. Udostępnij ten post Link to postu Udostępnij na innych stronach
Dawid Sz. 98 Zgłoś post Napisano Grudzień 3, 2011 Ja nie widzę zmian na stronie, wszystko jak chodziło tak chodzi bez żadnej czkawki. Nie mam pojęcia o jakich zwolnieniach mówicie. Ja mówiłem o obciążeniu serwera z VPSami. Przeładowany jak nic... Udostępnij ten post Link to postu Udostępnij na innych stronach
Piotr GRD 608 Zgłoś post Napisano Grudzień 4, 2011 (edytowany) Próba wywołania wspomnianego pliku "index2final.php" (akurat u mnie przypadkiem, na całe szczęście, zakończona niepomyślnie) odbyła się z IP 41.107.198.159 wskazującego na: Algeria, Bejaia (Bidżaja). Wywołanie zdaje się, że było z normalnej przeglądarki, bo pobierało całą zawartość mojej strony "404" włącznie z js, css, obrazkami itd., a nawet było wywołanie nieistniejącej u mnie favicon.ico. Pytanie pozostaje: jak ten plik dostał się na nasze konta? Ciekaw jestem wyników śledztwa, jeśli takie będzie i wskaże ono metodę jakiej ktoś użył. Mam nadzieję, że czegoś się od właściciela hostingu dowiem, bo brak informacji - wiem z doświadczenia - działa często gorzej niż nawet złe informacje. A do osób krytykujących wybór takiego a nie innego hostingu... Nie oszukujmy się, ale czynnikiem decydującym często jest głównie cena. Pamiętajmy, że wartość pieniądza jest względna, dla niektórych osób 50 zł miesięcznie będzie mało znaczące, dla innych nawet 50 zł rocznie będzie znaczącym wydatkiem, nad którym się trzeba zawsze zastanowić, więc jeśli można znaleźć coś za 20 zł rocznie (czy nawet mniej), wiele osób się skusi. Niektórzy z pełną świadomością niedogodności i ryzyka za tym idącego (jak np. ja), inni bez. Edytowano Grudzień 4, 2011 przez Piotr GRD (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Pokuć Zgłoś post Napisano Grudzień 4, 2011 Nawet najtańszy hosting powinien mieć porządne zabezpieczenia, na równi z droższymi i znanymi markami. Może mieć słabsze serwery, darmowy panel - to są ważne rzeczy, ale najważniejsze są zabezpieczenia. Udostępnij ten post Link to postu Udostępnij na innych stronach
tym 205 Zgłoś post Napisano Grudzień 4, 2011 Wystarczyło by wklepać /usr/loca/directadmin/custombuild/build secure_php i myślę że by wystarczyło... (choć mogę się mylić) Udostępnij ten post Link to postu Udostępnij na innych stronach
Dawid Sz. 98 Zgłoś post Napisano Grudzień 4, 2011 Tickety milczą... Udostępnij ten post Link to postu Udostępnij na innych stronach
regdos 1848 Zgłoś post Napisano Grudzień 4, 2011 a nawet było wywołanie nieistniejącej u mnie favicon.ico. Mały OT. favicon.ico to wydaje mi się, że niektóre przeglądarki same z siebie próbują wywołać. Udostępnij ten post Link to postu Udostępnij na innych stronach
d.v 1409 Zgłoś post Napisano Grudzień 4, 2011 Nie niektóre, tylko każda nowoczesna przeglądarka woła o faviconkę. Udostępnij ten post Link to postu Udostępnij na innych stronach
Piotr GRD 608 Zgłoś post Napisano Grudzień 4, 2011 (edytowany) @ regdos Właśnie dlatego wnioskuję, że wywoływał to ktoś z prawdziwej przeglądarki, a nie był to bot. Najpierw w jakiś niewiadomy dla mnie sposób wrzucił ktoś ten plik do folderów niektórych domen u różnych klientów, a potem wywoływał to przez HTTP. Ba, w moim przypadku za pierwszym podejściem wywołał w ogóle błędny URL, kilka sekund później się poprawił, co jednak z pewnych względów i tak nic dla tej mojej domeny nie dało (szczęśliwie). Po dwóch odświeżeniach i otrzymaniu 404 zrezygnował z dalszych prób. Jeśli ktoś robił to w pełni "ręcznie", to tłumaczy to fakt małej ilości dotkniętych stron, w przeciwnym razie (przy użyciu bota) poszłoby lawinowo. Edytowano Grudzień 4, 2011 przez Piotr GRD (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Grudzień 4, 2011 Ze strony właściciela hostingu - inż. Miodka, nadal brak informacji... Śmieszne, no ale. Support 12:00-19:00 pon-pt Udostępnij ten post Link to postu Udostępnij na innych stronach