Shackowany Server Przez Romania Security Team

[mahatma 0]

Witam

Wczoraj wlamano mi sie na server i za pomoca 2 plikow 1.php i info.php zastapiono wszystkie pliki index.html i index.php we wszystkich domenach i poddomenach

Nie mam pojecia jak zapisali te pliki na serverze

Server na debianie z VHCS2

 

uzyo takiego skryptu

C ya arround...

 

Code:

<?

// Name: NetHate Mass Defacer (UPDATED)

// ---------------------------------------------------------------------

// So guys this is my second release of NetHate,

// with PROXY Detection Mechanism w/visual country backtrace.

// Use with your own risk. I am coding for the audience, but i

// still don't care if you are so stupid to hack any govs or something.

// Please inform me about any change of the script.

//

// AnalyseR.AnalyseR@gmail.com

// --------------------------------------------------------------------

// Greetings To:

// DarkPaiN, Xenihtis_NBG, AnalyseR_GirL, DPuNK.9090, __PotteR__

//

//

// *** The Script Needs Full Access In Order To Write Into The DIRS.

// *** God Bless The PHP Manual

 

 

 

// Suposing "." is the wwwroot folder (You must Upload this shit into root dir anyway)

 

echo "<FONT SIZE=4><TABLE BORDER=2><TR><TD><b>NetHate Mass Defacer By AnalyseR[GHS]v2.0</b><br><img src='http://www.geocities.com/resylanakos/GHS.jpg'</TD></TR></TABLE></FONT><br><br>";

 

echo "Starting <b>proxy detection</b>... Please wait...<br>";

echo "Note that if the result is false, it's a good time for Hacking... <br>";

echo "<FONT COLOR='#FF0000'> *** If you see your <b>REAL IP ADDRESS</b> while using PROXY, take a look at <A HREF='http://tor.eff.org'>TOR's</A> website :Pp </FONT><br><br>";

echo "Proxy detection results:";

 

Jakies wiesci jak sie zabezpieczyc

[irvinek 4]

Trudno mi powiedzieć bo wróżką nie jestem ten skrypt bardziej mi wygląda na test czy proxy jest włączone.Pozatym nie jestem pewien ale to nie koniec skryptu?.Poza tym posprawdzaj logi a przede wszystkim swoje skrypty php czy nie mają jakiś dziur.

[MasterNETpl 100]

tia...

brak podstawowych zabezpieczeń choćby typu: open_basedir, safe_mode, za pewne wszystko chodziło na jednym urzytkowniku i grupie, możliwość swobodnego przemieszczania się po strukturze systemu, etc, etc

Poczytaj troszke o bezpieczeństwie apache + php... a najdzie się trochę tego.

[p 3]

1) Atak z automatu czyli, jak juz powiedzial Adrian, brak podstawowych zabezpieczen,

2) Czytajac sporo wypowiedzi 'zielonych administratorow' i ich serwerow dedykowanych bez zabezpieczen jestem naprawde zdziwiony, ze informacje o 'shackowaniu' pojawiaja sie tu tak zadko...

[mahatma 0]

Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp

[p 3]

Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp

Mhm... To by wszystko tlumaczylo.

[mahatma 0]

Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp

Mhm... To by wszystko tlumaczylo.

i tu sie zgazdamy

[moron 0]

przed chwila mialem probe wlamu

atak na kilka domen przez ftp na konto administrator (ktorego nie mam xD) 2 minuty i 184 proby zalogowania

 

ip z chin 218.27.204.99 polecam profilaktyczego bana

zastanawiam sie nad banem na wiekszy zakres np 218.27.*

wie ktos czy w tym zakresie sa tylko chiny?

[MasterNETpl 100]

whois 218.27.204.0/24

itd...

 

Można jak wyżej 'whoisować' dowolne zakresy IP podając na końcu odpowiednia maskę.

[ertcap 0]

przed chwila mialem probe wlamu

atak na kilka domen przez ftp na konto administrator (ktorego nie mam xD) 2 minuty i 184 proby zalogowania

Phi, ja 28 stycznia mialem dokladnie 9930 prob a 31 stycznia 24640 prob

ip z chin 218.27.204.99 polecam profilaktyczego bana

zastanawiam sie nad banem na wiekszy zakres np 218.27.*

Bez sensu. To idzie z roznych hostow (zazwyczaj zwykle zawirusowane kompy). Jezeli FTP jest tylko dla Ciebie to przenies go inny port i po problemie.

 

 

pzdr.

[foo 0]

Czemu sie dziwic, to VHCS, wiecznie niedopatchowany, niedorobiony i nierozwijany.

Zapewne zapomniales o jakiejs łatce (tyle ich bylo:P), nie updatetowales go.

[irvinek 4]

Czemu sie dziwic, to VHCS, wiecznie niedopatchowany, niedorobiony i nierozwijany.

Zapewne zapomniales o jakiejs łatce (tyle ich bylo:P), nie updatetowales go.

Ja bardziej "stoję" za nie zabezpieczonym apachem gdyż można to wnioskować po wypowiedziach "admina".

Może łaskaw pan. Mahatma powiedział by nam jakie usługi ma na swoim serwerze , oraz czy ma jakieś hostowane strony?

[moron 0]

rtcap u mnie co kilka minut sa sprawdzane logi i bany leca z automatu - jak by bana nie dostal to by pewnie tez kilka tysiecy bylo...

[moron 0]

kurw** znowu identyczna proba

85.14.217.11 niemcy

gosciu sie na beszczela probuje dopchac na admina na ftp

 

troche sie obawiam

ktos mnie nie lubi ;(

[MasterNETpl 100]

@moron tylko nie uznaj sie za wybranego

Takich ataków dziennie jest masa.

Może zainteresuje się skryptami które blokują dostęp do serwera/usług po X błędnym podaniu hasła lub samame coś takiego skręcić - oczywiście nie daje to 100% skuteczności ale zawsze to coś

(np skrypt który co 1 minutę przegląda plik logów w poszukiwaniu danego ciągu znaków, jeżeli takowy jest blokuje IP - choć tak najprostszy )

[Gość patrick]

Jak masz dobre hasło to raczej słownikiem go nie złamie

Możesz też wyłączyć ftp i korzystać tylko z ssh/sftp.

[mahatma 0]

Witam pomownie

Jestem zainteresowany tymi skryptami do banowania nieudanych prob wlamania

[foo 0]

Napisz w takim razie do dzialu praca;)

[ertcap 0]

rtcap u mnie co kilka minut sa sprawdzane logi i bany leca z automatu

A te skrypty potrafia rozpoznac ip spoofing czy tez mozna na przyklad Twoj adres ip kompa domowego wyciac zdalnie na Twojej maszynie?

 

pzdr.

[moron 0]

panie adrianie - pisalem przeciez ze dostal bana przez opisany przez pana skrypt...

loguje sie na konto administrator a takowego u mnie nie ma wiec hasla zgadnac raczej nie moze...

 

A te skrypty potrafia rozpoznac ip spoofing czy tez mozna na przyklad Twoj adres ip kompa domowego wyciac zdalnie na Twojej maszynie?

raz zostawolem smartftp (cos w stylu TC) wlaczone ze zlymi danymi i logowal sie co 30s no i zaliczylem banana u siebie

[irvinek 4]

raz zostawolem smartftp (cos w stylu TC) wlaczone ze zlymi danymi i logowal sie co 30s no i zaliczylem banana u siebie

Inteligentne i kreatywne

[p 3]

(np skrypt który co 1 minutę przegląda plik logów w poszukiwaniu danego ciągu znaków, jeżeli takowy jest blokuje IP - choć tak najprostszy )

A po co przegladac logi? Praktycznie kazdy firewall (tak, nawet iptables ) potrafi blokowac polaczenia nawiazywane czesciej niz X razy na Y sekund/minut.

[mahatma 0]

Napisz w takim razie do dzialu praca;)

Kilka razy napisalem i skonczylem z niezabezpieczonym serverem

Tym razem chce sam ale nie wiem jak i dlatego prosze o pomoc

[MasterNETpl 100]

@p Miałem na myśli najprostrzy skrypt składający się z paru linijek przeszukujący logi w poszukiwaniu określonych ciągów znaków - tak na początek powinno starczyć, od czegoś trzeba zacząć

Nie pisałem o regułkach iptables ponieważ domyślam się, że autor jest bardzo zielony w tym temacie

 

@mahatma to może zacznij naukę od tego: iptables +LIMIT

[p 3]

@p Miałem na myśli najprostrzy skrypt składający się z paru linijek przeszukujący logi w poszukiwaniu określonych ciągów znaków - tak na początek powinno starczyć, od czegoś trzeba zacząć

Nie pisałem o regułkach iptables ponieważ domyślam się, że autor jest bardzo zielony w tym temacie

Podejrzewam, ze 'najprostrzy skrypt skladajacy sie z paru linijek' jest trudniejszy do zrobienia / przyswojenia niz jedna opcja w iptables

No i niepotrzebnie uzyles slowka na 'z'... Zaraz mahatma sie znowu oburzy