Skocz do zawartości
mahatma

Shackowany Server Przez Romania Security Team

Polecane posty

Witam

Wczoraj wlamano mi sie na server i za pomoca 2 plikow 1.php i info.php zastapiono wszystkie pliki index.html i index.php we wszystkich domenach i poddomenach

Nie mam pojecia jak zapisali te pliki na serverze

Server na debianie z VHCS2

 

uzyo takiego skryptu

C ya arround...

 

Code:

<?

// Name: NetHate Mass Defacer (UPDATED)

// ---------------------------------------------------------------------

// So guys this is my second release of NetHate,

// with PROXY Detection Mechanism w/visual country backtrace.

// Use with your own risk. I am coding for the audience, but i

// still don't care if you are so stupid to hack any govs or something.

// Please inform me about any change of the script.

//

// AnalyseR.AnalyseR@gmail.com

// --------------------------------------------------------------------

// Greetings To:

// DarkPaiN, Xenihtis_NBG, AnalyseR_GirL, DPuNK.9090, __PotteR__

//

//

// *** The Script Needs Full Access In Order To Write Into The DIRS.

// *** God Bless The PHP Manual

 

 

 

// Suposing "." is the wwwroot folder (You must Upload this shit into root dir anyway)

 

echo "<FONT SIZE=4><TABLE BORDER=2><TR><TD><b>NetHate Mass Defacer By AnalyseR[GHS]v2.0</b><br><img src='http://www.geocities.com/resylanakos/GHS.jpg'</TD></TR></TABLE></FONT><br><br>";

 

echo "Starting <b>proxy detection</b>... Please wait...<br>";

echo "Note that if the result is false, it's a good time for Hacking... :)<br>";

echo "<FONT COLOR='#FF0000'> *** If you see your <b>REAL IP ADDRESS</b> while using PROXY, take a look at <A HREF='http://tor.eff.org'>TOR's</A> website :Pp </FONT><br><br>";

echo "Proxy detection results:";

 

Jakies wiesci jak sie zabezpieczyc

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Trudno mi powiedzieć bo wróżką nie jestem ten skrypt bardziej mi wygląda na test czy proxy jest włączone.Pozatym nie jestem pewien ale to nie koniec skryptu?.Poza tym posprawdzaj logi a przede wszystkim swoje skrypty php czy nie mają jakiś dziur.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

tia...

brak podstawowych zabezpieczeń choćby typu: open_basedir, safe_mode, za pewne wszystko chodziło na jednym urzytkowniku i grupie, możliwość swobodnego przemieszczania się po strukturze systemu, etc, etc

Poczytaj troszke o bezpieczeństwie apache + php... a najdzie się trochę tego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1) Atak z automatu czyli, jak juz powiedzial Adrian, brak podstawowych zabezpieczen,

2) Czytajac sporo wypowiedzi 'zielonych administratorow' i ich serwerow dedykowanych bez zabezpieczen jestem naprawde zdziwiony, ze informacje o 'shackowaniu' pojawiaja sie tu tak zadko...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp
Mhm... To by wszystko tlumaczylo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Moze to dlatego ze my zieloni tez nie lubimy jak sie naz obraza i wyzywa od debili, nieukow, itp
Mhm... To by wszystko tlumaczylo.

i tu sie zgazdamy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

przed chwila mialem probe wlamu

atak na kilka domen przez ftp na konto administrator (ktorego nie mam xD) 2 minuty i 184 proby zalogowania

 

ip z chin 218.27.204.99 polecam profilaktyczego bana :)

zastanawiam sie nad banem na wiekszy zakres np 218.27.*

wie ktos czy w tym zakresie sa tylko chiny?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

whois 218.27.204.0/24

itd...

 

Można jak wyżej 'whoisować' dowolne zakresy IP podając na końcu odpowiednia maskę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
przed chwila mialem probe wlamu

atak na kilka domen przez ftp na konto administrator (ktorego nie mam xD) 2 minuty i 184 proby zalogowania

Phi, ja 28 stycznia mialem dokladnie 9930 prob a 31 stycznia 24640 prob :)

ip z chin 218.27.204.99 polecam profilaktyczego bana :)

zastanawiam sie nad banem na wiekszy zakres np 218.27.*

Bez sensu. To idzie z roznych hostow (zazwyczaj zwykle zawirusowane kompy). Jezeli FTP jest tylko dla Ciebie to przenies go inny port i po problemie.

 

 

pzdr.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czemu sie dziwic, to VHCS, wiecznie niedopatchowany, niedorobiony i nierozwijany.

Zapewne zapomniales o jakiejs łatce (tyle ich bylo:P), nie updatetowales go.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Czemu sie dziwic, to VHCS, wiecznie niedopatchowany, niedorobiony i nierozwijany.

Zapewne zapomniales o jakiejs łatce (tyle ich bylo:P), nie updatetowales go.

Ja bardziej "stoję" za nie zabezpieczonym apachem gdyż można to wnioskować po wypowiedziach "admina".

Może łaskaw pan. Mahatma powiedział by nam jakie usługi ma na swoim serwerze , oraz czy ma jakieś hostowane strony?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

rtcap u mnie co kilka minut sa sprawdzane logi i bany leca z automatu - jak by bana nie dostal to by pewnie tez kilka tysiecy bylo...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

kurw** znowu identyczna proba

85.14.217.11 niemcy

gosciu sie na beszczela probuje dopchac na admina na ftp

 

troche sie obawiam :)

ktos mnie nie lubi ;(

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@moron tylko nie uznaj sie za wybranego :)

Takich ataków dziennie jest masa.

Może zainteresuje się skryptami które blokują dostęp do serwera/usług po X błędnym podaniu hasła lub samame coś takiego skręcić - oczywiście nie daje to 100% skuteczności ale zawsze to coś :)

(np skrypt który co 1 minutę przegląda plik logów w poszukiwaniu danego ciągu znaków, jeżeli takowy jest blokuje IP - choć tak najprostszy :) )

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrick

Jak masz dobre hasło to raczej słownikiem go nie złamie :)

Możesz też wyłączyć ftp i korzystać tylko z ssh/sftp.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
rtcap u mnie co kilka minut sa sprawdzane logi i bany leca z automatu

A te skrypty potrafia rozpoznac ip spoofing czy tez mozna na przyklad Twoj adres ip kompa domowego wyciac zdalnie na Twojej maszynie? :)

 

pzdr.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

panie adrianie - pisalem przeciez ze dostal bana przez opisany przez pana skrypt...

loguje sie na konto administrator a takowego u mnie nie ma wiec hasla zgadnac raczej nie moze...

 

A te skrypty potrafia rozpoznac ip spoofing czy tez mozna na przyklad Twoj adres ip kompa domowego wyciac zdalnie na Twojej maszynie?
raz zostawolem smartftp (cos w stylu TC) wlaczone ze zlymi danymi i logowal sie co 30s no i zaliczylem banana u siebie :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
raz zostawolem smartftp (cos w stylu TC) wlaczone ze zlymi danymi i logowal sie co 30s no i zaliczylem banana u siebie :)

Inteligentne i kreatywne :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
(np skrypt który co 1 minutę przegląda plik logów w poszukiwaniu danego ciągu znaków, jeżeli takowy jest blokuje IP - choć tak najprostszy :) )
A po co przegladac logi? Praktycznie kazdy firewall (tak, nawet iptables :)) potrafi blokowac polaczenia nawiazywane czesciej niz X razy na Y sekund/minut.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Napisz w takim razie do dzialu praca;)

Kilka razy napisalem i skonczylem z niezabezpieczonym serverem

Tym razem chce sam ale nie wiem jak i dlatego prosze o pomoc

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@p Miałem na myśli najprostrzy skrypt składający się z paru linijek przeszukujący logi w poszukiwaniu określonych ciągów znaków - tak na początek powinno starczyć, od czegoś trzeba zacząć :)

Nie pisałem o regułkach iptables ponieważ domyślam się, że autor jest bardzo zielony w tym temacie :)

 

@mahatma to może zacznij naukę od tego: iptables +LIMIT

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
@p Miałem na myśli najprostrzy skrypt składający się z paru linijek przeszukujący logi w poszukiwaniu określonych ciągów znaków - tak na początek powinno starczyć, od czegoś trzeba zacząć :)

Nie pisałem o regułkach iptables ponieważ domyślam się, że autor jest bardzo zielony w tym temacie :)

Podejrzewam, ze 'najprostrzy skrypt skladajacy sie z paru linijek' jest trudniejszy do zrobienia / przyswojenia niz jedna opcja w iptables :)

No i niepotrzebnie uzyles slowka na 'z'... Zaraz mahatma sie znowu oburzy :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×