Oběť hackera

Freemaily, internetové služby a jiná témata

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Luke608 28. 2. 2007 18:07

Mám takový vcelku diskutabilní problém. Společně s dalšími dvěma administrátory spravujeme web http://www.hilaryduff.cz a máme takový problém. Nepochází z našich řad, ale zavinil jej jeden hacker. Jeho identitu zatím neznáme, ale pracujeme na jeho odhalení. Mám pár dotazů ohledně zabezpečení ftp.
#1 hacker se naboural na naše ftp a přepsal jen soubor index.php, díky němu se dalo dostat na náš web (výběr jazyku a tak dále). Byli jsme nuceni jej přesunout do jiné složky a pomocí redirectu v htaccess jej přesměrovat. Heslo u ftp jsme si všichni změnili, a v žádném ftp klientovi nemáme toto heslo uloženo. Potřeboval bych vědět, zda se dá udělat na toho hackera nějaká past nebo něco takového, aby ho to odradilo.
#2 v coppermine galerii se z ničeho nic objevil administrátor se jménem n3o. Nikdo z našich adminů žádná práva admina nikomu nedal. Musel to nejspíše udělat přes nějaký php script.

První hack byl ve skutečnosti náš index přepsaný indexem ze stránky http://www.hardforum.com. Potřebujeme pomoc.

Dále jsem se chtěl zeptat, jestli to máme řešit s Profituxem, u kterého máme tento hosting? Dá se nějak někde něco nastavit, aby se daly na ftp soubory přepisovat jen námi?
Už si opravdu nevíme rady. PLS HELP!!!
Luke608
Junior

Odeslat příspěvekod vladimir 28. 2. 2007 18:32

Napadá mě:

FTP heslo se přenáší po internetu v nešifrované podobě.

Nepřipojuje se někdo z vás přes WIFI připojení? Každý, kdo zná WEP nebo WPA heslo, si může vaše FTP heslo snadno odposlechnout.

Tyto WEP/WPA hesla znají všichni zákazníci jednoho providera, nemluvě o tom, že WEP se dá prolomit.

Samozřejmě nebezpečné jsou i například školní sítě.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod zdeneks 28. 2. 2007 18:40

Muzete podat trestni oznameni. Zjistete si, jestli vas poskytovatel loguje IP adresy pripojeni. Chyba nemusi byt jen v FTP, ale treba nejaka dira ve foru ci v jine komponente. Treba take pouzivate stejne heslo na vice mistech.
zdeneks
Junior

Odeslat příspěvekod Luke608 28. 2. 2007 18:59

s tím trestním oznámením počkáme, ale bereme ho plně v úvahu, protože zatímco jsem psal tento topic se zase hackl a přepsal opět jen index - stejný scénář. Díky němu :evil: máme malou návštěvnost a materiální a psychické ztráty. Kdyby se jednalo o free hosting, tak se dá něco takového omluvit, ale když za něj platíme, chceme mít záruku funkčního webu po všech stránkách a to je neomluvitelné. Kontaktujeme technickou podporu profitux a uvidím jak se to bude vyvíjet. Někde jsem slyšel že coppermine galerie je v tomto směru značně nevyhovující. Dále jsem našel (i když nevím jestli to už neobjevil hacker) v config.php našeho phbb fora heslo do sql databáze. Dá se nějak ošetřit, aby nebyl tolik na očích?
Luke608
Junior

Odeslat příspěvekod ._Q_. 28. 2. 2007 19:03

vas ISP logovat IP muze jestli ten hacker neni lama a vypada to ze neni tak se dopatrate stejne jen na nejaky anonymni proxy server v cine coz je smolik
._Q_.
Junior

Odeslat příspěvekod Luke608 28. 2. 2007 19:20

pravděpodobně to tak bude. každopádně právě diskutuju s technickou podporu PF a zjišťuji info, a zda byl útok proveden přes ftp nebo jinak z internetu.
Luke608
Junior

Odeslat příspěvekod Zorg 28. 2. 2007 19:41

Tohle se jednou známému na jeho serveru taky stalo, někdo vymasil všechny indexy, je možné, že jde o známou chybu a nějaký robot nebo script kiddie to jenom zkouší... Poskytovatel by měl mít samozřejmě k dispozici jak logy FTP přenosů, tak i logy přístupů Apache. Z toho by neměl být problém zjistit, co se stalo.
Jinak trestní oznámení je hezká varianta, ale není mi zrovna jasný, jak budete dokazovat ty materiální a psychické ztráty ;-)
Zorg
Junior

Odeslat příspěvekod droopy 28. 2. 2007 20:12

Obavam sa, ze nejde o ftp hack ale o exploit nejakej php aplikacie, ktora vam bezi na tom servri. Bezne php aplikacie, ktore sa daju takto zneuzit su napr. stare verzie phpBB a v podstate hociaka starsia verzia php skriptov, pripadne vase samotne php-cka su derave.

Riesit to treba zmazanim vsetkych php skriptov z vaseho webu (pretoze niektory z nich moze byt utocnikov skript zo zadnymi vratkami) a aktualizovanim vsetkych php aplikacii na posledne verzie, kde uz su zneuzite diery odstranene.
droopy
Junior
Uživatelský avatar

Odeslat příspěvekod Luke608 28. 2. 2007 20:34

Takže jsem společně s technickou podporou zjistil o co se jednalo. Nebyl to útok z webu, ale prosté odcizení hesla a nicku jednoho našeho admina. Vsechno ukazovalo na nej (jeho nick), ale po predlozeni jeho prave IP a hostname jsme dosli k zaveru:

- ten "hacker" (záměrně s uvozovkami) "ukradl" již zmiňované přihlašovací údaje a připojil se na ftp. Bohužel hostname našeho admina a toho hackera se neshodovalo. Dokonce je to taková lama, že nebyl nijak anonymizován. Profitux jej lokalizoval v USA - Virginia. Další kroky zvažujem.
Luke608
Junior

Odeslat příspěvekod Ginnex 28. 2. 2007 20:45

No jestli jste ho lokalizovali v USA - Virginia, tak to možná taková lama nebude. Prostě se připojil po jiným serveru. Maskované připojení...Ale možná se pletu ;)
multimediální: Asus P5B Deluxe, Intel Core 2 Duo E6300, 2x2GB PC800, Leadtek 7600GT 256MB DDR3, Vista Ultimate
pracovní: Gigabyte P965-DS3, Intel P D915, 1x1GB PC800, X3100, Vista Business
přehrávač: iRiver T60 2GB
notebook: Dell Latitude D531
Ginnex
Junior

Odeslat příspěvekod ._Q_. 28. 2. 2007 20:49

no kazdopadne honit nekoho v USA bude casove narocny a pokud se neporkaze ze to byl on tak i financne lepsi reseni bude cesta zabezpeceni proti dalsim hackum
._Q_.
Junior

Odeslat příspěvekod Luke608 28. 2. 2007 21:09

._Q_. píše:no kazdopadne honit nekoho v USA bude casove narocny a pokud se neporkaze ze to byl on tak i financne lepsi reseni bude cesta zabezpeceni proti dalsim hackum


svatá pravda. nevloupal se přece do banky, ale na obyčejný web. Tohle by bylo časově náročný a zdá se mi to nepodložené. Prostě jsem to řešil jenom pro ten pocit, že víme kde byla chyba. Každopádně díky za všechny tipy.
Luke608
Junior

Odeslat příspěvekod ._Q_. 28. 2. 2007 21:14

Luke608 píše:
._Q_. píše:no kazdopadne honit nekoho v USA bude casove narocny a pokud se neporkaze ze to byl on tak i financne lepsi reseni bude cesta zabezpeceni proti dalsim hackum


svatá pravda. nevloupal se přece do banky, ale na obyčejný web. Tohle by bylo časově náročný a zdá se mi to nepodložené. Prostě jsem to řešil jenom pro ten pocit, že víme kde byla chyba. Každopádně díky za všechny tipy.
._Q_.
Junior

Odeslat příspěvekod vladimir 1. 3. 2007 12:53

Luke608 píše: Nebyl to útok z webu, ale prosté odcizení hesla a nicku jednoho našeho admina.i/quote]


Takže by chtělo zjistit (odhadnout), jak se k tomu dostal, nepředpokládám, že máte nějaké triviální hesla, která se dají prolomit bruteforce slovníkovým útokem na FTP server?

Jak už jsem psal nahoře, FTP hesla jsou v internetu přenášena nekódovaná, takže by chtělo zamyslet se, kde všude se ten admin připojuje do sítě.
Ale stejně tak to může někdo odposlouchávat kdekoliv po cestě mezi ním a serverem, ale to už není tak jednoduché.
vladimir
Expert
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků