|
|
Czy to atak hakerów?
Shakez - 05-07-2009 18:23
Witam od kilku dni w logach mojej strony pojawiają się dziwne wpisy a ten dzisiejszy śmierdzi najbardziej.
Mianowicie chodzi o:
2009.07.05/11:02:02||89.161.152.172||||||/
2009.07.05/11:02:05||80.55.13.94||||||/
2009.07.05/11:02:06||91.203.135.50||||||/
2009.07.05/11:02:06||91.203.135.50||||||/
2009.07.05/11:02:14||85.128.248.2||||||/
2009.07.05/11:02:15||62.146.68.104||||||/
2009.07.05/11:02:15||62.146.68.104||||||/
2009.07.05/11:02:21||217.74.66.38||||||/
2009.07.05/11:02:24||217.74.66.33||||||/
2009.07.05/11:02:29||195.242.93.125||||||/
2009.07.05/11:02:32||62.129.239.125||||||/
2009.07.05/11:02:34||78.131.152.51||||||/
2009.07.05/11:02:35||193.227.116.204||||||/
2009.07.05/11:02:37||78.46.71.211||||||/
2009.07.05/11:02:38||91.121.202.130||||||/
2009.07.05/11:02:41||78.47.219.66||||||/
2009.07.05/11:02:42||91.121.72.112||||||/
2009.07.05/11:03:17||94.23.200.45||||||/
2009.07.05/11:03:18||193.93.204.8||||||/
2009.07.05/11:03:18||78.159.112.55||||||/
2009.07.05/11:03:21||85.128.178.2||||||/
2009.07.05/11:03:21||85.128.178.2||||||/
2009.07.05/11:03:27||193.227.116.157||||||/
2009.07.05/11:03:28||195.114.0.123||||||/
2009.07.05/11:03:32||78.159.121.114||||||/
2009.07.05/11:03:35||89.161.148.233||||||/
2009.07.05/11:03:37||91.121.72.112||||||/
2009.07.05/11:03:57||94.124.4.131||||||/
Format zapisu w logu jest następujący data i godzina separator || IP separator || adres strony odsyłającej || typ przeglądarki || podstrony przeglądane
Jak widać brakuje www odsyłającego i rodzaju przeglądarki. Co to może być?
W tej właśnie chwili już piąty raz dzisiaj ktoś z IP 66.249.72.243 próbuje podmieniać wartość get w adresie wpisując zamiast:
form_logowanie.php?do=PHP/moje_konto.php
podaje coś takiego
form_logowanie.php?do=http://193.255.208.32:2082/index.html
Dlaczego ktoś wkleja adres który nie działa na tym porcie? Z głupoty?
Sprawdziłem ten adres to jakaś chyba turecka strona studencka:
http://193.255.208.32
Co o tym myślicie?
grzesiek - 05-07-2009 20:25
Witam.
Co do tego IP to zablokuj w firewallu. A coś Ci pokazuje w error.log? Zobacz auth.log czy się przypadkiem nic nie dziej.
Co do tych logów to mi to wygląda na coś takiego jak by wysyłali pakiety TCP na właściwy port ale bez/albo z nieprawidłową dla serwera apache treścią - możliwe, że jakiś kod wykonywalny podsyłają. Najlepiej jak przyłapiesz moment to tcpdump z pełnymi danymi zrzuć to do pliku a potem popatrz jakie treści wysyłają i nagłówki. Ale najprościej daj bana i DROP :-)
Shakez - 05-07-2009 21:08
Mam serwer w kei.pl i nie mam dostępu do logów oraz nie mogę zablokować w firewalu. Mogę jedynie to ip zablokować z poziomu strony ale to niewiele da bo wejdzie przez proxy.
Napisz mi po krótce jak za pomocą tcpdump złapać te dane do pliku. Jeżeli będę to wiedział to jeszcze dziś wpisze w stronę funkcje wysyłająca sms na mój tel gdy to IP sie pojawi :-D
Mam urlop i dużo czasu więc mogę jutro zapolować na myśliwego :-D
budzigniew - 05-07-2009 21:08
Wyglada jak atak typu phishing/xss, czy cos takiego. Wydaje mi sie, ze przy konstrukcji URL-i takiej, jak na Twojej stronie czesto sie to dzieje.
grzesiek - 05-07-2009 21:26
tcpdump -i eth2 -XXvv port 80
Shakez - 05-07-2009 21:28
Ale to przecież nic nie da bo tcpdump musiałbym uruchomić z serwera.
Ale najciekawsze jest to że po wpisaniu pierwszego z podejrzanych adresów ip w przeglądarce :shock:
89.161.152.172 - strona szkoły ogólnokształcącej w Warszawie.
80.55.13.94 - strona Urzędu Miasta Ciechanów
62.146.68.104 - hosting AZ.pl
itd.
Prawie na każdym podejrzanym IP jest serwer www. O co chodzi?
Jak to możliwe że w jednej chwili z kilku różnych miejsc (stron www) ktoś wchodzi na moją stronę nie zostawiając śladu. I to kilkadziesiąt wejść w ciągu 2 minut.
Ktoś może to potrafi wyjaśnić?
Cyphermen - 05-07-2009 23:48
Komputery zombie?
Może zarażone jakimś syfem i nawet bez wiedzy właścicieli dokonują za ich pomocą ataków?
Adresy dość rozbieżne. Podpadłeś komuś kto miałby korzyści ze zniszczenia Twojej strony?
Z sieci Lan dużo nie zrobią według mnie, a wszystkie te adresy mają sieć wewnętrzną. Chyba że ktoś naprawdę dobry się za to wziął. Zablokuj co się da.
szpuni - 06-07-2009 00:21
Z tego co ja widzę jest to typowy atak XSS.
To że widzisz różne adresy IP oznacza że ktoś wykorzystuje do tego jakiś botnet.
Blokowanie pojedynczego adresu mało ci da mówiąc szczerze.
Tutaj przydałaby się jakaś obrona w warstwie aplikacji tak aby odrzucała i blokowała wykonanie złych URL.
Z tego co czytam ktoś po prostu używa jakiegoś Blind XXS albo próbuje znaleźć błąd na Twojej stronie (a może już znalazł). Musisz szybko sprawdzić kod strony, najlepiej zdejmij serwis z internetu żeby nie skompromitowali ci całego serwera i przejrzyj kod strony. Prawdopodobnie masz dziurę w kodzie php, jednym słowem.
Shakez - 06-07-2009 06:51
Napisałem do kei.pl i poprosiłem o logi serwera. Zablokowałem dostęp do ftp w panelu administratora. Zobaczymy co mi odpowiedzą. Obym nie usłyszał że było jakieś pomyślne logowanie przez FTP z kosmicznego IP.
Przejrzałem jeszcze raz logi strony i okazało się że pierwszy podejrzany wpis pojawił się 2009-06-21 z IP osiedlowej sieci w Warszawie. A tuż przed nim ktoś wszedł na stronę używając systemu Linux. Może to zbieg okoliczności ale raczej nie często na stronię pojawiają się osoby korzystające z Linuksa. Myślę że ten użytkownik Linuksa jest powodem zamieszania. Jego IP to 87.98.233.177.
2009.06.21/21:57:12||87.98.233.177||||Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.12) Gecko/20070508 (Debian-1.8.0.12-0etch1)||/
2009.06.21/22:11:50||91.121.81.167||||||/
2009.06.21/22:13:40||91.121.81.167||||||/
2009.06.21/22:31:46||128.30.52.71||||W3C_Validator/1.654||/
2009.06.21/22:32:26||213.165.89.33||||||/
2009.06.21/22:32:31||213.165.89.33||||||/
Dostałem logi ftp i na szczęście wszystko jest dobrze. Logi serwera też widziałem ale wiem z nich tyle co z logów strony.
Może ktoś potrafi powiedzieć coś więcej o atakach tego typu i jak się przed nimi bronić? Banowanie IP w .htacces raczej jest bezużyteczne. Może miał ktoś coś podobnego. Na razie zablokuje na stronie przeglądarki które nie chcą się przedstawić bo nic więcej do głowy mi nie przychodzi?
budzigniew - 06-07-2009 14:54
Lepiej przepisz kod strony tak, aby linki nie odwolywaly sie bezposrednio do plikow php, tak jak to ma miejsce w Twoim przypadku.
grzesiek - 07-07-2009 18:34
Shakez nie syp tak tymi IP-kami bo to dane osobowe ;-)
Shakez - 07-07-2009 23:06
W Słupsku o tym nie uczą. :-)
uszek2007 - 08-07-2009 00:09
Skopiowałem całą stronkę i okazało się ze wystarczy pobrać stronę www na dysk i Curl i widać skutki banalnie można ,,schackować'' tę stronę. Nie zrobiłem ci tego na głównej stronie www, nie bawię się w to i nie mam zamiaru.
Ta osoba ma kupiony serwer VPS w OVH.PL i z serwera dokonuje ataków, maskuje swoje IP. Oraz ma serwer proxy i dlatego co chwilę jest w logach. Jak to możliwe, możliwe, kilka przeglądarek www i już.
Proponuję przeczytać szkołę hakerów, bo ,,neokids'' Ci się włamią
http://images43.fotosik.pl/158/c5b80eaebcd9327d.png
Katiusha - 08-07-2009 01:37
uszek2007, coś mi za bardzo nie chce się wierzyć w to Twoje "włamanie", bo tak to ja też potrafie. :-P
Wyświetlić sobie źródło strony w przegladarce, wpisać pare swoich słów, zapisać, potem zrobić zrzut i napisać właścicielowi strony:
"No cześć właśnie Ci się włamałem na strone, ale mam dobre serce, to tylko na chwile i strone po zrobieniu zrzutu zaraz doprowadziłem do pierwotnego stanu..." xD
http://img189.imageshack.us/img189/9...kranu3n.th.jpg
PhockouS - 08-07-2009 09:50
uszek2007, skoro jesteś taki obeznany to pomógłbyś chłopakowi bo jak znam życie książki nie przeczyta, ba sam bym jej nie przeczytał, mam co robić w wolnym czasie. "W tych sprawach" stricte serwerowych jestem zielony dlatego nic nie pomogę, ale Ty jak najbardziej mógłbyś. Nie ma nic bardziej wkurzającego jak "banda" małoletnich "chakierów" robiących sobie z Twojej strony internetowej poligon doświadczalny.
uszek2007 - 08-07-2009 10:12
Gdybym nie miał sprawy w sądzie to bym główną stronę zhackował nie, świeci mi się kolejna kara 15 tys. zł i zawiasy na 2 lata, na 1 rok. Nie wypowiadam się na temat zabezpieczeń i jak to zrobiłem. Bawcie się sami.
Miss Debianova, słuchaj podeślę Ci skrypt jak chcesz i on sam zrobi ,,own'3d''.
Uruchomisz go tylko w konsolce i CyA, i strony nie było. Nie odpowiadam za to co się może stać.
Lecz cała zawartość public_html poleci bezpowrotnie.
Przeczytaj szkołę hakerów i się dowiedz jak to się robi bo zielonych nie brakuje, byłem raz już za to karany. Nie bawię się w to bo mnie nie stać na taką karę. Aby tę stronę ukraść wystarczy Curl, i można hasła z cgi wydobyć gdyby logi były kasowane to by strona była by zabezpieczona. Myśl to nie boli.
Przeczytaj.
Po prostu masz w przeglądarce Swojej coś co ułatwia sprawę. Nie będę mówił co?
Firefox jest na to tez podatny?
Skoro nie używasz Windows to dlaczego moderowałeś na nim stronę?
PhockouS - 08-07-2009 10:50
uszek2007, strach się bać :mrgreen:
uszek2007 - 08-07-2009 10:57
Niestety nie bawię się w to, a tu jak chcecie jest skrypt. Chętny niech to odpali w konsolce.
http://odsiebie.com/pokaz/4063146---30fc.html
Uwaga! Wyświetli się na www Own'3d.
Katiusha , Miss Debianova ;) "z dedykacją dla niedowiarka"
oraz jej awatar.
Jak jest ktoś dobry niech odpali ten skrypt raczej zakładam się o piwo, że nikomu się to nie uda.
szpuni - 08-07-2009 11:42
Nie odpali bo to nie skrypt do ataku zdalnego z tego co zauwazylem, a przerobiony plik:
mam racje?
Tak z czystej ciekawosci jezeli chodzi o szkole hackerow (ogólne informacje w tej ksiazce są przestarzale i w wiekszosci bezuzyteczne) gdzie znalazłeś informacje na ten temat, o ktorym wpomniales wczesniej.
no i kto to sa ,,neokinds''? Ja slyszalem tylko o ,,scriptkiddies''.
Cyphermen - 08-07-2009 12:23
Neokids to dzieci neostrady... innymi mówiąc słowami określa się tym mianem lamerów, zielonych czy jak tam chcesz ich nazwać z racji tego że Neostrada to bardzo popularny dostęp do internetu dzisiaj.
Uszek może wiesz troszkę, ale widać że dałeś się naciągnąć na kupno tej szkoły hackerów i teraz myślisz że wielki znawca z Ciebie :D
Prawdziwy hacker nigdy nie chwali się tym co zrobił, jaką ma wiedzę, i że jest hackerem.
Poza tym jeśli masz te zawiasy i tę karę to widać za mały włam na jakiś serwis, więc jak się dałeś złapać to wcale taki kozak nie jesteś.
szpuni - 08-07-2009 13:14
Osobiscie sam kupilem ta szkole hackerow z czystej ciekawości co w niej jest.
Ogolnie jest dobra jezeli chodzi o ludzi ktorzy nic nie wiedza o atakach sieciowych, niektore rzeczy sa wytlumaczone dosc przystepnie. Ale jak ktos chce zdobyc taka wiedze to raczej polecałbym poszukac w sieci bo wiecej mozna znaleźć.
Ale tekst:
powtarzany w kazdym poscie jest co najmniej zabawny.
Swieta prawda :D
Shakez - 08-07-2009 13:21
Fajnie uszek że się odezwałeś w tym temacie bo to mnie uspokoiło. Jeżeli tacy hackerzy mają atakować moją stronę to już niczym się nie martwie. Choć nikogo nie lekceważę bo nie ma strony na świecie która jest bezpieczna.
Ale wróćmy do tematu. Sprawdzałem hosty tych IP które "atakują". Wychodzi na to że są to serwery znanych firm hostingowych jak np. linuxpl.com, netart.pl itp. Więc atak nie jest dokonywany z proxy tylko z serwera www. Więc musi to być jakiś skrypt php i być może dlatego nie ma nazwy przeglądarki ani strony odsyłającej. Poradziłem sobie już z tym problemem ale zostaje ciekawość co to za skrypt. I zawsze wchodzi tylko na stronę główną. Hmmmm
Aha uszek jak będziesz hackował moją stronę to nie zapomnij klikać w reklamy.
uszek2007 - 08-07-2009 14:01
Jak nie wiesz co to amx to nie pisz.
AMX - After Effects Motion Exchange File (Adobe Systems Incorporated)
Nie prawda to jest jesteś kozak to go otwórz tylko nie DeAmx i wklej mi zawartość ,,buahahahaha No0bki''.
Programy tworzą amxy, najpierw pwny później amxy.
Ostatnie nie wiesz o co chodzi nigdy się nie dowiesz. Myśl to nie boli.
szpuni - 08-07-2009 14:37
uszek2007, poruszyl mnie tez twoj post az do lez.
Nikt nie kwestionuje twojej wiedzy, totez nie kazdy wie wszystko o wszystkim.
Kazdy jezyk programowania twozy swoje pliki lub ich nie tworzy w ogóle. Wiec skoro jestes taki dobry, a ja taki cienki moze powiesz nam tutaj co to jest za plik i co w nim jest albo po prostu pokaz kod tego skryptu.
No ale panie hackierze moze lepiej wroc do jakies konkretniejszej literatury niz szkola hackerow.
I nie nazywaj nikogo ,,nobami'' jezeli nie wiesz z kim masz przyjemnosc taka mala rada na przyszlosc. A po 3 to nie jest forum hack tylko o Debianie i jego konfiguracji i problemach z nim zwiazanych.
Masz cos do pokazania swiatu zapraszam na link1 lub link2 i tam udowadniaj swoja wyzszosc ;)
uszek2007 - 08-07-2009 14:56
Nic nie pokażę, bo nie ma poco. Ktoś kiedyś z ciekawości uruchomi skrypt i po stronie.
Znalazłem błąd w php i w apahe ale nikt go szybko nie rozpracuje.
Podpowiem tyle że to jest związane z tabelką hasło i login wystarczy dopisać kilka linijek. i można zrobić ,,Own3'D by hacked''. Po co to naprawiać skoro będą kolejne błędy, a po nich kolejne to jest ludzka ułomność po co to robią skoro zawsze jest błąd za błędem.
W tym pliku jest skomplikowany skrypt php, a tam jest wszystko na ten temat.
Temat zakończony.
Katiusha - 08-07-2009 15:03
Katiusha, Miss Debianova ;) "z dedykacją dla niedowiarka"
oraz jej awatar.
Tak, a gdzie to bo jakoś nie widzę?
Aha, ostatnio ,,shakierowałam'' główny serwer NASA (tak samo jak stronę Shakeza), ale teraz nie mogę wam pokazać jak to zrobiłam, bo dyrektor NASA dzwonił do mnie i powiedział, że jak jeszcze raz to zrobię, to powie mojej mamie oraz wyląduje w moim ogródku przed domem wahadłowiec i poniszczy mi za kare grządki z pietruszką.
Także sami widzicie, dzieci neo i pokemony są wszędzie :mrgreen:
uszek2007 - 08-07-2009 15:18
Odpal skrypt momentalnie ta strona zniknie. :)
Pokemnony są w tv
Neokids to dzieci neostrady , nie naleze do nich bo mam kablówkę
gielo - 08-07-2009 15:28
Tak na marginesie, włamania robią Crackerzy a nie Hackerzy. Pierwszy jest od łamać, ten drugi tyczy się programistów, a przecież nie każdy programista jest wandalem jak i nie każdy Polak to złodziej.
Kolejna sprawa, szkoła hackerów to literatura dla pokemonów, którzy biorą się z zapałem za wykorzystywanie podanych na tacy sposobów na wandalizm oraz administratorów sieci, którym to zależy na tym aby ich system nie wywrócił do góry nogami byle żółtodziób. To nie podręcznik crackera bo żaden podręcznik nie da ci wysokiego IQ i nie sprawi, że staniesz się pomysłowym Dobromirem z dużą dozą talentu w tym co robisz.
Prawdziwe crackery to sami opracowują sposoby ataku, szukają dziur w oprogramowaniu, którymi się nie chwalą i pomiędzy poszczególnymi przeszukiwaniami kodu siedzą na zamkniętych kanałach ircowych do których dostęp maja tylko im podobni fachowcy.
Katiusha - 08-07-2009 15:38
Odpal skrypt momentalnie ta strona zniknie.
Musiałabym na głowe upaść aby dać prawa i odpalać jakieś skrypty od podejrzanych nieznajomych i to jeszcze po to aby komuś zaszkodzić albo i sobie, bo "cukierek" wie co w nim siedzi, może jakiś backdoor który mi otworzy port po cichaczu aby sobie wchodziły przez niego rootkit'y czy inne paskudztwa. :-P
Jak na razie, to "kompromitujesz" siebie, a nie zabezpieczenia na serwerach ze stronami. :-D
Shakez - 08-07-2009 15:54
OK odpaliłem to coś no i ? Strona nadal ma sie dobrze :mrgreen:
PhockouS - 08-07-2009 15:57
Odpal skrypt momentalnie ta strona zniknie.
Pokemony są w tv.
,,Neokids'' to dzieci neostrady, nie należę do nich bo mam kablówkę
Weź się chłopaku uspokój, będziesz mnie mieć na sumieniu jak się udławię kanapką.
A tak w ogóle jakbym był moderatorem to dałbym Ci bana bo na niego zasługujesz. Wyobraź sobie, że ludzie tutaj zgromadzeni już dawno temu skończyli gimnazjum i domyślają się czym grozi uruchamianie jakiś skryptów niewiadomego pochodzenia. Swoją drogą przypominasz mi bardzo tego gościa:
http://www.joemonster.org/article.php?sid=4618
:mrgreen:
Cyphermen - 08-07-2009 16:06
Ale uważajcie bo to jest Hacker, który przeczytał szkołę hackerów?
To o czym mówisz z tym loginem i hasłem to sql injection i w Hakin9 można o tym poczytać więc nie błyszcz wiedzą powszechną.
Katiusha - 08-07-2009 16:36
Swoją drogą przypominasz mi bardzo tego gościa:
http://www.joemonster.org/article.php?sid=4618
Hehe, świetne i pasuje jak ulał. :mrgreen:
winnetou - 08-07-2009 16:38
Dziękuje...
Shakez - 08-07-2009 16:44
Chciałem tu znaleźć lekarstwo na ataki które nękają moją stronę.
A okazuje się że tylu ataków wszelkiej maści co dziś nie miałem jeszcze nigdy.
Jeden z forumowiczów jest wyjątkowo wytrwały w realizacji swoich niecnych zamiarów :-)
Temat ogólnie zszedł na psy, albo gorzej na uszaki :mrgreen:
winnetou wpisze, przejrzę i może skorzystam. Dzięki.
budzigniew - 08-07-2009 16:52
Co to sa uszaki? :p
Shakez - 08-07-2009 16:55
uszek2007
Katiusha - 08-07-2009 16:56
Co to sa uszaki? :p
Hakiery stronowo-pokemonowe. ;-)
Temat ogólnie zszedł na psy, albo gorzej na uszaki :mrgreen:
Ale dawno się tak nie bawiłam i śmiałam.
Szkoda, że na bash.org można tylko wysyłać fortunki z irca i komunikatorów. :-D
Cyphermen - 08-07-2009 17:01
Ja myślę ze to ten uszek tak ostro próbuje teraz się zająć tym czym ponoć "już się nie zajmuje" bo ma zawiasy :D
Cyphermen - 08-07-2009 17:16
Mogłeś nie podawać ogólnie żadnych adresów strony oraz adresów ip, teraz przez to pewnie te próby.
Shakez - 08-07-2009 17:18
To ja może jednak wrócę do kwestii którą wcześniej poruszyłem a która pozostała bez echa.
Jak myślicie czy na moją stronę mogły wchodzić jakieś skrypty php? Nie znam php tak dogłębnie ale są przecież funkcje sieciowe.
winnetou - 08-07-2009 17:23
Dziękuje...
Cyphermen - 08-07-2009 17:25
Zadam może ci głupie pytanie ale czy masz w swojej stronie obsługę php i sql?
Shakez - 08-07-2009 17:37
TAK
szpuni - 08-07-2009 18:05
No to poczytaj sobie o atakach XSS i LFI no i oczywiscie SQL Injection i jak sie przed nimi bronic.
Do tego musisz sobie troche zabezpieczyc PHP, ogolnie Google ci pomoze.
Co do tego linka to padlem na glebe ze smiechu, uwielbiam takich Hackierow, wiecej takich to stracimy wszyscy prace.
Shakez - 08-07-2009 22:26
Muszę chyba odstawić pozycjonowanie w kąt i zająć się najpierw bezpieczeństwem strony.
Wszystkim dziękuje za pomoc.
uszek2007 - 08-07-2009 23:45
Po pierwsze rozróżniam, co to jest IP zewnętrzne a wewnętrzne
127.0.0.1 - to jest IP localhost
Po 2 nie został odpalony skrypt, nie umiesz nie wtrącaj się.
wieszti - 09-07-2009 09:30
a adres ::1 czego dotyczy?
Shakez - 09-07-2009 09:32
Ten facet przeczytał post uszka2007
http://www.youtube.com/watch?v=nDeJ_va3pb8
:mrgreen:
fnmirk - 11-07-2009 14:54
Chyba o coś już w tym temacie prosiłem? Teraz nie wygaszam swojej wiadomości. Chcecie rozmawiać o przypadkach występujących w internecie to zapraszam do działu ,,Luźne''. Tylko bez ataku jeden na drugiego. Wszystkie posty niezwiązane z tematem od tej chwili wygaszam lub usuwam.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
