Hacking παράξενο σε server. Τι είναι αυτό;

Τεχνικές και μόνο Συζητήσεις για WEB hosting servers, Mail servers, DNS servers. Όχι αναζήτηση υπηρεσιών εδώ!

Συντονιστές: WebDev Moderators, Super-Moderators

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 20:09

Α όχι καμία σχέση ήταν server side το πρόβλημα :)
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

sibas
Honorary Member
Δημοσιεύσεις: 1853
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από sibas » 02 Μαρ 2009 20:12

ΟΚ απλά είπα μήπως ήταν κάτι παρόμοιο :)

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6231
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 20:16

vale tis vivliothikes modsecurity ston server sou.. alla mporei na mhn sou douleoun kapoia sites an exoun kakogammeno kodika...
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 20:16

Δες τα logs του server, συνήθως περιέχουν ενδιαφέρουσες λεπτομέρειες ;)

Είναι σημαντικό να βρεις πως κάποιος απέκτησε πρόσβαση στο php.ini που λογικά πρέπει να είναι writable μόνο από το root. Γιατί αν μείνει compromised σίγουρα θα ξανά έχεις το ίδιο πρόβλημα σύντομα.

Επίσης χρήσιμα είναι τα chkrootkit και RKHunter για τυχόν rootkits exploits.

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 20:27

Ποια logs λέτε να πρωτοκοιτάξω;
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 20:40

Δες στο /var/log/messages, στα logs του apache access_log, error_log κ.τ.λ.

Το σημαντικό είναι να βρεις περίπου το πότε έγινε η αλλαγή στο php.ini γιατί αλλιώς θα ψάχνεις για μέρες στα logs. Θα βοηθούσε να κράταγες την ώρα που έγινε τελευταία φορά modified το php.ini αλλά δυστυχώς την άλλαξες τώρα που έβγαλες το auto_prepend_file.

Εγκατέστησε και τα http://www.chkrootkit.org/download/ και http://sourceforge.net/projects/rkhunter/ αν δεν τα έχεις ήδη και κάνε ένα scan, μπορεί να βρεις ενδιαφέρουσες λεπτομέρειες.

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 20:51

Έτρεξα το chrootkit και δεν βρήκε τίποτα αλλά βρήκα στα logs αυτό:

84.19.184.189 - - [02/Mar/2009:15:59:45 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 410

Τι είναι τούτο...
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 21:03

Είναι από web vulnerability scanner αλλά αυτό δεν σημαίνει ότι έχει άμεση σχέση με το σημερινό.

http://www.atlink.it/~conti/2006/03/04/ ... nd-update/

Θεωρητικά θα βρεις αρκετές τέτοιου τύπου εγγραφές στο access_log, είναι απλώς προσπάθειες από διάφορους.

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 21:05

Μόνο αυτό το ύποπτο βλέπω στα logs. αλλά γιατί να σκανάρει τον server μου με το Dfind αυτός ο 84.19.184.189;
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6231
Εγγραφή: 30 Νοέμ 2004 03:09

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από fafos » 02 Μαρ 2009 21:05

cdhyper έγραψε:Έτρεξα το chrootkit και δεν βρήκε τίποτα αλλά βρήκα στα logs αυτό:

84.19.184.189 - - [02/Mar/2009:15:59:45 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 410

Τι είναι τούτο...
nomizo einai kapoio kathimerino scanarisma pou kanei h etereia pou exei ton server sou.. to whois ti leei gia thn ip 84.19.184.189?
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 21:11

Η εταιρεία όπου βρίσκεται ο server μου δεν έχει το management, οπότε αποκλείεται. Εμείς κάνουμε management τον server. Η ip δείχνει Γερμανία και δεν ξέρω κάτι σχετικό από εκεί.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από cdhyper » 02 Μαρ 2009 21:13

Από ό,τι βλέπω αυτό το tool μπορεί να μαντεύει και passwords, οπότε ίσως μάντεψαν το δικό μου και το έκανα πολύ πιο πολύπλοκο τώρα.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 21:13

Για κοίτα και στα logs των προηγούμενων ημερών (.1, .2 κ.τ.λ.). Μπορεί απλώς σήμερα να το ανακάλυψες και να έχει γίνει εδώ και 1-2 μέρες.

Για αυτό ανέφερα παραπάνω είναι σημαντικό πρώτα να περιορίσεις το timeframe.

Hik
Δημοσιεύσεις: 162
Εγγραφή: 23 Σεπ 2005 10:34

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από Hik » 02 Μαρ 2009 21:16

Υποθέτω ότι δεν είχες καμιά λέξη από dictionary σαν root password :0 Αν είχαν μαντέψει το root password λογικά θα είχες πολύ μεγαλύτερα προβλήματα τώρα και όχι απλώς ένα js στα php files.

Άβαταρ μέλους
geoki
Δημοσιεύσεις: 309
Εγγραφή: 07 Ιαν 2002 01:00
Τοποθεσία: Giannitsa

Hacking παράξενο σε server. Τι είναι αυτό;

Δημοσίευση από geoki » 26 Μάιος 2009 14:05

Είχα πρόσφατα μια παρομοια κατάσταση και στους δύο deticated servers που έχω με μολύνσεις όχι σε όλα , αλλά σε κάποια site . Μέχρι και το google το πήρε χαμπάρι και τα μπλόκαρε εμποδίζοντας την πρόσβαση .

Τελικά μετά από έρευνα αλλά και δοκιμές κατέληξα πως η πρόσβαση στον server ανακτήθηκε μέσω ftp. Με κάποιο τρόπο , ίσως μέσω κάποιου μολυσμένου προγράμματος που κατέβασα από το ιντερνέτ απέκτησαν πρόσβαση ftp , και μόλυναν όλα τα .js και .html αρχεία , και σε μια περίπτωση και κάποια .asp και . aspx αρχεία. Επίσης μέσα στο φάκελο images βάζουν ένα php αρχείο με τον κώδικα τους

Τον κώδικα στα js αρχεία τον τοποθετούν στο τέλος , ενώ στα άλλα , μεταξύ του </head> kai tou <body>

Ενέργειες που έκανα

1. καθάρισα όλα τα αρχεία από τον ανεπιθύμητο κώδικα. (Μπορείτε να εντοπίσετε τα μολυσμένα αρχεία αν ψάξετε για τη λέξη "unescape". Βέβαια μπορεί να έχετε ήδη κάποια java scripts που χρησιμοποιούν αυτή τη συνάρτηση. Τα μολυσμένα θα τα καταλάβετε γιατί περιέχουν κωδικοποιημένα περιεχόμενα.)

2. Άλλαξα τα ftp passwords κάνοντας τα πιο περίπλοκα ( με σύμβολα και αριθμούς ανάμεσα.)

3. Έκανα φορμάτ στον υπολογιστή μου , έβαλα internet security antivirys και firewall , και πέταξα όλα τα προγραμματάκια από το διαδίκτυο.

Μέχρι στιγμής είμαστε ΟΚ

Τη λύση τη βρήκα στην παρακάτω συζήτηση
http://forum.parallels.com/showthread.php?t=78164

Εδώ ένα site που συστήνει το Google για έλεγχο online
http://www.stopbadware.org/home/index
http://www.stopbadware.org/home/security

Άντε κι άλλο κακό να μη μας βρει

Απάντηση

Επιστροφή στο “Apache, IIS, DNS Servers”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης