PHOX.Gr Defaced!!!

Προβληματισμοί και ανταλλαγή ιδεών από την Επικαιρότητα και διάφορα άλλα θέματα.

Συντονιστής: Super-Moderators

Άβαταρ μέλους
adiaforosgr
Δημοσιεύσεις: 1339
Εγγραφή: 19 Ιούλ 2004 17:52
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από adiaforosgr » 23 Ιουν 2009 21:00

To Datacenter δίνει γραμμή και ρεύμα. Η ασφάλεια του server είναι θέμα του administrator

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3203
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από CyberCr33p » 23 Ιουν 2009 21:01

Σε περίπτωση που δεν έχει remote backup θα του χρειαστεί για να μεταφέρει τα backups (σε περίπτωση που ο Άραβας δεν τα έσβησε) στο νέο server.

Ελπίζω μόνο είτε ο ίδιος είτε οι πελάτες του να έχουν και οι ίδιοι σίγουρα - μη πειραγμένα από τον Άραβα backups. Γιατί σε περιπτώσεις mass defacement συνήθως ο χάκερ ανεβάζει κάποια backdoors ώστε ακόμα και να χάσει τη root πρόσβαση να μπορεί να χρησιμοποιήσει το server του webhost, π.χ. για spam ή για να ξανακάνει deface την ίδια ιστοσελίδα.

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3203
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από CyberCr33p » 23 Ιουν 2009 21:07

adiaforosgr έγραψε:To Datacenter δίνει γραμμή και ρεύμα. Η ασφάλεια του server είναι θέμα του administrator
Η LiquidWeb (το datacenter του phox) δίνει managed servers που σημαίνει ότι το datacenter του παρέχει και την τεχνική υποστήριξη όσο αναφορά την ασφάλεια και το πέρασμα των patches. Να αναφέρω ότι το συγκεκριμένο datacenter έχει αρκετά καλή φήμη για τις υπηρεσίες του.

Ίσως να έκανε βέβαια κάποιο λάθος ο τεχνικός του datacenter, ίσως να βρήκαν τον κωδικό του root με κάποιο keylogger που έτρεχαν στον υπολογιστή του διαχειριστή (συχνό φαινόμενο τελευταία για όσους χρησιμοποιούν "σπασμένα" προγράμματα), αλλά όλα αυτά είναι υποθέσεις μέχρι να απαντήσει ο phox και να μας πει πώς μπήκε ο Άραβας και τι θα κάνει από εδώ και πέρα για να μην ξαναυπάρξει το ίδιο πρόβλημα.

Άβαταρ μέλους
c0d3punk
Honorary Member
Δημοσιεύσεις: 1076
Εγγραφή: 15 Σεπ 2008 22:32
Τοποθεσία: Puerto pollo
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από c0d3punk » 23 Ιουν 2009 22:26

Μετά από επικοινωνία που είχα με τον admin μου πε πως:

θα απαντήσει αναλυτικότερα όταν ξεμπλέξει από το φόρτο. κάνει μεταφορά σε άλλο καλύτερο και γρηγορότερο server.

το πρόβλημα προέκυψε μετά από brute forcing σε account μέσω ssh.
like ants in a colony we do our share
but there's so many other f****' insects out there || Ανανεωμένα Παρτάλια || biZfind.gr

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3203
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από CyberCr33p » 23 Ιουν 2009 22:33

Οπότε:

1) Είχε εύκολο κωδικό

2) Δεν είχε ρυθμίσει το firewall να μπλοκάρει τις IP μετά από 5-6 αποτυχημένες προσπάθειες σύνδεσης με SSH

3) Δεν είχε ρυθμίσει το SSH να μην επιτρέπει απευθείας σύνδεση ως root, αλλά να πρέπει να συνδεθεί ως χρήστης πρώτα και μετά να συνδεθεί ως root (και για επιπλέον πρόσβαση να τρέξουν την εντολή su μόνο συγκεκριμένοι χρήστες)

Κάτι μου λέει ότι και άλλοι webhosts δεν έχουν κοιτάξει τα παραπάνω που στην ουσία πρέπει να γίνουν με το καλημέρα σας όταν ρυθμίζεις ένα server.

Άβαταρ μέλους
gvard
Honorary Member
Δημοσιεύσεις: 2151
Εγγραφή: 16 Μάιος 2002 22:38
Τοποθεσία: Τραχανοπλαγιά
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από gvard » 23 Ιουν 2009 22:40

Καλησπέρα,
fiskilis έγραψε:γιατι σε αλλο server ?? δεν εχει λογικη αυτο ! καποιος να μας πει την λογικη αυτης της κινησης ??
Οποιος είναι administrator καταλαβαίνει οτι έχει απόλυτη λογική αυτό, καθώς δεν μπορείς να είσαι 100% σίγουρος για το τι backdoors εχουν περάσει μέσα στον server.
Με εκτίμηση,
Γιώργος Βαρδίκος
Φιλοξενία ιστοσελίδων - Cloud Servers στην Ελλάδα

Άβαταρ μέλους
c0d3punk
Honorary Member
Δημοσιεύσεις: 1076
Εγγραφή: 15 Σεπ 2008 22:32
Τοποθεσία: Puerto pollo
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από c0d3punk » 24 Ιουν 2009 02:51

CyberCr33p έγραψε:Οπότε:

1) Είχε εύκολο κωδικό

2) Δεν είχε ρυθμίσει το firewall να μπλοκάρει τις IP μετά από 5-6 αποτυχημένες προσπάθειες σύνδεσης με SSH

3) Δεν είχε ρυθμίσει το SSH να μην επιτρέπει απευθείας σύνδεση ως root, αλλά να πρέπει να συνδεθεί ως χρήστης πρώτα και μετά να συνδεθεί ως root (και για επιπλέον πρόσβαση να τρέξουν την εντολή su μόνο συγκεκριμένοι χρήστες)

Κάτι μου λέει ότι και άλλοι webhosts δεν έχουν κοιτάξει τα παραπάνω που στην ουσία πρέπει να γίνουν με το καλημέρα σας όταν ρυθμίζεις ένα server.
έτσι όπως τα λες... είχε δώσει πρόσβαση σε τρία accounts και μάλλον ένα από αυτά έκανε τη λαμογιά. το pass ήταν προφανώς dictionary word.
gvard έγραψε:Καλησπέρα,

fiskilis ανέφερε:
γιατι σε αλλο server ?? δεν εχει λογικη αυτο ! καποιος να μας πει την λογικη αυτης της κινησης ??


Οποιος είναι administrator καταλαβαίνει οτι έχει απόλυτη λογική αυτό, καθώς δεν μπορείς να είσαι 100% σίγουρος για το τι backdoors εχουν περάσει μέσα στον server.
και γιαυτό θα σου πω αυτό που είπα και στον admin ότι και πάλι δεν είναι 100% safe γιατί μπορεί ο Άραβας να έχει αφήσει backdoor που να ενεργοποιηθεί στον νέο server μέσο κάποιου από τα local sites, πράγμα λίγο δύσκολο να έκανε και τέτοια μόντα, αλλά ποτέ δεν ξέρεις. προσπαθεί να το ψάξει και αυτό το ενδεχόμενο το παλικάρι.

το καλό είναι ότι πολλοί ήμασταν under construction οπότε και λιγότερος φόρτος και λιγότερη ζημιά από μεριάς ιστοσελίδων. δυστυχώς συμβαίνουν και αυτά, με τα παλιό lamerια.
like ants in a colony we do our share
but there's so many other f****' insects out there || Ανανεωμένα Παρτάλια || biZfind.gr

Άβαταρ μέλους
gvard
Honorary Member
Δημοσιεύσεις: 2151
Εγγραφή: 16 Μάιος 2002 22:38
Τοποθεσία: Τραχανοπλαγιά
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από gvard » 24 Ιουν 2009 10:42

Καλημέρα,
c0d3punk έγραψε:και γιαυτό θα σου πω αυτό που είπα και στον admin ότι και πάλι δεν είναι 100% safe γιατί μπορεί ο Άραβας να έχει αφήσει backdoor που να ενεργοποιηθεί στον νέο server μέσο κάποιου από τα local sites, πράγμα λίγο δύσκολο να έκανε και τέτοια μόντα, αλλά ποτέ δεν ξέρεις. προσπαθεί να το ψάξει και αυτό το ενδεχόμενο το παλικάρι.
Εγώ ουδέποτε είπα οτι είναι 100% ασφαλές, είπα οτι είναι σαφώς ασφαλέστερο από το να επιδιορθώσει ο,τι βρει στον τρέχον server. Από εκεί και πέρα εφόσον στο logfile βλέπει πρόσβαση από root στις 15:00 πχ, πρέπει στον νέο server να επαναφέρει τα backup των πελατών που είναι πριν τις 15:00 ωστε να αποτρέψει σε μεγάλο βαθμό το να εχει εγκατασταθεί κάποιο backdoor (οχι σε ολοκληρωτικό βαθμό γιατί μπορεί να είχε πρόσβαση και πριν 10 ημέρες, να ετοίμασε το backdoor και να μην τον πήρε κανείς χαμπάρι).
Με εκτίμηση,
Γιώργος Βαρδίκος
Φιλοξενία ιστοσελίδων - Cloud Servers στην Ελλάδα

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από cordis » 24 Ιουν 2009 13:48

ασφαλής υπολογιστής είναι αυτός που τον έχεις βγάλει από την πρίζα, τον έχεις θάψει 3 μέτρα κάτω από την γη και από πάνω του έχεις ρίξει τσιμέντο ταχείας πήξης.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
gvard
Honorary Member
Δημοσιεύσεις: 2151
Εγγραφή: 16 Μάιος 2002 22:38
Τοποθεσία: Τραχανοπλαγιά
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από gvard » 24 Ιουν 2009 14:01

...και πάλι ομως δεν είσαι 100% σίγουρος! (αυτο το θυμάμαι το είχε αναφέρει ο rapid-eraser πριν 4-5 χρόνια).
Με εκτίμηση,
Γιώργος Βαρδίκος
Φιλοξενία ιστοσελίδων - Cloud Servers στην Ελλάδα

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από Rapid-eraser » 24 Ιουν 2009 14:49

lol
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
ThyClub
Honorary Member
Δημοσιεύσεις: 5312
Εγγραφή: 17 Νοέμ 2003 00:21
Τοποθεσία: Hell's Kitchen
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από ThyClub » 24 Ιουν 2009 15:44

Καλά στις διακοπές μου βρήκαν να το κάνουν deface?

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από Rapid-eraser » 24 Ιουν 2009 15:49

Τα καλύτερα πράγματα γίνονται στις διακοπές :P
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
c0d3punk
Honorary Member
Δημοσιεύσεις: 1076
Εγγραφή: 15 Σεπ 2008 22:32
Τοποθεσία: Puerto pollo
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από c0d3punk » 24 Ιουν 2009 16:50

gvard έγραψε:Καλημέρα,
....
Εγώ ουδέποτε είπα οτι είναι 100% ασφαλές, είπα οτι είναι σαφώς ασφαλέστερο από το να επιδιορθώσει ο,τι βρει στον τρέχον server. ....
ναι μωρέ μην κρεμιέσαι και εσύ από τα ποσοστά ντε :P :lol:


ThyClub πωωωωωωω φίλε το zeus cms τελικά είδες που είχε security problem? πέτα το ρε και βάλε το qool cms (χεχεχεχεχε 8-) :-P)
like ants in a colony we do our share
but there's so many other f****' insects out there || Ανανεωμένα Παρτάλια || biZfind.gr

Άβαταρ μέλους
ThyClub
Honorary Member
Δημοσιεύσεις: 5312
Εγγραφή: 17 Νοέμ 2003 00:21
Τοποθεσία: Hell's Kitchen
Επικοινωνία:

PHOX.Gr Defaced!!!

Δημοσίευση από ThyClub » 24 Ιουν 2009 20:30

c0d3punk έγραψε:
gvard έγραψε:Καλημέρα,
....
Εγώ ουδέποτε είπα οτι είναι 100% ασφαλές, είπα οτι είναι σαφώς ασφαλέστερο από το να επιδιορθώσει ο,τι βρει στον τρέχον server. ....
ναι μωρέ μην κρεμιέσαι και εσύ από τα ποσοστά ντε :P :lol:


ThyClub πωωωωωωω φίλε το zeus cms τελικά είδες που είχε security problem? πέτα το ρε και βάλε το qool cms (χεχεχεχεχε 8-) :-P)
χαχα μόνο που εκεί ήταν wordpress.

Κλειδωμένο

Επιστροφή στο “Επικαιρότητα & Διάφορες Συζητήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης