Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Τεχνολογικά Θέματα, Νέα και Ειδήσεις. Θέματα προς συζήτηση.

Συντονιστές: Super-Moderators, Reporters

weby
Δημοσιεύσεις: 53
Εγγραφή: 04 Μαρ 2007 20:20
Τοποθεσία: Θεσσαλονίκη
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από weby » 22 Σεπ 2009 16:25

Μπορείς να γίνεις λίγο πιο σαφής; Έχουν 777 και τους χακάρουν;; Κάποια πηγή;;

Άβαταρ μέλους
gvard
Honorary Member
Δημοσιεύσεις: 2149
Εγγραφή: 16 Μάιος 2002 22:38
Τοποθεσία: Τραχανοπλαγιά
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από gvard » 22 Σεπ 2009 16:26

Αγαπητέ PhotoPaul,

Το συγκεκριμένο hack πιθανόν να μην το έχεις αντιμετωπίσει, καθώς δεν εχει να κάνει με permissions, οπότε μην αναφέρεις οτι "μένουμε στο σκοτάδι". Στα logs του server φαίνεται οτι συνδέεται κάποιος πχ από την Ουγκάντα μέσω FTP με την πρώτη προσπάθεια, κατεβάζει το index.php και στο επόμενο δευτερόλεπτο το ανεβάζει ξανά πάνω. Πιθανόν να αναφέρεσαι σε τελείως διαφορετικό hack άσχετο με το συγκεκριμένο θέμα (ανοιξε ένα νέο θέμα να το συζητήσουμε αν θες).
Με εκτίμηση,
Γιώργος Βαρδίκος
Φιλοξενία ιστοσελίδων - Cloud Servers στην Ελλάδα

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από CyberCr33p » 22 Σεπ 2009 16:29

Στους δικούς μου server έγιναν από αυτά τα range:

88.64.0.0/12
89.215.0.0/16
77.122.0.0/16
91.193.104.0/22
82.131.0.0/17
89.134.175.221

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από CyberCr33p » 22 Σεπ 2009 16:34

Δες και τα παρακάτω logs. Αντικατέστησα μόνο το domain και το username με άλλα.

Κώδικας: Επιλογή όλων

Sep 20 11:14:30 serverXX pure-ftpd: (?@85.216.192.22) [INFO] New connection from 85.216.192.22
Sep 20 11:14:31 serverXX pure-ftpd: (?@85.216.192.22) [INFO] user is now logged in
Sep 20 11:26:27 serverXX pure-ftpd: (user@85.216.192.22) [INFO] Logout.
Sep 20 11:26:28 serverXX pure-ftpd: (?@93.113.106.71) [INFO] New connection from 93.113.106.71
Sep 20 11:26:28 serverXX pure-ftpd: (?@93.113.106.71) [INFO] user is now logged in
Sep 20 11:26:29 serverXX pure-ftpd: (user@93.113.106.71) [NOTICE] /home/www/user//domain.com/www/index.php downloaded (2217 bytes, 15792.75KB/sec)
Sep 20 11:26:29 serverXX pure-ftpd: (user@93.113.106.71) [INFO] Logout.
Sep 20 11:26:29 serverXX pure-ftpd: (?@78.224.21.219) [INFO] New connection from 78.224.21.219
Sep 20 11:26:29 serverXX pure-ftpd: (?@78.224.21.219) [INFO] user is now logged in
Sep 20 11:26:30 serverXX pure-ftpd: (user@78.224.21.219) [NOTICE] /home/www/user//domain.com/www/index.php uploaded (2237 bytes, 25.16KB/sec)
Sep 20 11:26:30 serverXX pure-ftpd: (user@78.224.21.219) [INFO] Logout.

Άβαταρ μέλους
PhotoPaul
Δημοσιεύσεις: 45
Εγγραφή: 26 Φεβ 2004 18:35

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από PhotoPaul » 22 Σεπ 2009 16:52

Thanks για τα logs, νομίζω μιλάνε από μόνα τους, προφανώς και έχουμε να κάνουμε με άλλη περίπτωση.

xrisvol

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από xrisvol » 22 Σεπ 2009 17:28

Γειά και από μένα
Εγώ χρησιμοποιώ το ftp που έχει το Total Commander, http://www.ghisler.com , και την εισαγωγή username και password την κάνω με το πληκτρολόγιο οθόνης και έχω το κεφάλι μου ήσηχο χρόνια τώρα.
Πιστεύω ότι είναι η πιό αξιόπιστη λύση.

Φιλικά Χρήστος

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από Rapid-eraser » 22 Σεπ 2009 17:48

Συγνώμη που θα σε στεναχωρήσω αλλά το ftp στέλνει unencrypted τους κωδικούς ... ακόμα και έτσι δλδ το κεφάλι σου δεν μπορείς να το έχεις ήσυχο.

Μόνο μέσω sftp ή ftp over ssl μπορείς να έχεις το κεφάλι σου ήσυχο και αυτό υπό αρκετές προϋποθέσεις.
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από cdhyper » 22 Σεπ 2009 17:52

Κόψε την πρόσβαση ftp σε χώρες που δεν σε ενδιαφέρουν. Εγώ το έχω κάνει σε 2-3 servers και έχω ησυχάσει.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
Banavas
Script Master
Δημοσιεύσεις: 1367
Εγγραφή: 21 Νοέμ 2004 20:25
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από Banavas » 22 Σεπ 2009 18:00

cdhyper έγραψε:Κόψε την πρόσβαση ftp σε χώρες που δεν σε ενδιαφέρουν. Εγώ το έχω κάνει σε 2-3 servers και έχω ησυχάσει.
Mε τι τρόπο γίνεται αυτό;


Μια σίγουρη προστασία ενάντια στο συγκεκριμένο πρόβλημα είναι η αλλαγή δικαιωμάτων σε 444 στα αρχεία index main default .
Τελευταία επεξεργασία από το μέλος Banavas την 22 Σεπ 2009 18:07, έχει επεξεργασθεί 1 φορά συνολικά.
Happy coding....
Μάρκος
http://lasernet.gr

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από cdhyper » 22 Σεπ 2009 18:04

Υπάρχουν πολλοί τρόποι να αποκλείσεις κάποιον σε όποιο επίπεδο θες ανάλογα με το firewall που χρησιμοποιείς.

Η αλλαγή δικαιωμάτων σε 444 αν ο άλλος έχει ftp access τι ακριβώς θα σου προσφέρει; Η αλλαγή δικαιωμάτων είναι χρήσιμη όταν προσπαθεί κάποιος να εκμεταλλευτεί με κάποιο script τις ατέλειες των virtual hosting accounts. Αν αποκτήσει ftp access μόνο αν τον βρεις και τον πλακώσεις στο ξύλο προστατεύεσαι. Διαφορετικά ρίξτου ban.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
Banavas
Script Master
Δημοσιεύσεις: 1367
Εγγραφή: 21 Νοέμ 2004 20:25
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από Banavas » 22 Σεπ 2009 18:12

H ερώτηση είναι πως αποκλέιεις συγκεκριμένη χώρα, έχεις λίστες με IP / χώρα ή με κάποιο άλλο τρόπο;

Παρότι έχεις δίκιο σχετικά με την FTP πρόσβαση αυτό που αναφέρω σε προστατεύει γιατί πολύ απλά η δουλειά δεν γίνεταια από άνθρωπο για να καταλάβει τι γίνεται και να αλλάξει τα permissions. Γίνεται από script που κατα το ανέβασμα του αρχείου δεν καταλαβαίνει οτι απέτυχε.... :kaloe:

Όποιος θέλει ένα τέτοιο αρχείο μπορώ να του στείλω.
Happy coding....
Μάρκος
http://lasernet.gr

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από cdhyper » 22 Σεπ 2009 18:20

Από τα logs που έχω δει συνήθως κάποιο script ψάχνει τρύπα αλλά άνθρωπος ανεβοκατεβάζει και κάνει edit τα αρχεία. Σε 2 servers μου που έχω δει ήταν πολύ εκλεπτυσμένη δουλειά για κάποιο bot. Πρόσεξε πάρα πολύ και σε ποια αρχεία θα βάλει το javascript ο Ουκρανός (όχι index ντε και καλά) και πού θα το βάλει.

Παρέχεται ελεύθερα λίστα με ips που ανανεώνεται συχνά. Δεν είμαι εύκαιρος να σου πω αλλά θα κοιτάξω.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από CyberCr33p » 22 Σεπ 2009 21:07

Στη δικιά μου περίπτωση ήταν αυτόματο το ανεβοκατέβασμα αρχείων. Γινόταν για το ίδιο account ταυτόχρονα ανέβασμα-κατέβασμα των index.php και index.html από διαφορετικές IP και πολλές φορές ακόμα και από τις ίδιες IP. Ο "χακερ" δεν επισκέφτηκε καν κάποια σελίδα από αυτές μέσω browser και ενώ μερικά accounts είχαν περισσότερα από 1 domains μέσα πείραξαν μόνο συγκεκριμένα domains και όχι τα υπόλοιπα.

Άβαταρ μέλους
joia
Δημοσιεύσεις: 108
Εγγραφή: 15 Σεπ 2005 23:22
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από joia » 22 Σεπ 2009 22:08

Από την πρώτη μου ενασχόληση (11 περίπου χρόνια πριν) με τις ιστοσελίδες , αγόρασα το cute και το κρατώ ως σήμερα(φυσικά με τις αναβαθμίσεις ). Στη δουλειά χρησιμοποιώ το fire ftp ,firefox addon, σε αρκετά pc (για το οποίο έκανα donation) είναι όμως free και πολύ εύκολο για αρχάριους χρήστες.
Για το χακάρισμα μπορώ να πω ότι το παθα παλιά με nuke 2 φορές γιατί δεν είχα module ασφάλειας και δεν εφάρμοζα άμεσα τις ενημερώσεις. Αλλά και φέτος το καλοκαίρι παρατήρησα μια αλλαγή στο index.html μιας flash ιστοσελίδας που μάλλον έγινε από bot γιατί από τα κείμενα που εμφανίζονταν δεν είχαν νόημα ούτε υπήρχε κάποιο εμφανές μήνυμα χακινγκ ( τις δύο προηγούμενες ήταν από τουρκο και αλβανό )
Το μόνο που έχω να πω είναι οτι όπως και σε κάθε άλλη ανθρώπινη δραστηριότητα μερικοί άνθρωποι αποκτούν εξαιρετικές ικανότητες για να τις χρησιμοποιήσουν όχι για το καλό αλλά για καταστροφή. Μυαλά διεστραμμένα? Ψυχρός πόλεμος ? Πότε το ένα και πότε το άλλο ή και τα δυό μαζί και εδώ θα συμφωνήσω με το "πρωτότυπο" slogan του Υπεπθ " Όλα είναι θέμα παιδείας" Ζητάμε από τους μαθητές να αποκτήσουν γνώσεις γνώσεις γνώσεις.... αλλά λίγοι και λίγες στην εκπαίδευση ασχολούνται με την προσωπικότητα και τις ανάγκες του μαθητή
Τελευταία επεξεργασία από το μέλος joia την 23 Σεπ 2009 00:40, έχει επεξεργασθεί 1 φορά συνολικά.

Άβαταρ μέλους
joia
Δημοσιεύσεις: 108
Εγγραφή: 15 Σεπ 2005 23:22
Επικοινωνία:

Προσοχή στα σπασμένα προγράμματα - Κλέβουν κωδικούς FTP

Δημοσίευση από joia » 23 Σεπ 2009 00:47

κι εγώ γελάω με την πρώτη προσπάθεια για την οποία με βοήθησε και ο ιδιοκτήτης του σέρβερ και καλός φίλος jim Εικόνα

Απάντηση

Επιστροφή στο “Τεχνολογικά Θέματα, Νέα και Ειδήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης