( SOLVED )Μου χάκαραν το νέο μου site

Προβληματισμοί και ανταλλαγή ιδεών από την Επικαιρότητα και διάφορα άλλα θέματα.

Συντονιστής: Super-Moderators

Απάντηση
Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από Connor MacLeod » 19 Δεκ 2011 18:27

adiaforosgr έγραψε:Μυαλό δεν βάζετε πάντως :)
Χαχχα. Σωστος ο Αδιαφορος..
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
Pesoner
Δημοσιεύσεις: 378
Εγγραφή: 19 Μάιος 2010 20:27
Τοποθεσία: ΛΑΡΙΣΑ

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από Pesoner » 19 Δεκ 2011 21:08

Αυτό είναι αλλουνού παπά ευαγγέλιο.. Μάλλον Σπύρο ξεχνάς γρήγορα..
Εικόνα

Άβαταρ μέλους
fiskilis
Honorary Member
Δημοσιεύσεις: 14093
Εγγραφή: 16 Νοέμ 2003 22:44
Τοποθεσία: Athens
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από fiskilis » 21 Δεκ 2011 14:05

gvard έγραψε:Καλημέρα και καλή εβδομάδα,

Γενικώς αυτές τις ημέρες γίνεται πανικός από εταιρίες που έχουν το WHMCS, καθώς αρχές Δεκεμβρίου ανακοινώθηκε ένα κενό ασφαλείας σε όλες τις εκδόσεις του WHMCS 4.X και 5.X, το οποίο χρησιμοποιεί ο attacker για να αποκτήσει πρόσβαση στο WHMCS και από εκεί στους servers (μέσω του remote access key).

Πληροφορίες μπορείτε να βρείτε στο http://blog.whmcs.com/?t=43462 .
το δικο μου εχει αυτα τα χαρακτηριστικα
WHM 11.30.5 (build 2)
ειναι οκ η πρεπει να πω να το κοιταξουν;

Άβαταρ μέλους
Giannis78
Δημοσιεύσεις: 1334
Εγγραφή: 11 Οκτ 2005 12:45
Τοποθεσία: Assigned by DHCP
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από Giannis78 » 21 Δεκ 2011 14:07

oxi Άγγελε δεν λέει για WHM αλλά WHMCS είναι το script για τις παραγγελίες
WebHosting Services
http://www.intechs.gr

Άβαταρ μέλους
fiskilis
Honorary Member
Δημοσιεύσεις: 14093
Εγγραφή: 16 Νοέμ 2003 22:44
Τοποθεσία: Athens
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από fiskilis » 21 Δεκ 2011 15:00

Giannis78 έγραψε:oxi Άγγελε δεν λέει για WHM αλλά WHMCS είναι το script για τις παραγγελίες
aaaa οκ
καποτε ειχα και ενα τετοιο και μου το ξεσκισαν και το κανω εγω με απλη φορμα παραγγελιας

τηανκσ

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από Cha0s » 21 Δεκ 2011 19:39

fafos έγραψε:
Spyrostagas έγραψε:Πληροφορίακα έχετε κανένα λινκ να μου δώσετε, που μπορεί κάποιος να βρίσκει ας πούμε το 4play.gr σε ποιο σέρβερ είναι και σε αυτόν τον σέρβερ ποια site φιλοξενούνται;
ti psaxneis mikre? ola ta sites ekei mesa fainontai san hackarismena.. sthn pragmatikothta den exoun peiraxei arxeia se sites all ston pyrhna tou server...
Το πιο πιθανό είναι να μην είναι απαραίτητα hack σε επίπεδο kernel (ή ότι εννοείς λέγοντας «πυρήνα»).

Μπορεί απλά από ένα account που φάγανε (συνήθως λόγω ανενημέρωτου joomla/wordpress) να ανεβάσανε το σχετικό PHP αρχειάκι που δίνει διάφορα tools στον hacker, και μπορεί (ανάλογα το setup) να scanάρει τον υπόλοιπο server για άλλα joomla accounts και κάνει απλά ένα print το configuration.

Πχ σε ένα cpanel box (το βρίσκεις εύκολα αν έχει κάποιος cpanel) με ένα find /home/ -name 'configuration.php' (ή κάτι αντίστοιχο σε επίπεδο PHP) μπορεί να σου γυρίσει όλα τα configuration.php των joomla και να τα κάνεις απλά ένα print (μιας και 99% οι περισσότεροι ή βάζουν chmod 777 ή κάτι το οποίο να αφήνει readable το αρχείο στους πάντες)

Από εκεί τσιμπάνε το mysql password, και σαν κύριοι μπορούν να ενημερώσουν όλα τα joomla (ή ότι άλλο ετοιματζίδικο παίζει σε πληθώρα εγκαταστάσεων στο μηχάνημα) και έτσι να δείχνουν ότι θέλουν στην αρχική.

Έτσι δεν παραβιάζουν απαραίτητα ούτε το suphp/suexec ούτε τρέχουν κανένα exploit στον server.
Από ένα κακοστημένο account μπορείς να φας πακέτο εύκολα :P


Με άλλα λόγια, όσο καλά και να στηθεί ένα μηχάνημα, μία μαλακία ενός χρήστη μπορεί να προκαλέσει σοβαρό πρόβλημα σε όλο τον server.

Και μου έχει συμβεί ουκ ολίγες φορές σε διάφορους βαθμούς το συγκεκριμένο σκηνικό.


Το θέμα είναι τι disaster recovery plan έχει ο καθένας ώστε τέτοια (αναπόφεκτα δυστυχώς) περιστατικά να επιλύνονται άμεσα.


Το πρόβλημα δε με αυτά τα ετοιματζίδικα είναι ότι τα documentation τους λένε κάνε chmod 777 κάτι temp και log folders αναφερόμενοι σε setup με την PHP ως DSO Module στον Apache, και κάποιοι στόκοι και να τους το εξηγείς ότι σε suphp/suexec ΔΕΝ χρειάζεται το chmod 777 επιμένουν να κάνουν τα δικά τους (συνήθως λόγω ημημάθειας).
Και συνήθως αυτά είναι και τα accounts που τρώγονται μαζί με τα παρατημένα/ανενημέρωτα.

Δεν είναι τυχαίο ότι τα περισσότερα PHP Exploits τα βρίσκουν οι admins σε folders από plugins (στους φακέλους cache, temp, logs, thumbs κλπ που είναι συνήθως και αυτοί world writable) για τέτοια συστήματα (joomla/wp) και συνήθως σε συστήματα που κάνουν thumbnails ή γενικότερα image galleries κλπ.


Νομίζω για cPanel μία εύκολη λύση είναι η χρήση του Cloudlinux.
Δεν ξέρω details αλλά νομίζω λύνει τέτοια προβλήματα μεταξύ των accounts.

Ο gvard αν δεν κάνω λάθος παίζει με Cloudlinux οπότε μπορεί να μας δώσει περισσότερες πληροφορίες επί του θέματος αν θέλει ;)

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3195
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από CyberCr33p » 21 Δεκ 2011 23:47

Το θέμα είναι να έχει στήσει ο webhost το μηχάνημα με τρόπο που το find να μην επιστρέφει αποτελέσματα από αρχεία άλλων πελατών καθώς και ένα php script ενός πελάτη να μην μπορεί να "μπει" στο φάκελο άλλου πελάτη, οπότε και 777 permissions να έχει το αρχείο configuration.php να μην μπορεί να κάνει ζημιά.

Άβαταρ μέλους
gvard
Honorary Member
Δημοσιεύσεις: 2149
Εγγραφή: 16 Μάιος 2002 22:38
Τοποθεσία: Τραχανοπλαγιά
Επικοινωνία:

( SOLVED )Μου χάκαραν το νέο μου site

Δημοσίευση από gvard » 22 Δεκ 2011 10:04

Καλημέρα,

Η συζήτηση έχει ξεφύγει από το θέμα του παρόντος hacking. Το παρόν hack έγινε μέσα από το WHMCS, οπότε τα πράγματα είναι απλά:

WHMCS -> hacked
WHMCS -> Access key σαν root στον server
WHMCS -> μπορεί να αλλάξει κωδικούς σε χρηστες
χρηστης -> hacked

Στη συγκεκριμένη φάση εφόσον έχεις δώσει το root password σε μία εφαρμογή σου και σου φάνε την εφαρμογή, λίγα πράγματα μπορούν να γίνουν για να προφυλαχθείς (καθώς η οποιαδήποτε επίθεση θα γίνει μέσα από την εφαρμογή στην οποία για να έχεις δώσει το root password εχεις δώσει και allow δικαιώματα (IP κλπ) στον server.
Με εκτίμηση,
Γιώργος Βαρδίκος
Φιλοξενία ιστοσελίδων - Cloud Servers στην Ελλάδα

Απάντηση

Επιστροφή στο “Επικαιρότητα & Διάφορες Συζητήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 3 επισκέπτες