Kormányzati Eseménykezelő Központ

Web, mail, IRC, IM, hálózatok

Sziasztok,

A hosting szolgáltatónktól jött egy levél, mely szerint bejelentést kaptak egy ún. "Kormányzati Eseménykezelő Központtól". Googleban megtaláltam a weblapjukat, de nekem nem épp kormányzati portálnak tűnik...

http://www.cert-hungary.hu

A levél amit a hosting kapott:

A Kormányzati Eseménykezelő Központtól az alábbi bejelentés érkezett.
A bejelentés szerint az önök felügyelete alatt álló lentebb felsorolt IP című gépek botnet-ben érintettek.
Kérem vizsgálják meg és tegyék meg a szükséges intézkedéseket! Kérem jelezzenek vissza az elvégzett intézkedések eredményéről!
Közreműködését előre is köszönöm szépen!

Üdvözlettel:

XY --
HunCert

----------------------
Fertőzött IP Időbélyeg (UTC) típus URL
2014-10-21 09:02:48 Bot URL: >itt egy általam hostolt URL< First seen: 2014-10-21 09:02:48 Detection by: avira Malware type: JS/iFrame.Y.4

A kérdéses időpontban az alábbi bejegyzés található a site access.logjában:
37.58.100.227 - - [10/Oct/2014:09:03:45 +0200] "GET /Kep.php?sor=Korm%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%84%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%84%C3%84%C2%82%C3%82%C2%84%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%84%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%84%C3%84%C2%82%C3%82%C2%84%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C4%82%C2%84%C3%82%C2%82%C4%82%C2%82%C3%82%C2%82%C3%84%C2%82%C3%82%C2%82%C4%82%C2%82%C3%82%C2%84nyzati&mr=D HTTP/1.1" 200 2305 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"

Ezek után különböző IP-kről hasonló tartalmú csomagok jöttek majestic12.co.uk/bot.php forrásról.

Ubuntu 12.04 LTS

uname -a
Linux web 3.2.0-69-generic #103-Ubuntu SMP Tue Sep 2 05:02:14 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

apache2 -v
Server version: Apache/2.2.22 (Ubuntu)
Server built: Jul 22 2014 14:35:25

php -v
PHP Warning: Module 'memcached' already loaded in Unknown on line 0
PHP 5.3.10-1ubuntu3.15 with Suhosin-Patch (cli) (built: Oct 29 2014 12:19:04)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
with Suhosin v0.9.33, Copyright (c) 2007-2012, by SektionEins GmbH

Mi ez és mit tudok ellene tenni?

  • 3075 megtekintés

( janoszen v | 2014. 11. 03., h – 21:21 )

Nezd meg, hogy toled johetett-e, de egyebkent nem fuznek hozza nagy remenyeket. Anno olyan bejelenteseket lattam csak toluk, amik evek oda nem letezo hozzafereseket tartalmaztak.

--
Pásztor János
Üzemeltető Macik

( uid_3194 | 2015. 04. 17., p – 11:16 )

Én sem hallottam róluk a mai napig, amikor is egy ügyfélnek írtak, aki továbbította nekem. Mi a belső háló+levelezés+vpn és egyebeket csináljuk, a weboldaluk nem nálunk van, szóval nem a mi sarunk.
Egy WP oldaluk van aztán küldték a linket, hogy a www.ugyfeldomain.hu/wp-admin/admin-ajax.php?action=revslider_ajax_actio… oldal feltörve és a linkre kattintva jön is egy Hacked by NG689Skw .

No hát én ezek után kerestem rá mégis kik ezek és akkor láttam, hogy jééé ilyen is van nálunk.

--
Rózsár Gábor (muszashi)