Cancer v0.01 For Unix

[quote:df167237a0="ibanez"]hogy mi a fene vezethette a szerveremre nem tudom, hiszene egy jelentéktelen semmi ahoz

30-300000 spam szetkuldese?

imho a legtisztabb az lenne, ha lehuznad a gepet a halorol, esfelhuznal ra egy uj rendszert. az a legbiztosabb...

persze elobb DDzd le egy masik vinyora, hogy kesobb elemezhesd. Mindenfelekeppen deritsd ki, mikeppen jutottak be. Amugy ugy vettem eszre, hogy azokban az orszagokban ahol az opensource mozgalom eros, ott az atlagnak tobb a blackhat hacker.

persze en is ugy gondoltam, hogy lemented az egesz rendszert eloszor valahova. :?

[quote:315cc7acab="ibanez"]Sziasztok

Az éjjel meglátogattak brazil barátaim és valahogy root shellhez jutottak.
A bash hisotoryn kivul minden nyomot eltuntettek, ott találtam, hogy e fent elített Cancer v0.01 For Unix nevu csodát futtatták le.

Ahogy észrevettem az összes logot és index oldalt az ő indexukre cserelte és a passwdvel jatszott.

Mi van az index oldalon? Egy másik fórumon szintén a brazil cimbik áldátlan tevékenységéről lehet hallani és ott ezt az indexet hagyták. Elvileg ez azt jelenti portugálul hogy linux sebezhetőség és már javítva van.

[code:1:315cc7acab]Parabéns para vocês!

Graças ao bom Deus, pessoas como vocês existem, para que usuários necessitados possam usufruir de seus benefícios, parabéns!

O bug pelo qual entramos foi reparado e nada foi roubado.

[MirrorTeam]

Linux xmart560 2.4.26-jonas-20040809a #1 SMP Mon Aug 9 10:21:08 CEST 2004 i686 unknown

uid=0(root) gid=0(root)

mirrorteam@email.com [/code:1:315cc7acab]

En is ettol tartok, mert a sok ugyfel pakolja fel a bugos phpbbt, meg PHPnuke-ot, meg miegymast, es eleg nehez
1, eszrevenni, hogy regi/hibas verziot hasznalnak, es
2, ha eszre is veszem, hogy veszi ki magat, hogy kuldozgetek a kedves ugyfelnek levelet, hogy frissitse mar a programjait.

[quote:07d9977391="onyx"]En is ettol tartok, mert a sok ugyfel pakolja fel a bugos phpbbt, meg PHPnuke-ot, meg miegymast, es eleg nehez
1, eszrevenni, hogy regi/hibas verziot hasznalnak, es
2, ha eszre is veszem, hogy veszi ki magat, hogy kuldozgetek a kedves ugyfelnek levelet, hogy frissitse mar a programjait.

Szerintem jol vceszi ki magat, hisz figyelsz az ugyfelre!

Pl:

Kedves ugyfel.

On egy x.y.z verzioju programot hasznal, melyben tobb sebezhetoseget is felfedeztek, es azokat kihasznalva a szerver feltorheto.

Ez uton kerem a program ujabb verziojura csereleset

Koszonettel: root

Mindent el lehet intzeni ha nem vadaskodva all oda az ember, hanem mosolyogva ker! 8)

phpmyadminon keresztul jutottak be?

Sajnos nagyon sok oldalt törnek fel server oldali scripttel(pl. PHP), mert sokszor az adminok nem fordítanak figyelmet ezek biztonsági kérdéseire.

Azért beszélek PHP-ban, mert eléggé elterjedt, sokan nem állítják be rendesen, és mert viszonylag jól értek hozzá.

Mondhatnék tippeket, technikákat, sőt, sajnos manapság nagyon sok ilyen oldalt a keresőkön keresztül törnek fel. (lásd http://johnny.ihackstuff.com/)

Javaslom a safe_mode, open_basedir, safe_mode_exec_dir, safe_mode_gid, register_globals változókat beállítani a php.ini okosan konfigurációs fileban.

Beállíthatóak Apache konfigban(VirtualHostoknál érdemes), vagy .htaccess fileban is valamilyen szinten.

Ügyelni kell az apache AllowOverride opciójára is, az mondja meg, hogy mit állíthat egy .htaccess file, és mit nem.

Most elég röviden mondtam el amit gondolok, a neten megvan minden, hogyan kell csinálni :)

[quote:b80fb04541="ibanez"]Sziasztok

Az éjjel meglátogattak brazil barátaim és valahogy root shellhez jutottak.
A bash hisotoryn kivul minden nyomot eltuntettek, ott találtam, hogy e fent elített Cancer v0.01 For Unix nevu csodát futtatták le.

Ahogy észrevettem az összes logot és index oldalt az ő indexukre cserelte és a passwdvel jatszott.

Ha valaki mar találkozott hasonloval, minden tanácsnak örülnék!
Hogyan jöhettek be?

2 tippem van, vagy az openwebmail, vagy a phpnuke hibajat hasznaltak ki, persze nem biztos...

Csinalhatott e még valamilyen kiskaput maganak?

Elég magam alatt vagyok... többé nem szurkolok a braziloknak!

Nemtom mennyire all mododban, de en a helyedben felallitanek egy ugyanolyan rendszert mint amit feltortek (marmint csapdanak) - a leheto legnagyobb hasonlosaggal -, annyi kulonbseggel, hogy nem lennenek rajta ertekes informaciok.
Aztan amit tennek:
- naploznek minden mozgast,
- a naplokrol pl 1 percenkent backup-okat csinalnek egy masik host-on, ami aztan csillagos egig, ultra-giga-mega-extra-paranoiasan biztonsagra van hegyezve es csakis erre a celra van fenntartva
- ha a betores ujbol megtortenik akkor a backuppolt naplokat alaposan attanulmanyoznam, majd bedobnek ide egy linket a tobbieknek, hogy a logokat hol tolthetik le tanulmanyozas celjabol :mrgreen:
- kuldenek egy "barati" levelet "brazil barataimnak", majd reszletesen korbeirnam nekik, hogy mely testreszeim elott hajolhatnanak meg melyen es utana mely eghajlatokon latnam oket szivesen fagylaltot kapalni... meg ilyesmi...

ez a honeypot ötlet egész jó! ha van ra modod, csinald meg pls.

[quote:d46d88d356="onyx"]En is ettol tartok, mert a sok ugyfel pakolja fel a bugos phpbbt, meg PHPnuke-ot, meg miegymast, es eleg nehez
1, eszrevenni, hogy regi/hibas verziot hasznalnak, es
2, ha eszre is veszem, hogy veszi ki magat, hogy kuldozgetek a kedves ugyfelnek levelet, hogy frissitse mar a programjait.

megfelelo apache, php, owner/group beallitassal nem lehet gond.

t

[quote:a77575bbc4="ibanez"]Sziasztok

Az éjjel meglátogattak brazil barátaim és valahogy root shellhez jutottak.
A bash hisotoryn kivul minden nyomot eltuntettek, ott találtam, hogy e fent elített Cancer v0.01 For Unix nevu csodát futtatták le.

Ahogy észrevettem az összes logot és index oldalt az ő indexukre cserelte és a passwdvel jatszott.

Ha valaki mar találkozott hasonloval, minden tanácsnak örülnék!
Hogyan jöhettek be?

2 tippem van, vagy az openwebmail, vagy a phpnuke hibajat hasznaltak ki, persze nem biztos...

Csinalhatott e még valamilyen kiskaput maganak?

Elég magam alatt vagyok... többé nem szurkolok a braziloknak!

milyen rendszered van?