Fórumok
Szevasztok,
sikerült valami jóhumorú fiatalembernek megba*nia az egyik kis etch szerveremet. A megmaradt logokat közzéteszem, hátha más is tanul belőle...
access.log
error.log
bash_history
Szevasztok,
sikerült valami jóhumorú fiatalembernek megba*nia az egyik kis etch szerveremet. A megmaradt logokat közzéteszem, hátha más is tanul belőle...
access.log
error.log
bash_history
Hozzászólások
Szabvány baleset mostanában a phpMyAdminon keresztüli törés. Többen is írtunk róla az utóbbi időben... Szóval tépj egy sorszámot és állj be a sorba. :)
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
hasonló módszerrel próbálkoztak nálam is. azóta vpn, ssh random porton, apache2 pedig csak a public siteokat engedi ki (amik pedig non-root felhasználóval futnak), minden más csak ssh tunnel vagy vpn alól.
A PHP-s allow_url_fopen és társait is érdemes off-ra tenni, valamint letiltani a shell-t nyitó függvényeket.
sajnos ez van, "megint jönnek kopogtatnak...":
--------------------- httpd Begin ------------------------
Requests with error response codes
404 Not Found
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/PMA/main.php: 1 Time(s)
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/admin/js/keyhandler.js: 1 Time(s)
/admin/main.php: 1 Time(s)
/admin/phpmyadmin/js/keyhandler.js: 1 Time(s)
/admin/pma/js/keyhandler.js: 1 Time(s)
/myadmin/js/keyhandler.js: 1 Time(s)
/myadmin/main.php: 1 Time(s)
/mysql/js/keyhandler.js: 1 Time(s)
/mysql/main.php: 1 Time(s)
/mysqladmin/js/keyhandler.js: 1 Time(s)
/php-my-admin/js/keyhandler.js: 1 Time(s)
/php-my-admin/main.php: 1 Time(s)
/phpMyAdmin-2.2.3/main.php: 1 Time(s)
/phpMyAdmin-2.2.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.1/main.php: 1 Time(s)
/phpMyAdmin-2.5.4/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.5/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.7-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.7/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-rc1/main.php: 2 Time(s)
/phpMyAdmin-2.6.2/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3/main.php: 2 Time(s)
/phpMyAdmin-2.6.4-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl4/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.3/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.4/main.php: 1 Time(s)
/phpMyAdmin-2.8.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.2/main.php: 1 Time(s)
/phpMyAdmin-2/main.php: 1 Time(s)
/phpMyAdmin/js/keyhandler.js: 1 Time(s)
/phpMyAdmin/main.php: 1 Time(s)
/phpMyAdmin2/main.php: 1 Time(s)
/phpadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/main.php: 1 Time(s)
/phpmyadmin1/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/main.php: 1 Time(s)
természetesen, ez is alap azóta. :]
igazából php-s app csak pma van, mono és python webappok futnak a szerveren főleg.
https + authentication required nem elég?
kifejtenéd nekem ezt a random portos ssh-t vpn-el? mini howto? :) érdekelne...
Ha már ilyen megoldáson töröd a fejed, javaslom a SOCKS5 proxy-t. Ssh-ba bele van építve, az "ssh -D" kapcsolóval lehet előhozni(putty-ban dinamikus tunnel), és a firefox pl támogatja.
ez is tökéletes megoldás, vagy portforward a megfelelő használni kívánt portokra. sokáig így volt, míg nem voltunk vpn-ben.
random portot értsd úgy, hogy kiszúrtunk egy 60000 feletti random számot és most azon csücsül a vpn. volt már hogy megvlátoztattuk, mert valaki "kiszúrta" és bä$zäkøĐøŧŧ vele, de nem jellemző.
Nem kötekedésből kérdezem, csak én ezt használom, és érdekelne a véleményed.
Tehát https + http autentikáció. Végül is ugyan az mint a tied, csak vpn nélkül.
igen, gyakorlatban semmivel nem ad kevesebb biztonságot mint a vpn, csak így kevesebb dolog látszik kifelé az x+1 open tcp portból. ennek igazából architektúrális okai is vannak. a fejlesztői és a production server is közös vpn-ben van, ahogyan a fejlesztők gépei is. egyszerűen így alakult ki, nem szeretünk jelszavakat pötyögni. ssh mindenhol látszik kifelé, van banafterloginfailures és amúgy is kulcsokkal operálunk amiket indőnkként cserélünk.
Hát igen, nekem is architektúrális okaim vannak. Egy darab Virtual server van, a felhasználók meg szétszórva a nagyvilágban.
Meg aztán nem vagyunk olyan jól szervezettek, ha kitalálnám hogy mindenki gépére vpn, nem tudnák egy könnyen leadminisztrálni a dolgot akiknek kell.
Találtam egy egész jó klienst ssh-hoz, ami már majdnem felér egy VPN-nel:
http://www.bitvise.com/tunnelier
És 5 felhasználó alatt ingyenes. :)
Ha letöltöm a rootkitet, akkor az warezolásnak számít?
LOL... ha "very private" akkor minek rakja ki AZ internetre?
--
\\-- blog --//
Ő (talán tapasztalatai alapján) lehet, hogy úgy gondolja, hogy teljesen felesleges korlátozni a hozzáférést, mert aki nagyon akar, az úgyis bejut.
vagy csak ismeri az usereket:
- kérek ezt a gombot semmilyen körülmények között ne nyomja meg
- miért?
ergo: hogy terítsd? tiltsd meg, terjed majd magától :D
--
xterm
Bocs, de nem találom a gombot, amit nem szabadna megnyomni. Próbáltam duplaklikkel is a "gombot" meg az "ezt" szón, de csak kijelölte. Segítsetek már!
hm?
--
xterm
Semmi, megtaláltam.
ezen én is röhögtem már
...kínomban :)
:) Hát mást ilyenkor már nem nagyon tehet az ember.
Amúgy ez a "bitchez" pont úgy hangzik, mint valami spanyol családnév :)
Sancho Bitchez de la Roota :)
Vagy a női megfelelő:
Santa Puta del Raíz
:)))
- waiter -
én tanulás céljából leszedtem
érdemes ismerni a "fegyvertárat" nem?
____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux
Az access logbol azt latom hogy egy roman emberke volt a tettes.
"Toata dragostea mea pentru diavola" Annyit jelent mint "Minden szerelmem a satankae"
a bash history-bol a "futaidrone" neve pedig "atb@szodrone"-ra fordithato.
--
FeZo
már egy egyszerű .htaccess-el is védheted az ilyen jellegű támadást...
És mi kerülne pontosan a .htaccessbe? Mivel oda több mindent is lehet írni.
Mondjuk valami ilyesmi:
A htpasswd file-t meg legenerálod.
--
trey @ gépház
Ok, akkor egyre gondoltunk, csak szerintem ez egy kezdonek nem volt egyertelmu. Mert pl Rewriteot is szoktak htaccessbe tenni. Koszi.
a "vedheted" es a "htaccess" szavakbol ha nem tud googlizni, akkor mit keres uzemeltetesnel?
+1
Google "pistol clan su"
Tisztán kíváncsiságból ráengedtem clamav-ot, és avast for linux-ot a log-okban lévő 2 szépségre. Mindkettő felismerte.
[salaud@XXX]$ clamdscan /media/tarhely/Vírusok/
/Vírusok/Rootkitek/war.tar: Linux.RST.B-1 FOUND
/Vírusok/Rootkitek/rk3.tar: Trojan.Rootkit-115 FOUND
----------- SCAN SUMMARY -----------
Infected files: 2
Time: 0.091 sec (0 m 0 s)
[salaud@XXXX]$
---------------------------------------------------------------------------------
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
Helló!
Nem tudom,hogy mit csinál a progi,amit feltettek hozzád,csak egy ötlet:
Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról, akkor lehet,hogy én is ráengedném a 3 megás feltöltési sebességemet,hagy teljen a hakker gépe. .. Ha már adat kell neki,hagy szokja,hogy kap... :)
Ha ez is nem lenne illegális, gondolom velem együtt többen is tudnának 100 mbit/s sebességgel DoS-olni a hacker gépére :)
Korábbi betörési kísérletnél már nyomtam vissza neki néhányezer tcp connectet, hogy hátha rájön, hogy rossz ajtón kopogtat. Amúgy php alól kb. 5 sor.
Ez igazán okos tekintettel arra hogy az esetek döntő többségében ez nem saját gépről érkező támadás, hanem már megtörtről. A l33th4x0r elvtárs meg választ egy másik zombigépet a világ túloldaláról és folytatja a baromságait.
Ha tényleg tenni akarsz valamit, akkor írsz a hálózatot üzemeltetőnek, hogy mit észleltél és milyen IP-ről. Általában lehúzzák az ilyen gépet elég hamar.
"Nem tudom,hogy mit csinál a progi,amit feltettek hozzád"
Pedig az mindenkinek jobb lenne.
"Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról"
OMFG.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Talán segít, hogy ki mi(lyen portoka)t használt (kotonon kívül):
Pub:
Tudom, kedves népség, lehet greppel, dobbal, nádihegedűvel finomítani. Ne aggódjatok, megcsináltam magamnak :>
ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lennenetstat -ltp -bol nem egyszerubb kiindulni?
t
Ha valakinek feltörik a gépét azt lehet jelenteni?
Hol?
--
Home: Ubuntu 8.04 LTS
Server: Debian Lenny
Az illeto (ahonnan jott) ISP abuse cimen, vagy a itt.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Minek ? Konfigurálni egyszerűbb és akkor nem törnek.
A mai nap több ilyet láttam a logban:
Szóval kinéz egy roundcube hiba, ha ennyire keresik. :)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
Raktam egy .htaccess -t a /bin -re, addig jó míg befrissíti az ember, mert a levelezés attól megy.
Megjegyzem megjelent a 0.3 stable
Ma ezt láttam a (tegnapi) logban:
Szóval valamelyik webshop törése is a láthatáron van és keresik a programot...:)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
regisztráld a possible0day.com-ot :P
:D
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
Na, regisztrálnom kellene az oldalt... :)
Az utóbbi pár nap termése:
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
Milyen verziójú myadmin futott?
már megvolt a reinstall, úgyhogy nemtudom. de az volt, ami az etch -ben gyárilag van. tehát nem valami friss...
Nálam is próbálkoztak, egészen friss a log.
67.205.89.102 - - [13/Oct/2009:11:31:14 +0200] "GET //phpmyadmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"
....
67.205.89.102 - - [13/Oct/2009:11:35:34 +0200] "GET //phpMyAdmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"
A phpmyadmin setup könyvtára át van nevezve.
Kedvem lenne valamilyen ellenszer visszajuttatására de attól tartok az is csúnya dolog lenne.
A hálózatának whois-ában szereplő abuse címre írj és asszem a ZmEu user agentre relatív könnyen tudsz szabályt tenni vagy kitiltod a tűzfalon az IP-t. Gyakorlatilag semmilyen opensource csodát nem szabad a default könyvtárban hagyni, mert amint jön vmi 0day bug rögtön jön is a szken, de ezzel gondolom nem mondtam sok újat.
U.I: Ha mindenki beírná a fórumra, hogy mennyi "támadás" érkezik zombigépekről, akkor a SUN nem győzni storage-el támogatni a HUP-ot. :P
Nekem ilyenek vannak a logomban(Ez próbálkozásnak számít?):
Ja, open proxyt keresnek.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
Azt kereshetnek, nincs rajta proxy szerver :)