Autor Zpráva
tomsonrecord
Profil
Dobrý den,
zjistil jsem, že nám někdo přidal na náš pracovní web NEOPRÁVNĚNĚ stránku. Vypadá neškodně. Tady to je: http://www.architekti.in/ganteng.htm
Doména www.architekti.in je směrovaná na můj vlastní kus "železa" Synology DS210j. Takže jsem si prošel protokol přihlašování a daný den, kdy přibyla stránka na FTP se nikdo nezvaný nepřihlašoval. Ke všemu vytvořil ten NEOPRÁVNĚNÝ soubor "ganteng.htm" uživatel se jménem "root". A takový uživatel na mém nasu Synology není založený. Chápu to tak, že se jedná o systém.
Dále mám na nasu zapnutý auto blok IP adresy, takže když někdo třikrát ze stejné IP zadá během jedné hodiny při pokusu o přihlášení špatné přihlašovací údaje, zablokuje se IP navždy. Takto se mi blokuje denně tak 5-8 IP adres z celého světa.
No každopádně stránky jsem psal v PHP za použití zpracování parametrů z URL. Ukázka: http://www.architekti.in/p.php?str=p180.php
1/ Je možné, že by dokázal někdo skrze parametr v URL nahrát stránku do složky s webem?
2/ Dá se nějak řešit tolik pokusů o nabourání z různých IP adres, než je prostě vždy nechat vyblokovat?
Neoprávněnou stránku jsem tam zatím nechal, je tam už déle a zatím nevypadá, že škodí. Nechci zbytečně upozorňovat jejím odstraněním, dokud nebudu vědět, jak se tam dostala.
P.S.: NAS Synology mám pravidelně aktualizovaný.

Děkuji za rady a připomínky.
Joker
Profil
tomsonrecord:
Je možné nějak nahrávat soubory přímo přes ten web?
tomsonrecord
Profil
Joker:
Ne, takto to napsané nemám.Vše ukládám přímo na FTP.

Něco jsem v minulosti četl ohledně použití proměnné a prý je to nebezpečné. Do teď jsem používal pouze:
error_reporting(0);
$a = htmlspecialchars($_GET[a]); 

echo $a;

Každopádně je to asi málo :) jak dokázal tým hackerů
joe
Profil
Nejsi jediný, komu se něco takového stalo. Diskuse na stejný problém je v angličtině zde.
CZghost
Profil
tomsonrecord:
To bude nějaká skupina hackerů, co chtějí demonstrovat svoje schopnosti. Zkusil jsem si zobrazit jednu z těch hacknutých stránek, tam je vizitka Indonesian Faceteam.

Výsledky hledání „Indonesian Faceteam“ v Googlu:
 1 • Diskuze - DOBRETIPY.cz | Tipy na sportovní utkání
 2 • This video is unavailable. - YouTube
Jak vidno, o sobě dávají vědět jen prostřednictvím cizích webů... Po chvilce se začne přehrávat hudba, raději jsem to vypnul, docela jsem se vylekal. Stránku Avast hodnotí jako bezpečnou, ovšem výsledek se může lišit. Nechal někdo tu hudbu doznít? Vsadím se, že ten hudební soubor ukrývá nějaký škodlivý kód a přehráním celého souboru dojde ke spuštění. Zkusil se někdo podívat na stránky Pentagonu, jestli tam není to samé? To by potom nepomohlo nic :-))



https://www.google.cz/search?q=ganteng.htm#q=ganteng.htm+info
http://www.zone-h.org/archive/ip=95.211.217.200/page=1
Všechno je z nizozemské IP adresy, všechno masově. Ti si nedají pokoj, nejspíš na to používají program, který vyhledává zranitelné weby, kam potom nahrajou obsah. Zajímavý, leč nelegální způsob, jak o sobě dát vědět.
David1234
Profil *
Já bych ze všeho nejdřív zjistil verzi firmware a podíval bych se jestli se toho zařízení s daným firmwarem netýká nějaká zranitelnost... http://www.cvedetails.com/vulnerability-list/vendor_id-11138/Synology.html

Snad je ten link správně.. co přesně je to za zařízení?


Klidně tam můžeš mít nastrčený rootkit o kterém vůbec nevíš... http://blog.jandorsman.com/blog/synology-error-ldpreload-cannot-be-preloaded
tomsonrecord
Profil
David1234:
firmware pravidelně aktualizuji, momentálně mám nejnovější DSM 5.0-4493 update 1
zařízení je to Synology DS210j

napsal jsem ještě na podporu Synology, uvidím so vymyslí.
David1234
Profil *
A instaloval jsi ho tam opravdu ty? Já jenom že útočník podle mne zneužil chybu firmwaru (nebo chybu v php aplikaci - doporučuju projít včechny vstupy a podívat se jestli to někde není teoreticky zneužitelné), získal roota, smazal logy, udělal update firmware a nahrál rootkit. Nemusel jsi o tom ani vědět.

Nemáš k dispozici nějaké logy z toho serveru? Předpokládám že je asi nikam nezálohuješ, co? Jinak dokud nejsou důkazy, tak tu můžeme jenom spekulovat..
tomsonrecord
Profil
David1234:
Firmware aktualizuji ručně a dělám to pravidelně, vždy, jakmile vyjde nový.
Logy mám cca rok zpět ale nemám je zálohované. Chyba! Opravdu to vypadá, že někdo smazal logy kolem data, kdy přibyl soubor.

Asi budu muset udělat čistou instalaci. S Linuxem nemám zkušenosti a vrtat se mi do toho moc nechce.

Díky za reakce, pak napíšu, jak to dopadlo.
David1234
Profil *
Čistá instalace je nutností! I odborník na linux raději udělá čistou instalaci, než hledat co je kompromitované a co není.
tomonrecord
Profil *
David1234:
Díky za radu. TO stejné mi poradili i lidi z podpory Synology. Čistá instalace! Kdyby to někoho zajímalo, dostali se mi tam pomocí Joomly, která měla v dané verzi problémy se zabezpečením. Paradoxem je, že ji vůbec nepoužívám, jen jsem ji jednou vyzkoušel a neodinstaloval včas.

Díky všem za reakce a přeji všem čistý servery bez havěti.

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: