| Autor | Zpráva | ||
|---|---|---|---|
| I amm Profil * |
#1 · Zasláno: 4. 6. 2011, 04:13:47
Ahoj, mám problém s neznámým hackerem, který mi několikrát přepsal na FTP soubor index.php. Teď se snažím zjistit, jak se mu to povedlo. Napadá mě několik možností:
1) uhodnutí hesla k FTP (bylo jednoduché - jméno zvířete na šest + dvě číslice) 2) nahrání souboru přes nějakou chybu v systému OpenCart (je tam asi rok stará verze, takže má asi chyby) 3) trojský kůň, který je na počítači ze kterého se k FTP připojuje a heslo odposlechne a někam pošle Myslím si, že je nejpravděpodobnější druhý bod. Lze to nějak ověřit? Hostuju na dreamhost.com (mám k dispozici logy, ale nevím co v nich hledat, nikdy sem s logy nepracoval) popřípadě se můžu připojit přes SSH a používat bashové příkazy. Jinak přesný čas útoku nevím (resp. vím který den to bylo a přibližně i hodinu), ani nemám onen index od hackera (kamarád ho přepsal tím správným). Poradíte mi jak zjistit kde je skulina? |
||
| LudekBrno Profil |
#2 · Zasláno: 4. 6. 2011, 09:17:22
I amm:
Ve většině případů to je trojan v PC, který krade hesla k FTP z Total Commanderu, pokud ho používáš. Tedy: 1) vyčistit PC 2) změnit heslo k FTP 3) NEUKLÁDAT ho v Total Commanderu |
||
| Radek9 Profil |
#3 · Zasláno: 4. 6. 2011, 09:48:30 · Upravil/a: Radek9
LudekBrno:
„3) NEUKLÁDAT ho v Total Commanderu“ 1) Nepsal, že používá TC. 2) Pokud se použije master heslo (což je v nejnovější verzi snad i povinné), tak je to dost bezpečné. |
||
| Miloš Profil |
#4 · Zasláno: 4. 6. 2011, 10:32:57
Ještě k TCMD – obstojná jednoduchá finta je uložit heslo o něco delší – přidat na začátek nebo na konec určitý počet znaků navíc a tyto znaky před připojením na výzvu zadat z hvězdiček odmazat.
|
||
| LudekBrno Profil |
#5 · Zasláno: 4. 6. 2011, 11:16:58 · Upravil/a: LudekBrno
Radek9:
Vím, že nepsal o TC, ale pokud vím, je to asi nejrozšířenější FTP klient, takže pravděpodobnost je dost velká a myslím, že větší než že se někdo naboural z vnějšku přímo do OpenCartu. |
||
| Davex Profil |
#6 · Zasláno: 4. 6. 2011, 12:37:17 · Upravil/a: Davex
I amm:
1) Jestliže máš k dispozici logy připojení na FTP, tak se podívej na podezřelou aktivitu z jiných IP adres než je tvoje. 2) Mohl se tam dostat i chybou v OpenCartu, a proto doporučuji sledovat opravy kritických chyb a upgradovat na nové verze. 3) Pokaždé se tam nemusí dostávat stejnou cestou. Pokud to není robot nebo hloupý hacker, tak si tam mohl nechat po první navštěvě zadní vrátka, kterými se tam snadno dostane znova i po opravě původní chyby. |
||
| I amm Profil * |
#7 · Zasláno: 6. 6. 2011, 19:45:31
Tak bohužel šlo o tu horší variantu.
[Mon Jun 06 06:51:51 2011] [error] [client 41.142.103.10] ModSecurity: Access denied with code 503 (phase 2). Pattern match "(?:perl .*\\.pl(\\s|\\t)*\\;|\\;(\\s|\\t)*perl .*\\.pl|perl (?:xpl\\.pl|kut|viewde|httpd\\.txt)|\\./xkernel\\;|/kaiten\\.c|/mampus\\?&(?:cmd|command)|trojan\\.htm|/(?:r57|c99|c100)\\.(?:php|txt)|r57shell\\.(?:php|txt))" at REQUEST_URI. [file "/dh/apache2/template/etc/mod_sec2/gotroot/50_asl_rootkits.conf"] [line "97"] [id "390802"] [rev "3"] [msg "Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Possible Rootkit attack: Known Rootkit"] [data "/c99.php"] [severity "CRITICAL"] [hostname "mojedomena.cz"] [uri "/c99.php"] [unique_id "Tezbd0PNP@4AAGHRYyMAAAAA"] [Mon Jun 06 06:51:55 2011] [error] [client 41.142.103.10] ModSecurity: Access denied with code 503 (phase 2). Pattern match "(?:\\.php\\?act=(chmod&f|cmd|ls|f&f)|cx529\\.php|\\.php\\?(?:phpinfo|mtnf|p0k3r)|/shell[0-9]?\\.php|/\\.get\\.php)" at REQUEST_URI. [file "/dh/apache2/template/etc/mod_sec2/gotroot/50_asl_rootkits.conf"] [line "57"] [id "390146"] [rev "17"] [msg "Atomicorp.com - FREE UNSUPPORTED DELAYED FEED - WAF Rules: Command shell attack: PHP exploit shell attempting to run command"] [data "/shell.php"] [severity "CRITICAL"] [hostname "mojedomena.cz"] [uri "/shell.php"] [unique_id "Tezbe0PNP@4AAGHnZfEAAAAF"] Muselo jít o nějaký exploit... hlavně v http logu je dost divnejch IP adres... Zatím jsem změnil heslo na FTP, ale to stačit nebude. Netušíte někdo jak z logu poznat jakou chybu nebo jaký soubor využili k ovládnutí serveru? |
||
| I amm Profil * |
#8 · Zasláno: 6. 6. 2011, 20:05:54
Super. http://www.damnweird.com/security/opencart-remote-file-upload-vulnerability/ - už vím přes co se tam dostal.
|
||
|
Časová prodleva: 14 let
|
|||
0