Кракерские атаки...

[cap]

Коллеги,

Сейчас буду расписываться в собственной некомпетентности

на днях меня лишили провайдерской девственности и кракнули сайт одного из моих клиентов.
Проявилось это в подмене заглавной страницы.

Причем ломали до смешного просто: через перловый скрипт голосования взятый с какого-то сайта.

К другим клиентам (тьфу*3) вроде не залезли, хотя и пытались...

Причем эти уроды даже связались с владельцем по ICQ, предложили ему рассказать через как они его ломанули и просили дать за это честный shell на машину... Представились "хакерами", тусующимися на hack-tools.org и ptzhack.net.

Просмотр логов показал, что за апрель к этому человеку ломились с 6 разных IP:
62.118.44.34
193.109.102.102
216.169.69.165
212.96.98.162
194.44.190.210
195.230.137.34
Адреса, как можно посмотреть, в основном, хохлятские... Видимо действительно вместе тусуются и обмениваются инфой..

Аккаунт я естественно скопировал, на серваке его грохнул и поставил заглушку. Сейчас чищу... Уже нашел пару троянов...

Владельцам IP написал...

Внимание вопрос!
Есть ли какие-нибудь специальные тулзы для отслеживания потенциальной кракерской активности. А то эти петрушки несколько недель ломились в наш сервак, а мы ни сном ни духом Пока наконец страницу не поменяли...

Великие Гуры, поделитесь опытом с начинающими

[ptitov]

Раз одного из клиентов, то, может быть, дырка в его CMS или неосторожное обращение с паролями?

[hostserver]

193.109.102.102
194.44.190.210
195.230.137.34
давно забанены на всех серваках
за дополнительные спасибо.
вот вам еще коммпашка флудеров:
81.218.140.102
80.137.25.193
81.218.136.224

[KPOXA]

На сервер хостинга возможно бывают атаки следующих типов:
удаленная с целью взломать сервер (получить рута)
локальная с той же целью(ломают сами пользователи хостинга)
удаленная с целью получить информацию клиента.
локальная а той же целью, опять же ломают пользователи.

Защищенности систем от атак первого, второго и четвертого типа существует довольно много специфических сайтов, где можно найти эту информацию, в любом случае тут на форуме не осилить эту тему в полном обьеме, остается третий вариант - удаленное ломание скриптов пользователя с целью получить доступ к его информации.

Это самый трудный для защиты вариант, т.к. пользователи сами вольны ставить те или иные скрипты и все скрипты пользователей никто не в состоянии просмотреть и проверить на безопасность, более того, просмотр скриптов пользователя без его разрещения - поступок неэтичный.

Способов взломать скрипты немногим меньше, чем самих скриптов, а скриптов уж написано великое множество

Есть простая рекомендация, все е и так знают, но повторить никогда не поздно - делайте бэкапы, это помогает в случае взлома пользовательсткого аккаунта быстро восстановить файлы пользователя.

Могу также посоветовать вот что - к различным частям сайта назначайте разные же пароли, пароль к СУБД не должен совпадать с паролем к FTP, т.к. в случае возможности просмотра файлов клиента кракер зачастую не может их изменить, но вот просмотр конфига и выцепление пароля даст ему эту возможность, если пароли совпадают.

[cap]

Цитата:

Сообщение от [b

Цитата[/b] (ptitov @ 12 Апреля 2003, 12:21)]Раз одного из клиентов, то, может быть, дырка в его CMS или неосторожное обращение с паролями?

Я же написал, что пользователя взломали через установленный им скрипт для голосования.
Скрипт взялся с какого-то сайта. Он обещал прислать мне ссылочку...

[cap]

с ФХФ РХУФЙМ grep РП МПЗБН Й ОБЫЕМ ЕЭЕ 6 БДТЕУПЧ ;(
81.2.57.144
81.2.56.227
200.61.163.73
213.135.65.222
195.5.0.253
81.91.36.3

рБТБ БДТЕУПЧ ВЩМБ ЙЪ dialup-РХМБ ЙОФЕТОЕФ-РТПЧБКДЕТБ...
рПУЕНХ ВМПЛЙТПЧЛБ БДТЕУБ НЩУМШ ЙОФЕТЕУОБС, ОП ФХФ ОЕ РПНПЦЕФ...
тБЪЧЕ ЮФП ВМПЛЙТПЧБФШ РТСНП УЕФШ.

оП ПФТХВБФШ ЧУЕИ РПМШЪПЧБФЕМЕК ЛБЛПЗП-ФП РТПЧБКДЕТБ ОБЧЕТОПЕ ОЕ ПЮЕОШ ИПТПЫП.

нПЦОП ЛПОЕЮОП ЪБВМПЛЙТПЧБФШ ЙИ РП ТЕЪХМШФБФБН ОЕ ПФЧЕФБ РТПЧБКДЕТБ ОБ НПЙ ЛМСХЪЩ

[KPOXA]

Цитата:

Сообщение от [b

Цитата[/b] (cap @ 12 Апреля 2003, 17:42)]Я же написал, что пользователя взломали через установленный им скрипт для голосования.
Скрипт взялся с какого-то сайта. Он обещал прислать мне ссылочку...

Рекомендую лично протестировать некий набор скриптов для основных задач, который (набор) рекомендовать пользователям хостинга как защищенные и проверенные скрипты для реализации той или иной задачи.

[kim]

Да.... по поводу таких "взломов" даже говорить не хочется ...

Можно "имунировать" отдельные скрипты ... (вплоть до запрета на удаление, редактирование)

Еще не помешает для apache - suexec ...