WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #1  
Старый 12.04.2003, 09:45
cap cap вне форума
Младший научный сотрудник
 
Регистрация: 01.03.2003
Сообщений: 400
Отправить сообщение для cap с помощью ICQ Отправить сообщение для cap с помощью AIM
Плохо

Коллеги,

Сейчас буду расписываться в собственной некомпетентности

на днях меня лишили провайдерской девственности и кракнули сайт одного из моих клиентов.
Проявилось это в подмене заглавной страницы.

Причем ломали до смешного просто: через перловый скрипт голосования взятый с какого-то сайта.

К другим клиентам (тьфу*3) вроде не залезли, хотя и пытались...

Причем эти уроды даже связались с владельцем по ICQ, предложили ему рассказать через как они его ломанули и просили дать за это честный shell на машину... Представились "хакерами", тусующимися на hack-tools.org и ptzhack.net.

Просмотр логов показал, что за апрель к этому человеку ломились с 6 разных IP:
62.118.44.34
193.109.102.102
216.169.69.165
212.96.98.162
194.44.190.210
195.230.137.34
Адреса, как можно посмотреть, в основном, хохлятские... Видимо действительно вместе тусуются и обмениваются инфой..

Аккаунт я естественно скопировал, на серваке его грохнул и поставил заглушку. Сейчас чищу... Уже нашел пару троянов...

Владельцам IP написал...

Внимание вопрос!
Есть ли какие-нибудь специальные тулзы для отслеживания потенциальной кракерской активности. А то эти петрушки несколько недель ломились в наш сервак, а мы ни сном ни духом Пока наконец страницу не поменяли...

Великие Гуры, поделитесь опытом с начинающими
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг
Ответить с цитированием
  #2  
Старый 12.04.2003, 11:21
ptitov ptitov вне форума
Младший научный сотрудник
 
Регистрация: 06.03.2002
Сообщений: 616
По умолчанию

Раз одного из клиентов, то, может быть, дырка в его CMS или неосторожное обращение с паролями?
__________________
http://www.bhost.ru/
Хостинг - 100 Мб от 5$/мес.
Ответить с цитированием
  #3  
Старый 12.04.2003, 12:01
hostserver hostserver вне форума
Младший научный сотрудник
 
Регистрация: 01.06.2002
Сообщений: 426
Отправить сообщение для hostserver с помощью ICQ
По умолчанию

193.109.102.102
194.44.190.210
195.230.137.34
давно забанены на всех серваках
за дополнительные спасибо.
вот вам еще коммпашка флудеров:
81.218.140.102
80.137.25.193
81.218.136.224
__________________
http://host-md.com
Ответить с цитированием
  #4  
Старый 12.04.2003, 15:09
KPOXA KPOXA вне форума
Лаборант
 
Регистрация: 20.08.2002
Сообщений: 299
По умолчанию

На сервер хостинга возможно бывают атаки следующих типов:
удаленная с целью взломать сервер (получить рута)
локальная с той же целью(ломают сами пользователи хостинга)
удаленная с целью получить информацию клиента.
локальная а той же целью, опять же ломают пользователи.

Защищенности систем от атак первого, второго и четвертого типа существует довольно много специфических сайтов, где можно найти эту информацию, в любом случае тут на форуме не осилить эту тему в полном обьеме, остается третий вариант - удаленное ломание скриптов пользователя с целью получить доступ к его информации.

Это самый трудный для защиты вариант, т.к. пользователи сами вольны ставить те или иные скрипты и все скрипты пользователей никто не в состоянии просмотреть и проверить на безопасность, более того, просмотр скриптов пользователя без его разрещения - поступок неэтичный.

Способов взломать скрипты немногим меньше, чем самих скриптов, а скриптов уж написано великое множество

Есть простая рекомендация, все е и так знают, но повторить никогда не поздно - делайте бэкапы, это помогает в случае взлома пользовательсткого аккаунта быстро восстановить файлы пользователя.

Могу также посоветовать вот что - к различным частям сайта назначайте разные же пароли, пароль к СУБД не должен совпадать с паролем к FTP, т.к. в случае возможности просмотра файлов клиента кракер зачастую не может их изменить, но вот просмотр конфига и выцепление пароля даст ему эту возможность, если пароли совпадают.
__________________
Хостинг - бизнес не для слабонервных.
Ответить с цитированием
  #5  
Старый 12.04.2003, 16:42
cap cap вне форума
Младший научный сотрудник
 
Регистрация: 01.03.2003
Сообщений: 400
Отправить сообщение для cap с помощью ICQ Отправить сообщение для cap с помощью AIM
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (ptitov @ 12 Апреля 2003, 12:21)]Раз одного из клиентов, то, может быть, дырка в его CMS или неосторожное обращение с паролями?
Я же написал, что пользователя взломали через установленный им скрипт для голосования.
Скрипт взялся с какого-то сайта. Он обещал прислать мне ссылочку...
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг
Ответить с цитированием
  #6  
Старый 12.04.2003, 16:47
cap cap вне форума
Младший научный сотрудник
 
Регистрация: 01.03.2003
Сообщений: 400
Отправить сообщение для cap с помощью ICQ Отправить сообщение для cap с помощью AIM
По умолчанию

с ФХФ РХУФЙМ grep РП МПЗБН Й ОБЫЕМ ЕЭЕ 6 БДТЕУПЧ ;(
81.2.57.144
81.2.56.227
200.61.163.73
213.135.65.222
195.5.0.253
81.91.36.3

рБТБ БДТЕУПЧ ВЩМБ ЙЪ dialup-РХМБ ЙОФЕТОЕФ-РТПЧБКДЕТБ...
рПУЕНХ ВМПЛЙТПЧЛБ БДТЕУБ НЩУМШ ЙОФЕТЕУОБС, ОП ФХФ ОЕ РПНПЦЕФ...
тБЪЧЕ ЮФП ВМПЛЙТПЧБФШ РТСНП УЕФШ.

оП ПФТХВБФШ ЧУЕИ РПМШЪПЧБФЕМЕК ЛБЛПЗП-ФП РТПЧБКДЕТБ ОБЧЕТОПЕ ОЕ ПЮЕОШ ИПТПЫП.

нПЦОП ЛПОЕЮОП ЪБВМПЛЙТПЧБФШ ЙИ РП ТЕЪХМШФБФБН ОЕ ПФЧЕФБ РТПЧБКДЕТБ ОБ НПЙ ЛМСХЪЩ
__________________
CAPHost - виртуальный, реселлерский, VDS и dedicated хостинг
Ответить с цитированием
  #7  
Старый 12.04.2003, 16:54
KPOXA KPOXA вне форума
Лаборант
 
Регистрация: 20.08.2002
Сообщений: 299
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (cap @ 12 Апреля 2003, 17:42)]Я же написал, что пользователя взломали через установленный им скрипт для голосования.
Скрипт взялся с какого-то сайта. Он обещал прислать мне ссылочку...
Рекомендую лично протестировать некий набор скриптов для основных задач, который (набор) рекомендовать пользователям хостинга как защищенные и проверенные скрипты для реализации той или иной задачи.
__________________
Хостинг - бизнес не для слабонервных.
Ответить с цитированием
  #8  
Старый 12.04.2003, 20:30
kim kim вне форума
Лаборант
 
Регистрация: 18.03.2003
Сообщений: 239
Отправить сообщение для kim с помощью ICQ
По умолчанию

Да.... по поводу таких "взломов" даже говорить не хочется ...

Можно "имунировать" отдельные скрипты ... (вплоть до запрета на удаление, редактирование)

Еще не помешает для apache - suexec ...
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Мой первый хостинг, 4х4хост, ддос атаки FL-3ZAR Форум по Web-хостингу 1 27.09.2011 11:56
Атаки на GoDaddy forestman Форум по Web-хостингу 0 10.06.2010 08:37
Оплата за трафик в случае дос-атаки izx Сolocation, Центры Обработки Данных, IP-адреса и сети 6 10.04.2005 20:04
дос атаки и юридические аспекты.... worldhosting Бизнес хостинга 21 24.07.2003 02:36
DoS атаки или как спать спокойно DizlaNetworks Технические аспекты и вопросы безопасности 1 30.03.2002 09:57


Часовой пояс GMT +3, время: 08:07.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot