Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...

teava rezistenta panou apa calda
 Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN

Numar circuite IPAT si prindere t...
 Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD

Cost abonament clinica privata
 Tremura toata, dar nu de la ro...

Renault Android

Recomandare bicicleta e-bike 20&#...

Bing-Content removal tool
 

Hacking?

- - - - -
  • Please log in to reply
24 replies to this topic

#1
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
Ma uitam in lista vizitatorilor site-ului (OpenCart) si observ ceva dubios :

Landing Page : /uploadify/uploadify.swf

am dat sa vad ce e cu IP-ul ( 62.210.141.227 ) de pe care a accesat pagina aia (inexistenta) si rezultatul :

Services: Recently reported forum spam source. (15777)


Stie cineva ce incerca sa faca? ...upload de malware, etc?

Am scanat site-ul prin cPanel si virustotal.com ... nu contine virusi.
Am adaugat IP-ul 62.210.141.227 in IP Deny Manager... probabil ca ar trebui sa adaug un entire range, nu?

Attached Files


Edited by veman, 28 January 2015 - 13:20.


#2
gumball3000

gumball3000

    ...

  • Grup: Senior Members
  • Posts: 49,649
  • Înscris: 24.09.2006
Probabil ceva bot de spam.
Nu te stresa prea tare.

#3
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
nu ma stresez, dar am mai avut probleme, in trecut, cu injectare de cod PHP ...pentru Wordpress in fisiere de OpenCart Posted Image ...a trebuit sa curat fisierele fiindca imi genera erori.

acum fac backup periodic, verific tot, nu sunt erori...


sunt si doua comentarii pe whatismyipaddress.com :
Hacking. - 2015-01-22
Hacker.....Nasty one too - 2015-01-23

Edited by veman, 28 January 2015 - 13:32.


#4
gumball3000

gumball3000

    ...

  • Grup: Senior Members
  • Posts: 49,649
  • Înscris: 24.09.2006
Daca e sa ne luam dupa comentarii... vezi stirile de la TV, care ii numesc pe cei din RV care dau tepe pe ebay tot hackeri.

#5
Mizu

Mizu

    moroșan

  • Grup: Senior Members
  • Posts: 18,724
  • Înscris: 10.12.2006
Daca era sa te injecteze te injecta deja, ai banat degeaba ip-ul. Poti fi sigur ca nu face chestia manual ci cu ceva bot ce roteste ip-uri, adica proxy-uri. Tot ce poti face e sa iti tii la zi scripturile si sa nu folosesti pluginuri invechite sau din surse obscure.

#6
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
daca injecta presupun ca undeva, cumva, reiesea lucrul acesta. In prima faza, in log-urile de erori... zic eu, nu?

a incercat asa :

/cms/uploadify/uploadify.swf
/js/uploadify/uploadify.swf
/plugins/uploadify/uploadify.swf
/includes/uploadify/uploadify.swf
/admin/uploadify/uploadify.swf
/lib/uploadify/uploadify.swf
/uploadify/uploadify.swf
/inc/uploadify/uploadify.swf

nu stiu ce platforma cauta ... ca OC nu are structura asta.

Edited by veman, 28 January 2015 - 13:58.


#7
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

View Postveman, on 28 ianuarie 2015 - 13:39, said:

daca injecta presupun ca undeva, cumva, reiesea lucrul acesta. In prima faza, in log-urile de erori... zic eu, nu?
Depinde cat de "destept" este botul. Dar da, primele semne de intrebare ar trebui sa ti le ridice mult prea multe erori 404.

View Postveman, on 28 ianuarie 2015 - 13:39, said:

nu stiu ce platforma cauta ... ca OC nu are structura asta.
Il cauta pe http://www.uploadify.com/demos/, nu neaparat o platforma anume.

#8
tigerheart

tigerheart

    Savage Member

  • Grup: Senior Members
  • Posts: 9,815
  • Înscris: 07.08.2008
Poate doar testeaza terenul :P
Am devirusat destule site-uri pana acum si din ce am vazut din log-uri(log-urile de acces), multe atacuri se fac in mai multi pasi, respectiv cu mai multe ip-uri si in mai multe zile...
La inceput iti scaneaza site-ul sa vada daca nu ai ceva brese de securitate, verifica versiunea platformei, ce module ai, etc. Acum depinde de fiecare hacker in parte cum lucreaza...
E posibil sa treaca apoi cateva zile si revine pe site... iti injecteaza un cod prin care obtine acces la site, mai bine zis obtine accesul de a incarca fisiere pe site-ul tau.. Si apoi incepe distractia si incepe sa iti incarce diverse fisiere, depinde de ce vrea hackerul sa faca pe site-ul tau.Posted Image
Si nu, nu intotdeauna gasesti in log-urile de erori "dovezi" ca s-a intamplat ceva dubios pe site.

Uite niste recomandari:
1. in folderele care contin fisiere .tpl sau imagini, pune un .htaccess prin care interzici accesul la fisiere .so si .php;
2. daca tu crezi ca te-a "spart" cineva, poti verifica si permisiunile folderelor(da, e munca de chinez dar eu de multe ori asa am gasit fisiere infectate). Daca vezi foldere cu cmod 00, acolo cu siguranta ai ceva suspect;
3. poti face un back-up la site si apoi sa il scanez cu antivirusul tau(eu folosesc Eset si e destul de bun) - de cele mai multe ori fisierele infectate au cod criptat(base64) si antivirusii cam stiu sa detecteze asa ceva; ClamAv mie mi-a dat niste rateuri la astfel de fisiere.

#9
Mihai_3

Mihai_3

    我會回來的...

  • Grup: Senior Members
  • Posts: 10,039
  • Înscris: 26.04.2007
veman si eu am un 1.5 instalat si online.
si la mine mai venea din cand in cand un scan de pe range-ul ala.

Nu este nici o problema, i-am pus ban pe 62.210.0.0/16 si gata....
Oricum targetul meu nu este Franta.

Edited by Mihai_3, 28 January 2015 - 14:28.


#10
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009

View Posttigerheart, on 28 ianuarie 2015 - 14:16, said:



Am facut backup si am scanat cu ESET 7 ...rezultat : niciun virus

Nu prea am ce sa fac la site...este definitiv, module / extensii "custom work" platite la cei care le vand, modificari minore de mine in cod ...atat cat am invatat, stiut, putut...
Parola pe folder "admin" ...

O sa mai verific si permisiunile... totusi, mi se pare aiurea sa incerci sa hack-uiesti un site de la care nu prea ai ce obtine...

#11
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

View Postveman, on 28 ianuarie 2015 - 18:21, said:

O sa mai verific si permisiunile... totusi, mi se pare aiurea sa incerci sa hack-uiesti un site de la care nu prea ai ce obtine...
Chestia asta se intampla zilnic si nu numai tie. Tu la ce crezi ca sunt folositi, printre altele, botnetii pe care ii "alimenteaza/intretin" inclusiv romanii care-si instaleaza tot felul de programe patchuite?
Nu au target precis - care "pica" la rand. Inchipuie-ti 100.000 de PCuri, conectate la Internet prin linkuri de 100Mbps sau chiar Gigabit(FiberLink suna cunoscut?), folosite la a scana diverse siteuri(alese extrem de aleatoriu) zilnic. Daca "sta" o ora/site/PC => 2.4 milioane de siteuri/zi. Mult, putin? Nu stiu. La fel nu cum nu pot sa iti spun cand/daca iti vine randul.

Scopul? Ah, multiplu: simple shelluri, hosting de fisiere infectate, siteuri de phising, defaceuri(mai rar, dar si din astea), harvesting de adrese de e-mail, inclusiv includerea victimei intr-un nou botnet/extinderea celui deja folosit etc.

Din pacate, principiul romanesc de tipul "mie nu mi se intampla" nu se poate aplica si aici. Posted Image

Edited by dexterash, 28 January 2015 - 18:33.


#12
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
Eu nu merg pe principiul "mie nu mi se poate intampla" mai ales ca site-ul a fost injectat cu un script php (chiar la cateva zile dupa ce l-am "aruncat" in www) ...chiar daca era de WP, eu avand OC....

Mai mult de atat, am avut returnare de email si inclus pe niste liste aiurea...cica PHPCrypto sau ceva de genul. Am scanat si pentru asta si nu este infestat...dar asta e... report fake, doua zile mail-urile mele nu au ajuns la destinatar.

Ideea era ca nu prea au ce sa fure... clientii pot lansa comanda si fara a avea cont, iar plata se face prin terti. ...securizat...

Tot site-ul il pot pune la dispozitie, sunt module pe care nu le pot folosi altii pentru ca sunt modificate... de catre mine sau de catre cei care le-au conceput si le-am platit extra munca pentru a le adapta conform cu cerintele mele.

Ce naiba sa fure?...

Sunt convins ca multi dintre "opencart-isti" nu verifica site-urile sau nu acorda o atentie asupra securitatii ... ca sa nu mai vorbesc de wordpress-isti ...

In fine, daca trebuie sa mai fac ceva ca sa preintampin astfel de probleme...o voi face.

Edited by veman, 28 January 2015 - 19:29.


#13
Mihai_3

Mihai_3

    我會回來的...

  • Grup: Senior Members
  • Posts: 10,039
  • Înscris: 26.04.2007
2.0 sau 1.5 ?

#14
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

View Postveman, on 28 ianuarie 2015 - 19:29, said:

Ce naiba sa fure?...
Pai smecheria este ca nu trebuie sa fure ceva. Ti-am zis: hosting de fisiere infectate, de exemplu. Si nu cred ca ar da bine daca Google ti l-ar marca drept malware...
Sau sa te trezesti intr-o dimineata ca pagina ta este reclama pentru ISIS sau mai stiu eu ce alti religiosi.

View Postveman, on 28 ianuarie 2015 - 19:29, said:

In fine, daca trebuie sa mai fac ceva ca sa preintampin astfel de probleme...o voi face.
Daca este pe un VPS incearca fail2ban "customizat" pentru reguli de Apache, pe erori 403/404.
Apoi, limiteaza user-agents carora le servesti paginile folosindu-te de .htaccess.

Asta asa, ca un minim-minimorum de siguranta.

#15
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
1.5.6.1

ISIS? LOL

#16
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
http://www.sbfisica.org.br/mrtg/
http://www.skylightweb.com/imagine/
http://www.nogomix.com/
http://www.shethai.com/excel/

De exemplu...

#17
veman

veman

    Active Member

  • Grup: Banned
  • Posts: 1,390
  • Înscris: 15.07.2009
da, dar totusi... nu as fi in "target-ul" lor :D

#18
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
Tocmai ce ti-am zis(si ai vazut si tu pe propria piele) ca nu au "target", ci folosesc "shotgun approach". Au atat de multe resurse la dispozitie incat nu trebuie sa filtreze ce ataca, ci ataca la gramada(au fost si vreo 20 de siteuri romanesti care si-au luat-o, de la siteuri de Consilii Judetene, pana la siteuri de gradinite, Universitati sau bloguri personale).

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate