Defaceana stranica

[ --ja-- @ 07.04.2006. 21:18 ] @

Dakle prije nekoliko dana mi je defaceana stranica. Skripte koja se na njoj vrte su e107 v0.6175, e107 v0.7.2 te Virtual War v1.5.0.
Ja osobno sumnjam da je rupa u onoj prvoj s popisa iz razloga što je to glavna stranica, do ostalih se dolazi putem jednog jedinog, ne tako uočljivog linka...

Umjesto index.php i news.php su ostavili svoju vizitku ;-) a na serveru sam pronašao skriptu c99shell.php te datoteku c99sh_backconn.210.pl koja je bila prazna (obe u public_html folderu).

Provider mi je forwardao mail koji je on dobio...

Citat:

Hello,

It has been brought to our attention that your server xx.xx.xx.xx may be hosting a website that has been defaced.

The possibly defaced website is http://www.clan-fbi.com

The web pages on the account may be vulnerable to Cross Site Scripting. Some pages may have a vulnerability that allows a malicious person to take advantage of a vulnerable page and

subsequently download and run malicious programs on your server.

We highly suggest you investigate your server for possible compromise and ensure that the user has all of their PHP scripts updated to the latest version. If you need assistance with this,

please feel free to update the ticket and we will do what we can to assist you.

Please keep in mind this is merely a courtesy ticket to alert you of this and we apologize if you are already aware of this issue.

Thank you.

Napomena: Stranica trenutno nije dostupna zbog selidbe na novi server, ali će biti uskoro pa vas molim za pomoć pri krpanju ove rupe, jer ne želim da se ovo opet ponovi, a ne znam odakle da počnem.

Hvala...

[ BobMarley @ 07.04.2006. 21:27 ] @

http://www.securityfocus.com/

http://www.packetstormsecurity.org/

http://www.frsirt.com/

krenes od tih stranica i trazis na njima te skripte koje ti koristis
trazis Advisory i čitaš objašnjenje propusta u njima. imas i exploit kodove za
download i probu da li si ranjiv ili ne .. kad sve to pregledaš odeš na site
proizvodjaća tih scripti i skineš najnovije zakrpe/verzije.

platiš nekom security teamu da ti pregleda site

.. da .. mos si misliti ...

[ BobMarley @ 07.04.2006. 21:39 ] @

e kad smo već kod ovoga zanima me koji je trenutno naj pouzdaniji izvor za 0-day propuste ?

http://www.frsirt.com/ nema više besplatnu uslugu publiciranja istih (nešto sa francuskim IT zakonom

)

[ --ja-- @ 07.04.2006. 21:46 ] @

Hvala na brzom odgovoru, pogledat cu pa cu javit jesam li sta nasao... Ako netko zna u cemu je greska da me liši muke traženja, nek se oglasi.
I, btw, skripte jesu sa najnovijim zakrpama, non-stop ih krpam...

[ Danilo Cvjeticanin @ 08.04.2006. 01:05 ] @

http://www.milw0rm.com ???

[ DownBload @ 08.04.2006. 12:28 ] @

Nije mi jasno kak ljudi mogu biti tak glupi...ko normalan ce unajmiti tim za security konzalting ako mu je
netko iz tog tima neovlasteno 'upao' u server....i onda se budale jos reklamiraju :-).

[ BobMarley @ 08.04.2006. 15:53 ] @

hebeš mi sve ako sam ja razumio DownBload šta si ti sada htjeo reći ...
da će netko unajmiti SC tim ? to valjda "--ja--" korisnik. taj tim se predpostavlja je onaj tvoj tamo .. onaj ... budući da je koliko znam jedina tako specijalizirana firma u susjedstvu. Nekakvom dedukcijom dolazimo do toga da si mu ti

Citat:

neovlasteno 'upao' u server....

krivo sam shvatio jelda ?

_dodatak: Ko se reklamira ?

_{[Ovu poruku je menjao BobMarley dana 08.04.2006. u 16:54 GMT+1]}

[ IcyImpact @ 08.04.2006. 15:56 ] @

Citat:

BobMarley: http://www.frsirt.com/ nema više besplatnu uslugu publiciranja istih (nešto sa francuskim IT zakonom )

Old news. FrSIRT ne hosta izvorne kodove exploita još od tamo polovice prošlog mjeseca. Šteta, a ponajviše zbog toga je bio poznat. Ipak, pretplatnici FrSIRT-ovih servisa mogu pristupiti izvornim kodovima, ali to i nije neka utjeha sigurnosnoj zajednici u kojoj je većina tu uslugu smatrala pravim draguljom (što je i bio), a sad - štanga.

[ fearless @ 08.04.2006. 18:48 ] @

Citat:

ostavili svoju vizitku

Na ovo je Leon mislio.

Citat:

Nekakvom dedukcijom dolazimo do toga da si mu ti

On? Jesi ti priglup il nesto?

Citat:

krivo sam shvatio jelda ?

Da.

_{[Ovu poruku je menjao fearless dana 08.04.2006. u 19:49 GMT+1]}

[ BobMarley @ 08.04.2006. 19:44 ] @

ne nisam priglup nego preglup ...

koja je poanta na kraju ?

jel mi gledamo istu temu ? otkud si ti quote sa vizitkama izvukao ?

[ Goran Mijailovic @ 08.04.2006. 20:02 ] @

Citat:

Umjesto index.php i news.php su ostavili svoju vizitku ;-) a na serveru sam pronašao skriptu c99shell.php te datoteku c99sh_backconn.210.pl koja je bila prazna (obe u public_html folderu).

hm iz prvog posta ne?

[ BobMarley @ 08.04.2006. 20:04 ] @

ummm majku mu :)

ali opet nesto propustam .. ej ful cete me u bed sada baciti sta sam ja jedini koji nije razumjeo dowbloadov post ?
neka mi ga neko rasclani kako treba ...

[ --ja-- @ 08.04.2006. 20:42 ] @

Teško da je itko to shvatio njegov post... Lijepo vas molim da se ne prepirete već da probate pomoći. Ne želim da netko zaključa temu, a meni problem ostane...
Stranica je sad na novom serveru i dostupna je pa bacite pogled...

Btw, nevezano za prvi problem, koji dio html koda da izmijenim da mi onaj chatbox izgleda normalno u internet exploreru... Ovo me ubija već duže vremena i mijenjao sam šta sam god znao al sam samo donekle uspio...

Živili

[ Mitrović Srđan @ 09.04.2006. 03:16 ] @

covek reklamira sajt :)
mislim na zacetnika etme.
al eto mozete i da mu doradjujete sajt :)

[ --ja-- @ 09.04.2006. 16:05 ] @

Ma ne reklamiram, pa oni kojima treba već ga znaju, oni kojima ne treba neće ni otići na njega, jedino što radim je pitam za pomoć, čemu, nadam se, ovaj forum i služi.

[ fearless @ 09.04.2006. 20:57 ] @

Citat:

čemu, nadam se, ovaj forum i služi

Kolko se ja secam u opisu foruma stoji:

Citat:

Security and exploit coding.

Tako da si na pogresnom mestu al ajd...

_{[Ovu poruku je menjao fearless dana 09.04.2006. u 21:58 GMT+1]}

[ --ja-- @ 09.04.2006. 21:49 ] @

Citat:

fearless: Tako da si na pogresnom mestu al ajd...

Nekad je postojao forum Deface, no sad ga nema (iz opravdanih razloga), ili ga ja nisam mogao pronaći... Smatrao sam da bi netko tko može napisati exploit za neku php skriptu mogao i pronaći rupu u istoj, zato sam temu i postavio ovdje. Ako nekog vrijeđam svojim pitanjem stvarno mi je žao, nisam to htio. Ovakvi komentari nikome ne pomažu i ne dovode do rješenja problema. Jasno mi je da nemaju svi vremena i volje pokušati pomoći, ali molim vas, bar nemojte pretrpavati temu ovakvim komentarima.

[ DownBload @ 09.04.2006. 22:16 ] @

Ispricavam se za nejasnoce :-)
Uglavnom, htio sam reci da je netko difejsao sajt, a onda je vjerojatno ta ista
osoba poslala mail u kojem se reklamira da moze 'popraviti stvari'....
...to bas i nije previse bistro...

[ --ja-- @ 09.04.2006. 22:35 ] @

Vidim da je sve puno nejasnoća. Dakle ja sam imao sajt zakupljen kod firme XY koja je servere imala kod druge firme - XYZ. Deface se dogodio prije preseljenja. Kad sam spomenuo vizitku, mislio sam na ovo (bio mi je zabavan njihov engleski pa sam sačuvao). E sad, ono gore citirano mi je proslijedio admin firme XY i on definitivno nije imao ništa s tim. Pretpostavljam da je on to dobio od firme XYZ... Stranica je sad prebačena kod firme QX i za sad sve radi ok, no problem i dalje postoji... Nadam se da sam sad riješio neke nedoumice, mada one nisu bile bitne za rješavanje ovog problema.

[ nekoko @ 11.04.2006. 23:07 ] @

Izgleda da sam jedini ja shvatio downbload-ov post...

--ja--: Apdejtuj sve svoje skripte (ili promeni CMS za neki manje bagovit) i tvikuj ih malo.Imas puno literature na netu, sve zavisi od toga sta koristis.Pronadji sto vise exploita za tvoje skripte i instaliraj pecheve pa testiraj CMS jos jednom.Takodje pazi na restrikcije korisnika i fajlova na serveru.

[ fearless @ 12.04.2006. 14:54 ] @

Citat:

Izgleda da sam jedini ja shvatio downbload-ov post

A sto nas nisi prosvetlio leba ti, i usput leon je objasnio sta je mislio ;)