Za početak, uradi update Joomle i svega što imaš na sajtu.

Ali kako je moguce da se konentuju na ftp i obrisu mi...

Ovi meni ne provaljuju joomlu...

Moguce je da imas trojanca na svom kompu pa svaki put kad izmenis sifru oni vide a moguce je i da ti je neka scripta busna pa rade preko toga. :)

Ali mnoge sajtove u srbiji su poobarali...

... i svi ti sajtovi su koristili neki opste dostupan CMS poput Joomla-e.
Uradi upgrade.

Upravo pokusavam da vratim sajt u prethodno stanje, pa radim upgrade...

Ako ti je za utehu, i mnogi "njihovi" sajtovi su oboreni.

Hehe... Konacno i jedna lepa vest... :)

sto u ovoj temi?

http://www.bleepingcomputer.co...moval/uninstall-antivirus-2009

drug je bas imao isti problem ali je kod njega bio antivirus 2009 mada mislim da ce i tebi pomovi... u pitanju je rogue anti-spyware

meni je taj virus bio na jednom Joomla sajtu. pogledaj u page source-u sajta.

Uzmi neki scanner na primer nessus, skeniraj server sa CMSom i vidi gde su rupe

Pa evo, sinoc sam uradio upgrade CMS-a, oni nocas opet oborili... Tj, zamenili mi index.php... Znaci da probam sa nessus...

Da bi se odbranio od napada moras saznati na koji je nacin napad izvrsen. Mozd auopste niej problem u joomli nego je taj host koji korsitis lose konfigurisan...

Pa sad cu da vidim sa tehnickom podrskom, mnogo mi je sumnjivo da je do joomle... Mada oni i da hoce mogli bi da mi odrisu sve... Evo, upravo su mi cetvrti put menjali index...

A zanimljivo je i to da sam jos jedan sajt pratio, njega su prvog napali, koristio je takodje joomlu 1.5. Medjutim, jos na tri sajta sam koristio 1.5, nisu ga dirali, a na istom hosting provajderu, a imam i jedan hostovan na domacem provajderu i na njemu joomla 1.0.13 i nije taknut. Mozda je i moguce da joomla 1.5 ima nekih bezbednosnih propusta...

Postoje ljudi koji se bave tom problematikom. Zovite digitalne forenzicare :)

Ovo je postalo smijesno, pogotovo u Crnoj Gori. Toliko je zalosno, da recimo http://www.montenegroairlines.com/ jos nije u funkciji, mnogim ostalim je trebalo dan-dva da se "oporave". Izjave poput onih da nije nacinjena nikakva steta je uzas. Da neko okaci transparent na sajtu bijele kuce, kao sto je skupstini i vladi Crne Gore, reakcija ne samo da bi bila drugacija, vec bi ovi skript kidiji bili pohapseni i dobili maksimalnu kaznu. A kod nas se setaju, i domaci i strani, sepure se kako su nasli rupe u skriptama... Nastale su i reklame pojedinih 'strucnjaka' po televiziji i novinama, sebe propagiraju kao strucnjake za sigurnost IS, a strucnost im je konfiguracija firewall-ova/IDS/IPS.... Opet.. zalosno... Ali doci ce dan kada ce sve to doci na svoje ;) Zato uzivam, znam da ce biti posla vise za nas :)

Nerazumem kako to uspeju da urade, ispred njih je sajt sa tekstom i dugmicima a oni nekako prevare kod i poniste podatke :S

Evo obavestenje koje sam ja dobio do mog hostinga

Poštovani/a
Ukoliko ne koristite Joomla CMS na vašem sajtu možete ignorisati ovo obaveštenje.

Nedavno je otkriven bezbednosni propust koji postoji u svim 1.5 verzijama Joomla CMS-a, do verzije 1.5.5, uključujući i verziju 1.5.5, koji omogućava napadaču da veoma jednostavno dodje do administratorske šifre nakon čega može napraviti izmene kakve želi na vašem sajtu.

Zvaničnu objavu možete pročitati na sledećoj adresi...

http://developer.joomla.org/se...word-remind-functionality.html


Ukoliko koristite Joomla CMS 1.5 pre verzije 1.5.6, molimo vas da u najkraćem roku izvršite upgrade na poslednju verziju ili izvršite ispravku u fajlu /components/com_user/models/reset.php prema uputstvu u zvaničnoj objavi na datoj adresi.


Ja nekoristim "Joomla" ali mozda ti pomogne

Ukoliko si koristio stariju joomlu onda je vrlo verovatno ubacen neki exploit i na taj nacin ti, iako si nadogradio joomlu, pristupaju nalogu. I ja sam imao isti problem, stariju joomlu, i provalili su mu vitual host nalog i stalno sam imao problema. Osvezio sam joomlu na zadnju verziju ali i dalje sam imao problem. Vratio sam bio stari bekap ali ponovo sam imao problema...
Proveri log fajlove, ukoliko im imas pristup.

Zamoli Oklop administraciju da ti obrisu i ponovo vrate VPS host nalog.


Ups, stigose odgovori pre mene...

Instalirao sam od pocetka 1.5.3, pa sam sinoc upgrade-ovao na 1.5.6. E, sad, izgleda da je pretprethodni post bio tacan:

Naime, sad kada sam pokusao da se ulogujem kao admin, nisam uspeo, promenili su sifru, jer sam napravio poseban svoj nalog kao super administrator, i nisam dugo ulazio kao admin. Sada sam sve sifre izmenjao, pa cekam reakciju... da vidimo da li ce sada uspeti nesto...

Mozda nam Siptari cine lepu uslugu jer demontriraju zasto posao izade sajta treba dati nekome ko zna sta radi, a ne deckima koji ne znaju mnogo vise od toga da isntaliraju neki gotov CMS skript i d amu stave neki gotov template koga malo izmene tako sto ubace logo narucioca sajta.

Sa ovim bih mogao se složim.
Ali ne bih dalje da se diskutuje o tome na ovoj temi jer će sve otići u offtopic i flame.

BTW, na Joomla documentation daju korisnu listu stvari na koje treba obratiti pažnju: http://docs.joomla.org/Joomla_Administrators_Security_Checklist

Pedja, slazem se sa tobom, ali cak ni mnogim firmama budzet ne dozvoljava izdatke od nekoliko stotina evra za profi sajtove, kamoli npr, licno prezentacije...

Nema veze dali je joomla, ili je neki drugi cms, svaki cms treba svaki put kad izadje nova verzija updateovati! Ako to admin nije uradio, sam si je kriv. Na netu postoji ogromno botova koji sami traze po googleu sajtove koji imaju neku od nekoliko rupica, i sami ubacuju neke svoje stranice ili kradu passworde ili bilostavec sa servera.

Nije uopste bitna cena sajta. Bezbedan sajt uopste ne mora da kosta vise nego nebezbedan. Bezbednost ne mora da pretpostvlja da se mora uloziti dodatan trud da se ona uspostavi. Bezbednost se moze zasnivati i na izbegavanju koriscenja tehnologije koju treba posebno obezbedjivati.

Ja sam ima sličan problem na jednom nalogu sa Joomla 1.0.13, nisu bili shiptari nego neki opičeni turci koji propagiraju povretak otomanskog carstva. Potis "Hacked By Ottoman Empire". Pošto sam utvrdio da je napad izvšen samo na nivou tog naloga isti sam obrisao, po istom principu kao i kod windoze kad te virusi spopadnu jedini sigurni lek je 'format'. Isti sam nalog napravio ponovo vratio backup i sve je ok 2,3 meseca. Sigurnosni propust je već pomenuto u Joomla CMS-u, patch postoji nema razloga za brigu, ništa nije savršeno. Čak ni ono što se plaća a ne Joomla koja je free. Koliko vidim @rajo88 ponavljao istu grešku više puta, a verovatno jer ima samo user nalog. Trebalo je hosting providera zamoliti da pogleda logove (detektuje napad) i da obriše sporni nalog nalog i naravno da ga ponovo kreira. Patch pomenut na Joomla sajtu takođe obavezan posle napada.

A to da treba platiti domaćeg "experta" da napravi svoj CMS u čiju sigurnost ja treba da verujem jer jedino on veruje, više nego u Joomla CMS-u koji prave 1000 experata se apsolutno ne slažem. Prvo odraće kožu sa leđa, a drugo i ako ga obore uradiće isto što i Joomla team - napraviće zakrpu. I to je to.

Ja sam ipak za open source softver i pravo da ti kazem vise verujem stranim programerima, nego domacim, jer znam da domacih bogami tesko da ima dobrih, i ti koji se mogu nazvati experti, su prezauzeti.

Na hiljade sajtova kako domacih tako i stranih, radjeno je u nekom CMS-u, naravno, danas CMS je napravljen da mnoge stvari pojednostavi i ubrza mnoge procese, a i stara narodna: sve sto je jednostavno, to je i genijalno. E, sad, svakome moze da se desi propust, FireFox koji je da kazem lider na polju browser-a, pa i njemu svemena na vreme otkriju propust... imamo operativne koji su komercijalan softver, pa su puni bagova itd, itd... To sto svi protiv CMS-a, mislim da su u zabludi... Zasto vecina servera koristi Linux OS, a besplatan je i stranci su ga " pisali "???...

Tacno je da i klinac koji je uz malo zezancije uspeo da napravi bazu moze da instalira CMS, ali isto tako je tacno i da Vistu mozes da instaliras u dva koraka, koju dete peti razred u mom komsiluku zna da instalira ko o'd sale... Da ne sirim temu dalje i dalje, mogao bih da pricam do ujutru...

Naime, resio sam problem, nije bilo vise upada na sajt...

Momci, juče 18.08. treći put nam je napadnut sajt www.logaritam.org

Ako nekog zanima, napadnuti smo sa adresa:

213.163.118.33
212.235.12.93
209.157.64.171
213.244.208.58
84.22.45.169
212.200.218.217
80.80.175.66
213.163.118.1
80.93.234.217
207.182.138.243
212.69.6.150

Sve IP adrese su sa Kosova.
Spadaju u sledeće opsege domene (znači opsezi domena IP adresa sa Kosova):
82.114.64.0 - 82.114.64.0
82.114.67.255 - 82.114.67.255
82.114.67.0 - 82.114.67.15
82.114.67.16 - 82.114.67.23
82.114.67.24 - 82.114.67.25
81.17.230.0 - 81.17.231.255
213.163.96.0 - 213.163.127.255
91.87.96.0 - 91.87.127.255
91.87.128.0 - 91.87.255.255
91.88.0.0 - 91.95.255.255
91.96.0.0 - 91.127.255.255
84.22.32.0 - 84.22.63.255
80.80.175.16 - 80.80.175.31
80.80.175.32 - 80.80.175.63
80.80.175.64 - 80.80.175.127
204.15.23.169 - 204.15.23.169

Ja sam siguran da većina ljudi može do ovih podataka da dođe i bez mene, ali neka se nađe nekima kojima će možda zatrebati kako bi barem navedene adrese banovali.

Ja sam za svaki slucaj banovao, a vi kako hocete...

Ista stvar i na mom hostu.Svi sajtovi su mi hakovani.E sad me interesuje da li je to propust do hostinga ili je to ipak do CMS-a ??? Vjerujem da CMS imam nekih propusta ali i da hosting mora da zaštiti svoje klijente od ovakvih napada.

Hvala za IP Opseg :)
Ne znam sta da vam kazem mene su jedanput oborili i to menjajuci configuration.php fajl :) konstantno se trude i dalje da me obore, al i dalje se borima sa njima i ne uspevaju.

EDIT:
Pa neke od ovih adresa opsega pripada slovackom Telekomu ? Jel si ti siguran da je to to ? ??

khm, khm...

212.235.12.93 - izrael
209.157.64.171 - usa
213.244.208.58 - srbija (verat)
212.200.218.217 - srbija (telekom srbija)
80.93.234.217 - srbija (aok)
207.182.138.243 - usa
212.69.6.150 - srbija (neobee)

Ipak je i do hostnga.Imao sam jedan stari sajt koji je u cistom html-u i on je uhakovan.Znači traže rupe na hostingu i menjaju index stranice.

Kosovo IP adrese

http://www.countryipblocks.net/index.php

Koliko smo mi u NOOR-u shvatili, ovi opsezi su prikazani kao da su sa Kosova. Koristili smo www.ripe.net da bismo pronasli. Neke od pojedinačnih adresa su iz EU bez zemlje porekla. TO bi značilo praktično da se s vremena na vreme maskiraju, tj. da koriste proxy.

Nama su u potpunosti obrisali administratorski folder, odsekli baze podataka, onesposobili forum i difejsovali prvu stranu. Napad je išao u fazama, prvo su samo difejsovali index page u www folderu i obrisali administratorski folder. Potom su nam u drugom napadu odsekli baze podataka, ali tako da ih ne izbrišu. Back up više nije pomagao - šta su uradili, ne znamo. Treći napad je bio umetanje index pagea u root folder (van www foldera u kojem smo imali JOOMLA).

Sve u svemu, portal jeste bio u JOOMLA 1.5.3, ali kako su provlalili ftp? Ok, shvatam da JOOMLA ima propust, ali da li ona mozda pored tog propusta ima i neki drugi, pa da ti omogući da vidiš ftp pristupe?

Tokom ponedeljka, uveče, bilo je pokušaja još napada, ali izgleda bezuspešnih. Dolazili su sa IP adresa koje su bile u opsegu zabranjenih. U svakom slučaju, ja kao glavni administrator našeg amaterskog sajta, nisam mogao da podnesem više napada i u dogovoru sa drugim adminima, izbrisao sam SVE, aman bas SVE sa servera (foldere, fajlove, baze, mailove - SVE). Eno ih sad ne dolaze.

To preporučujem i drugima - bekapujte sve na svoj komp, obrišite sve sa servera pa posle jedno 7 dana vratite. Toliko dugo u proseku napadaju. Mislim da više neće napadati. Pomisliće da su pobedili, a Vi u međuvremenu zabranite IP adrese, instalirajte nove džumle 1.5.6 dodajte zaštitne skripte i to je to.

212.235.12.93 - izrael
209.157.64.171 - usa
213.244.208.58 - srbija (verat)
212.200.218.217 - srbija (telekom srbija)
80.93.234.217 - srbija (aok)
207.182.138.243 - usa
212.69.6.150 - srbija (neobee)

Što se tiče ovi spornih IP adresa, izvinjavam se ako sam pogrešio - nije bilo namerno. Meni je pisalo da su iz Prištine.

Joomle su vam vjerovatno bile "hackirane" s ovim exploitom
http://www.milw0rm.com/exploits/6234

Možda i server na kojem je to bilo hostano nije bio siguran, evo jednog primjera...
Na nekom xxx serveru kod xxx hosting kompanije je hostano oko 150 sajtova
"hacker" nađe "bug" na jednom sajtu od tih 150 i ubaci shell(c99, r57...) na server
Na mnogo servera nema pass za DB, znači, preko shella "hacker" se može logirati na DB s usernameom root i bez passa i tad ima pristup svim DB na serveru

Na vecini servera se može čitat /home/username/public_html i tako se mogu vidjet svi podaci koji su na tim nalozima

Kod nas na hostingu je uhakovano ajde da kazhemo '' uhakovano '' oko 20-ak sajtova sto joomla, shto dle, shto obicni html itd. Znaci momci su samo menjali index.php, na joomli taj problem resite tako sto izvucete iz sveze downloadovane i raspakovane joomle index.php u main direktorijumu u main direktorijum instalirane joomle na hostingu. Od joomle 1.5 izadje oko 3kb index.php a od 1.0 joomle izadje oko 8kb index.php. Cisto da znate, od uhakovanih joomla index.php-ova stranica izadje 4,neshto kb

Meni su privilegije bile na 755, 644, sad smo stavili 444, pa cu da vidim sta se desava.

Inace ovo je bilo prvo obaranje sajtova na nasem zakupljenom hostingu. Eventualno brzo sam povratio sve stranice, ali problem je sad u daljoj zastiti, kako i sta, hmm, moracu malo razmisliti o ovom problemu.

Regards,
LaV

Recently discovered, a Joomla exploit allows visitors, not even members, to change the admin password

Relevant to all 1.5 Joomla websites, a flaw in the controller.php and reset.php files allows any visitor to head to a certain URL and enter a single character, which then takes them to a page where they can change the password for the lowest userID (admin).
There is a fix for this, and a patch already on the joomla webpage, which is to be expected. Many of these sort of exploits are discovered and published each day, however what is special about this one is the shear devastation that a simple visitor could cause, as once the admin account is breached, the would be attacker could install new components, upload malicious re-directs and harvest user email addresses.
This has increased concerns over the 'stability' and 'reliability' of the 1.5 versions of Joomla, yet the speed at which the patch was released, and the flaw published, displays how beneficial open source communities are to large software applications.
It is urged that all 1.5 Joomla user's update and patch IMMEDIATELY

-Sources
http://www.joomla.org/content/view/5235/1/
milw0rm.com

izvor: http://www.whiteravendesign.net/joomlaexploit.html

...da, greska je bila nadjena i popravljena, i to dosta pre, nego sto je dostlo do tih provala i defaceovanja. Admin nije updateovao, znaci admin kriv. To je isto kao da te obaveste da ceo grad ima kljuceve od tvojih ulaznih vrata, a ti ne zamenis brave.

griva, hvala za link, mnogo mi je pomogao!

Nema na cemu

Kako je moguce da se moja IP adresa vodi pod KOSOVO???

>



Ova baza IP adresa prema zemljama je prilicno netacna.
Po njima se ceo SBB opseg IP adresa nalazi na Kosovu?!

Bacite pogleda na sledeću temu => http://www.elitesecurity.org/t321035-Raspon-IP-adresa-po-drzavama

Ima malo više cimanja ali se preko linkova iz te teme može doći do kompletnog opsega za Kosovo.

Ljudi pa ovo je nemoguće..i moja adresa na Kosovu...pih

Hm, nasao sam na jednom sajtu iz prethodnog posta IP adrese za SRBIJU...
62.108.96.0 62.108.127.255
62.193.128.0 62.193.159.255
62.240.0.0 62.240.31.255
65.110.39.110 65.110.39.119
77.46.128.0 77.46.255.255
77.74.248.0 77.74.255.255
77.105.0.0 77.105.63.255
77.243.16.0 77.243.31.255
77.247.200.0 77.247.207.255
77.247.248.0 77.247.255.255
78.24.104.0 78.24.111.255
78.30.128.0 78.30.191.255
78.109.96.0 78.109.111.255
78.155.32.0 78.155.63.255
79.101.0.0 79.101.255.255
79.175.64.0 79.175.127.255
80.70.240.0 80.70.255.255
80.74.160.0 80.74.175.255
80.80.160.0 80.80.175.255
80.85.27.184 80.85.27.191
80.93.224.0 80.93.255.255
80.190.209.148 80.190.209.151
80.240.144.0 80.240.159.255
81.17.230.0 81.17.231.255
81.18.48.0 81.18.63.255
81.31.193.168 81.31.193.171
81.31.194.176 81.31.194.179
82.114.64.0 82.114.74.255
82.114.77.0 82.114.77.255
82.114.79.0 82.114.95.255
82.117.192.0 82.117.223.255
82.208.192.0 82.208.255.255
82.214.126.0 82.214.126.255
83.136.176.0 83.136.183.255
84.22.32.0 84.22.63.255
85.94.96.0 85.94.111.255
85.94.119.0 85.94.119.255
85.118.185.0 85.118.185.15
85.222.128.0 85.222.255.255
87.116.128.0 87.116.191.255
87.237.200.0 87.237.207.255
87.238.208.0 87.238.215.255
87.250.32.0 87.250.63.255
88.150.128.0 88.150.255.255
89.110.192.0 89.110.255.255
89.188.48.0 89.188.63.255
89.216.0.0 89.216.33.255
89.216.38.0 89.216.244.255
89.216.248.0 89.216.255.255
91.102.168.0 91.102.175.255
91.102.224.0 91.102.231.255
91.103.8.0 91.103.15.255
91.143.208.0 91.143.223.255
91.148.64.0 91.148.127.255
91.150.64.0 91.150.127.255
91.185.96.0 91.185.127.255
91.187.96.0 91.187.159.255
91.193.24.0 91.193.27.255
91.194.82.0 91.194.83.255
91.194.216.0 91.194.217.255
91.195.38.0 91.195.39.255
91.195.176.0 91.195.177.255
91.199.17.0 91.199.17.255
91.201.136.0 91.201.139.255
91.208.89.0 91.208.89.255
92.42.248.0 92.42.249.255
92.42.250.4 92.42.255.255
92.48.94.160 92.48.94.175
92.48.114.80 92.48.114.87
92.48.122.0 92.48.122.63
92.48.124.64 92.48.124.95
92.48.124.112 92.48.124.127
92.60.224.0 92.60.239.255
92.244.128.0 92.244.159.255
93.86.0.0 93.87.255.255
93.92.248.0 93.92.255.255
93.93.192.0 93.93.199.255
93.184.80.0 93.184.95.255
93.186.64.0 93.186.79.255
93.187.240.0 93.187.247.255
93.188.64.0 93.188.71.255
93.190.160.0 93.190.167.255
94.100.48.0 94.100.63.255
147.91.0.0 147.91.255.255
160.99.0.0 160.99.255.255
193.34.64.0 193.34.67.255
193.34.142.0 193.34.143.255
193.203.2.0 193.203.3.255
193.203.6.0 193.203.7.255
193.203.18.0 193.203.19.255
193.203.22.0 193.203.22.255
193.203.24.0 193.203.25.255
193.203.28.0 193.203.29.255
194.54.180.0 194.54.183.255
194.79.40.0 194.79.43.255
194.106.160.0 194.106.191.255
194.110.216.0 194.110.216.255
194.117.126.172 194.117.126.172
194.145.153.0 194.145.153.255
194.194.158.0 194.194.158.191
194.247.192.0 194.247.214.255
194.247.215.128 194.247.223.63
194.247.223.68 194.247.223.255
195.46.52.0 195.46.55.255
195.64.170.0 195.64.171.255
195.66.160.0 195.66.163.95
195.66.163.128 195.66.168.255
195.66.169.16 195.66.169.191
195.66.170.0 195.66.171.31
195.66.171.64 195.66.171.159
195.66.171.192 195.66.176.191
195.66.177.0 195.66.177.255
195.66.179.0 195.66.179.31
195.66.179.64 195.66.179.223
195.66.179.240 195.66.181.15
195.66.181.32 195.66.181.47
195.66.181.96 195.66.181.119
195.66.181.128 195.66.181.191
195.66.181.224 195.66.182.127
195.66.182.208 195.66.183.15
195.66.183.72 195.66.183.79
195.66.183.128 195.66.183.143
195.66.183.152 195.66.183.191
195.66.184.0 195.66.184.63
195.66.184.96 195.66.184.191
195.66.185.0 195.66.185.63
195.66.185.80 195.66.185.127
195.66.185.160 195.66.185.167
195.66.185.192 195.66.185.255
195.66.186.16 195.66.186.31
195.66.186.128 195.66.186.191
195.66.186.224 195.66.187.255
195.66.188.172 195.66.188.175
195.66.190.184 195.66.190.191
195.140.164.0 195.140.167.255
195.170.183.0 195.170.183.255
195.178.32.0 195.178.63.255
195.222.96.0 195.222.99.255
195.242.76.0 195.242.77.255
195.250.96.0 195.250.127.255
195.252.64.0 195.252.118.143
195.252.118.152 195.252.127.255
212.62.32.0 212.62.63.255
212.69.0.0 212.69.31.255
212.102.128.0 212.102.159.255
212.124.160.0 212.124.191.255
212.200.0.0 212.200.255.255
213.137.96.0 213.137.127.255
213.149.96.0 213.149.99.255
213.149.100.16 213.149.100.255
213.149.102.0 213.149.102.15
213.149.102.32 213.149.102.39
213.149.102.48 213.149.102.191
213.149.103.0 213.149.103.15
213.149.104.0 213.149.104.255
213.149.106.0 213.149.107.255
213.149.111.0 213.149.111.15
213.149.112.0 213.149.113.31
213.149.113.64 213.149.113.127
213.149.116.0 213.149.116.15
213.149.116.160 213.149.116.191
213.149.119.0 213.149.120.15
213.149.121.0 213.149.121.15
213.149.122.128 213.149.122.255
213.149.125.0 213.149.125.127
213.163.96.0 213.163.127.255
213.184.96.0 213.184.127.255
213.198.192.0 213.198.255.255
213.240.0.0 213.240.63.255
213.244.192.0 213.244.255.255
213.253.114.240 213.253.114.255
213.253.116.0 213.253.116.31
213.253.116.128 213.253.116.143
213.253.116.160 213.253.116.255
213.253.117.64 213.253.117.95
213.253.117.128 213.253.117.167
213.253.117.176 213.253.117.183
213.253.117.192 213.253.117.207
213.253.118.0 213.253.118.7
213.253.118.24 213.253.118.127
213.253.118.192 213.253.120.7
213.253.120.72 213.253.120.103
213.253.120.120 213.253.120.143
213.253.120.168 213.253.120.175
213.253.121.0 213.253.123.255
213.255.227.0 213.255.227.255
216.236.216.0 216.236.219.255
217.17.96.0 217.17.111.255
217.24.16.0 217.24.31.255
217.26.64.0 217.26.79.255
217.26.208.0 217.26.213.255
217.65.192.0 217.65.207.255
217.77.241.65 217.77.241.65
217.119.240.0 217.119.255.255
217.169.208.0 217.169.223.255
217.170.240.0 217.170.240.255
217.170.242.0 217.170.255.255
217.194.133.224 217.194.133.231


Medjutim, za kosovo nisam uspeo da nadjem...

I sad svaku IP adresu uneseš na recimo http://www.db.ripe.net/whois i vidiš da li je sa Kosova ili nije

Pazite sta su ti " hakeri " stavili kao comment u html-u... Ovo me podseca na one iz filma HAKERI :)

OT: Verovatno nije problem srušiti i neke kosovske sajtove ali je veći problem prvo ih pronaći.

Ma srushili bi imm kad bi ih bilo :)
Imaju mnogo malo sajtova i svi su na stranu hostirani tipa godady.com
Inace sve shto su do sada srushili srushili su zbog greshki administratora shto odrzavaju sve to i ne redovnog update-a!
p0z svima!

He, i oni sebe nazivaju hakerima, a nasli propust gde je javno objavljen na internetu i krenuli sve redom, pa gde prodje, prodje...

izvinite za offtopic ali sad da ta siptarska gamad napadne sajt vlade Srbije dali bi nasa vlada mogla da pohapse njih?

Pa pravi hakeri se tesko mogu locirati, mogu da maskiraju IP adrese... Bar koliko sam ja upucen, hakeri uglavnom bivaju "uhvaceni" tek kada se negde potpisu, ali ne slucajno, nego namerno...

meni se sve cini da oni vama cine uslugu.... kad se zna da firme kod nas administratore placaju kao spremacice
nije ni cudno da su nasi sajtovi ocajno azurirani.....

U poslednjih mesec dana napadi su prilično učestali. Stradao je sajt ministarstva poljoprivrede, pravoslavne crkve, kao i sajt skupštine Crne Gore.

Prelistaj malo B92 ili sajtove nekih novina...

A i ovi admini sebe nazivaju adminima ;)

Sad sam probao ovaj exploit na jednom poddomenu a na njemu Joomla 1.5.4, trebalo je 5 sekundi da promenim password superadministratora. STRAŠNO!!! Ovakav bug je katastrofalna greška, baš sam se razočarao u Joomla zbog ovoga.
Međutim kao što neko već reče postoji nepisano i pisano pravilo da username "admin", "administrator" i sl nikako ne treba koristiti. U tom slučaju onaj ko napadne može da promeni pass ali ne zna username i sajt ostaje kakav jeste. Jedino vam ostaje da ponovo promenite pass administratora a o tome je već pisano 1000 puta.

Hm, a znas li sta je uopste posao admina, a sta programera?...

Pravni problem u ovome je sto oni mogu da rade sta hoce a mi ne mozemo nista povodom toga jer nemamo nikakvu nadleznost nad KiM, mozemo da saljemo UMNIK administraciji koja nece nista uraditi povodom toga, sto znaci da na KiM ne postoji vladavina prava i trenutno je tamo divlji zapad sto se toga tice.

A ti "hakeri" ne da nisu hakeri nego su gomila nekih iskompleksiranih klinaca koji su dokoni, veliki problem cepnuti sajt sa public exploitom, nas problem su losi programeri i losi admini, nije da mi nemamo ljude koji znaju da rade posao vec u vladi sede neznalice i foliranti i to je jedan od glavnih problema ovde. Ja sam uvek govorio da je najgora glupost da za ozbiljne stvari koristite open source resenja, to jednostavno nije sigurno i taj kod je svima dostupan, pitanje je vremena kada ce neko da nadje 0day exploit i da cepa sta stigne.

Sorry za Offtopic ali nemojte pricati o tome kako su admini ili programeri losi jer propusti se desavaju i najboljim!



http://www.networkworld.com/ne...k-writer-a-victim.html?hpg1=bn

www.nessus.org to je trenutno najlepsha igracka "hacker-a" josh ako na to dodamo back track 3 krajnji ishod je katastrofalan...

Pa pošto sam i sam u zadnjih 48 sati imao istih problema, (izmjena index-a, Kosovo bla.. bla..) pretpostavljam da je uzrok naših problema isti - Backdoor.PHP.C99Shell.w (http://www.viruslist.com/en/vi...cyclopedia?virusid=188613#doc1)
Obavezno skini sa hosta svoju web prezentaciju i iskeniraj je osvježenim antivirusom
Mjenjanje pasworda ti ništa ne pomaže jer sa ovim trojancom oni upotpunosti zaobilaze administratorski nalog kod provajdera. Tek kad sve očistiš moraš da promjeniš pasworde
Kako se trojanac našo u tvojoj prezentaciji? To je pitanje. Obavezno iskeniraj i svoj comp ko bazičnu preventivu, a za dalje
PHP stranice imaju cjeli niz rupa kroz koje se može ući
vidi..
http://www.honeynet.org/papers/webapp/

ako pronađeš ovog trojanca ili bilo šta drugo obavezno se javi servis službi Oklopa
jel kolko ti imaš problem imaju ga i oni...

javi ako lociraš direktnu rupu
jer sa ovim đavlom se muče mnogi..

Programeri su popravlili joomlu, znaci odradili svoj posao.
posao admina je da updateuje svoju instalaciju... i to izgleda nije odradjeno.

Meni nije nesto jasno. Ako su hakovali joomlu, kako su onda hakovali i sajt koji je html.A sve sto urade je da izmene index fajl.
Ja ipak mislim da traze rupe na hostingu ili imaju neki bot koji samostalno trazi i pronalazi index fajlove pa ih menja.

@tifoza: pokusacu uprosceno. Jedna masina (kompjuter) ima npr. 2 domena. Na jednom je joomla na drugom cist html. Provali se u joomlu, otvori se npr. shell pristup na masini. udje se kao nekakav administrator - i onda pristupis i drugom domenu (na istoj masini) i promenis mu html fajl, posto administrator moze da menja sve na masini. Je li tako jasnije?

===================================================================
@tifoza: pokusacu uprosceno. Jedna masina (kompjuter) ima npr. 2 domena. Na jednom je joomla na drugom cist html. Provali se u joomlu, otvori se npr. shell pristup na masini. udje se kao nekakav administrator - i onda pristupis i drugom domenu (na istoj masini) i promenis mu html fajl, posto administrator moze da menja sve na masini. Je li tako jasnije?
===================================================================

Ok to mi je sad jasno. Hvala.

Jbyn4e je objasnijo sve.Nemoraju da napadaju jomolu mogu da napadaju bilo koj servis koji ima bug.Zamislimo da je kod nekog na linux serveru hostovano 4 sajta ili ti 4 domena.Svi oni imaju svoje stranice nebitno da li su u html-u ili php-u to je nebitno.Ali zamislimo samo da oni imaju na tom serveru pokrenute daemon-e tipa ftp/http/smtp/ssh/mysql ili bilo shta ta mashina ili ti taj server moze biti preuzet.Kako?Epa evo prostog primera uzmimo za primer najjpopularniji web server ili daemon na internet-u Apache trenutna verzija 2.2.9 i recimo da je sada hacker nashao neku mashinu na kome se vrti apache 1.4.9 ta mashina moze biti preuzeta veoma lako sve shto je potrebno je da odu na milw0rm i skinu exploit i pokrenu na mashini na kome se vrti linux unesu ip i to je to dobiju root te mashine i tu je kraj onda se igraju tipa deface brisanje postova baze pa cak i stavljanje root kit-ova koji ce im uvek slati shifru i uvek ce moci da pristupe svemu.99% deface-a i svemu tome slicno se deshava upravo zbog ne redovnog update i patcheva koje admini ne rade.Iz gornjeg primera se vidi kako se lako mogu preuzeti 4 web sajta i defaceovati.FTP je i dosta ranjiviji po tom pitanju jer kad uzme ftp password on uopshte i nemora da rootira mashinu vec samo da postavlja svoje index-e i tome slicno.Ako zelite da ste uvek sigurni odite na www.nessus.org skinite program ima ih za Windows/Linux/MacOS registrujte nalog za home primenu shto ce vam dati update vuln-a baze nessus-a i cesce skenirajte svoje host-ove jer ce vam taj program upravo reci gde su greshke na serveru i koliko su opasne po vas.a da ne pricamo o Nmap-u koliko on da informacija samo jednim skeniranjem.Nije loshe da svi pogledaju i probaju Back track 3 na http://www.remote-exploit.org/backtrack.html i vide mogucnosti jedne distribucije shta sve ona moze da uradi.Ako zelite da zivite bez brige redovni scan nessus-om i redovni update...

Nije vam ni Joomla ni neki tamo Siptar kriv sto vam je prso host... Tj bar ne toliko koliko ih vi optuzujete... Patch za taj joomla bug je izasao koliko znam pre nego sto su vam ownali servere i sajtove... Krivite admine hostinga ili sebe ako ste to vi za neadekvatnu konfiguraciju servera(c99 i slicni php shellovi su beskorisni ako su serveri adekvatno konfigurisani) i neredovno update-ovanje joomle i obavestavanje korisnika o istom.

Nisu nas dirali juče,a vidjećemo šta će biti za vikend.Izgleda da je LaV odradio posao.

Ova tema je o tehnickim aspektima zastite od ovih napada kao i informacijama koje mogu pomoci u toj zastiti. Poruke o tome ko je i da li je u pravu sto deface-uje sajtove ce biti brisane. Kao i o svemu sto nije direktno vezano za temu.

This topic is about technical aspects of protecting sites from those attacks and related informations which could help in that protection. Posts about who is and if is right about defacing those sites will be deleted same as any other offtopic posts.

Napadali su sve sajtove koje imaju veze sa nama: iz Srbije, Crne Gore, Republika Srpska itd...

Ono sto sam uocio:
- da se ne radi iskljucivo o Joomla CMS-u (Joomla jeste imala ovaj 1.56 bug, ali nije samo to u pitanju...)
- da su sajtovi hostovani i u Srbiji i u USA i po svetu sto znaci da ciljaju sajtove naseg govornog podrucja, tj. znaju jezik/podrucje sajtova koje napadaju (nisam primetio da se neko od komsija zali)
- uglavnom menjane samo index strane tj. nisu isli / nisu mogli da prodju dalje od root direktorijuma
- koristili registovane naloge CMS-ova (da bi exploitom upali do configuration.php) - kod velikog broja upada postojao aktivan korisnicki nalog

Posto nisam/smo u stanju da testiramo ceo Joomla ili neki drugi CMS kod, koji je nemoguce ispratiti, nije lose razmotriti:
- Restriktivne dozvole direktorijuma i kljucnih (konfiguracionih) fajlova (644, 400...).
ZLATNO PRAVILO ADMINISTRACIJE - skini SVE dozvole koje nisu potrebne za normalan rad.
- Vizuelna verifikacija registrovanih korisnika (i neka ranija "hakovanja" su podrazumevala ovaj vid pred-napadne radnje).
- Redovan update CMS-ova.
- Hosting kod "ozbiljnih" provajdera, da bi ste iskljucili provajdera kao potencijalnu promenljivu u eventualnoj glavobolji.
- Redovan, (dnevni?) back-up, pa i ako vas zakace nije strasno.
- Sto manji broj neproverenih (beta) third-party plugin-ova, dodatnih baza... O lozinakama i admin nalozima sve znate...
- Pristup MySQL bazi iskljucivo preko socket-a, nikakav TCP/IP. (ako je moguce, a u vecini slucajeva jeste)
- Sto manji ili jos bolji broj gresaka/warninga... u kodu koji otkrivaju putanje.
- Sakrijte logove koji outputuju serveri provajdera.
- Otvaranje sto manjeg broja portova, maskiranje...

Sajtovi su konstantno na Net-u, uvek imajte na umu da ih bilo ko i kada moze cackati...
Pozdrav kakeri :)

Koliki je rizik ako se koristi obicni FTP protokol? Ispravite me ako gresim, ali on razmenjuje "otvorenu" sifru bez enkripcije.
Evo upravo imam grdnih problema sa hosting kompanijom. Ja zelim da mi nameste FTPS protokol koji je zapravo FTP preko TLS/SSL konekcije, a ovi debili iz teh. podrske ko papagaji zapeli i ponavljaju SFTP koji radi na SSH pristupu, a ja to ne zelim. Em mi ne treba SSH em je jos jedna potencijalna tacka napada, i jos najveca drskost, traze da skeniram moju licnu kartu/vozacku/pasos, i da im posaljem scan da bi mi odobrili SSH i SFTP. ZASTO? Mislim zaista ne razumem. I ni na pamet mi ne pada da im posaljem to. Nastavicu da insitiram na ovom prvom, ako ne, hvala dovidjenja, hocu moje pare nazad.

I sada neko kaze, krivi administratori/webmasteri...

Ako su ti u paketu za hosting ponudili sftp onda zahtjevaj da ti odobre, u suprotnom nemas pravo da dobijes pare natrag :)

Izvini, ali moram da te pitam nesto...

Da li si ti pismen?

Citas li sta sam napisao gore? DA!, odobravaju SFTP i SSH pristup, ali traze kopiju licne dokumentacije. Ne pada mi na pamet tako nesto da uradim, uostalom i da je 100% bezbedno po mene necu iz principa. Ajde da traze verifikaciju preko telefona itd...klasican bullshit, ali kopiju licne karte? Ma daj....
Iskreno, da li bi ti to uradio?


I upravo takva idiotska razmisljanja host provajdera imaju za posledicu, ovakve situacije kakve se raspravljaju u ovoj temi. Svako pa cak i ja mogu biti potencijalna meta, raznih napada, siniffing sifre na FTP-u, lepo upadne i obrise sve. Man in the middle, i ubaci neku svoju malware skriptu, usere mi sajt. I jos pun k*rac drugih stvari.
cPanel isto nije kriptovan...

Sto se tice Joomle, verujem da koriscenje SSL-a za pristup administraciji, sakrivanje admin login stranice, i sakrivanje configuration.php i paznja oko permissiona, i vec si poprilicno bezbedan, naravno sa redovnim updateom i backupovanjem sistema.

Pozdrav

Ovi svi ili su imali isti template ili imaju istog web dizajnera


http://www.sigma-al.com/foto/index.html
http://www.shssh.gov.al/awstats/index.html
http://www.savealbania.org/html/index.html
http://www.qki-bio.com/error/index.html
http://www.portosecuro.al/webmail/index.htm
http://www.mnplegal.com/images/
http://www.ms-albania.com/index.html
http://www.kamenicatumulus.org/Bulletin/
http://www.ottical.com/webmail/kosovo.html

Ti jesi pismen, ali lupas naveliko.



Ako ti je hosting provajder u USA - to je klasicna procedura zbog ZAKONA kojim su podlozni ti provajderi (a vjerujem da i u Evropi neki to rade). Zasto? Ako ti omoguce shell pristup onda te pustaju direkt na masinu i to takodje znaci da ti mozes svasta da uradis. Time znaju tacno KOME SU dali pristup. U sustini mozda ih i ne interesuje toliko ali ih zakon obavezuje da ukoliko sutra neko sa tvojim ssh pristupom napravi s***** na serveru da imaju da pokazu dokument i kazu 'evo - on je to napravio'. Ako to ne zelis - trazi drugi server, njih neces nagovoriti.


Man in the middle je danas tesko izvodljiv tj izvodljiv je sigurno ali ne bi da neko uhakovao tvoj sajt koji nema neku posebnu vrijednost vec za mnogo skuplje i vrijednije stvari buduci da je oprema danas na daleko vishem nivou nego prije 10 godina.



LUPAS!! cPanel ima za sve svoje servise - Domain CP, WHM i WebMail ne kriptovan i kriptovan port. 2082 i 2083, 2086 i 2087, 2095 i 2096.



Najbolje ga zatvori toliko da ti za izmjenu clanka treba bar 10 minuta i osiguraces se maksimalno.

Pismen? :)

Lijepo sam ti rekao Majstore, ako si kupio hosting a od ponudjenih usluga/servisa nije (u cijenu) bio ukljucen, onda nemas pravo da trazis pare natrag. Isto tako, ako je bio ukljucen, odnosno bio na listi servisa koje dobijas pri kupovini a nije bio pod zvjezdicom i objasnjenjem, onda bi mogao nesto da izvuces. Medjutim, ne znam zasto se bunis za licnu kartu... Mislim, danas kada kupujes nesto ili podizes novac blabla dajes licnu kartu na uvid, ne znam sto ti je to toliko sporno. Isto tako kod mnogih provajdera recimo ako hoces stititi broj od caller ID-a opet isto radis, a recimo kriptovani saobracaj ti nikad ne bi odobrili, lupam preko mobilnog, sa licnom ili bez! I da, bih uradio jer sam slao kopiju za mnogo manje stvari. Gdje ti zivis, u bajci?

Cinjenica: Da tacno je ovo za portove sto si naveo. Ali oni koriste port 2082, znaci NIJE kriptovan. I nigde nije ponudjen link za kriptovanu stranicu. Ja veoma dobro znam sta govorim.

Sve sam odradio preko modula, i nisam primetio nikakve razlike u brzini izvrsavanja.

@jorganwd
Vidi prijatelju, da se razumemo, nije isto... Ja niko mi u Srbiji ne trazi kopiju L.K. A i ako dajem, to radim jer imam poverenja u te ustanove/kompanije. I nije prvi put da mi se desava da me hosting kompanija "izradi". Ima u Hosting podforumu gde sam poludeo kada je AWARDSPACE trazio od mene 50$ za instalaciju sertifikata + ja sam da kupim sertifikat. Pitam ih da li imaju Shared SSL, oni lepo kazu da ne pruzaju vise takve usluge, a jsano su na sajtu istakli da nude to. Sada ti meni reci ko je ovde lud ja ili oni? Posle svega odlucio sam da uzmem hosting kod druge kompanije. A druga kompanija je Host monster, i ako pogledas na stranici ponude, nigde nisu okacili upozorenje, da traze licnu dokumentaciju za SSH pristup. Sve u svemu, jako losa iskustva.

Tek sada sam video ovu temu pa cu da napisem nesto. Imam veoma korisne informacije iz prve ruke ;)

Ne znam jel znate, ali KHG (kosova hackers group) inace ekipa kosovskih hakera a vecina je iz nase lepe Pristine, dok je ostatak bas iz Albanije. Ne znam tacnu cifru, ali radi se o preko 1500 srusenih srpskih sajtova. Bilo bih ih mnogo vise, ali uglavnom ti "hakeri" rade na principu "google dork", sto znaci da rade pretragu preko google-a na fazon "powered by joomla", "powered by phpbb", "powered by wordpress". Moglo je biti tu mnogo vise sajtova, ali srecom google nije sve indeksirao. Free CMS resenja ce uvek biti ranjiva, samo iz razloga jer su FREE.

Druga stvar je neozbiljnost nasih hosting provajdera, ja njima prebacujem 95% krivice, iz razloga jer je Apache, PHP, MYsql uvek start. Sta je tu tesko pratiti i gledati koja je najnovija verzija i instalirati je na server? Vecina sajtova je imala registrovan administratorski nalog sa siframa 12345 itd. Ne znam zasto je tesko staviti sifru od 10 karaktera sam kombinacijom slova, brojeva i znakova ???

Treca stvar i najozbiljnija. Sruseni su mnogo bitni sajtovi nase drzave. Ima tu ozbiljnih ustanova, ministarstava, nevladnih organizacija, politickih partija itd... Ne znam ko je zaposljavao te ljude koji rade na takvim mestima, tj na mestu nekog web administratora, ali ti ljudi nemaju pojma o zivotu. Imao sam tu srecu da ih vecinu upoznam, posle licnog upoznavanja sve mi je bilo jasno.

Svi ti problemi se resavaju veoma jednostavno, prvo ti "web administratori" trebaju nauciti sta je CHMOD i cemu on sluzi, e tek posle toga mogu krenuti u malo ozbiljniji posao, do tada neka se uhvate instaliranja igrica.

Jos jedna bitna stvar, preko 8 clanova khg hakerskog tima je uhapseno, uhapsila ih je neka Svajcarska bezbednosna agencija, glavni Hitm@n je jos na slobodi i on i dalje planira napade na nase sajtove. Uglavnom je uvek online na MSN-u, ovo mu je dobar i pametan potpis "Passwords are like underwear: change them often".

Nemam sada ni zivaca ni vremena da vam detaljisem ovu situaciju, ali ocigledno je da je u toku Cyber War na Balkanu, KHG je od maja meseca srusio vise od 6.000 sajtova sa Balkana, uglavnom su napadali Hrvate, Bosance, Crnogorce, Srbe, Makedonce, Slovence, Ruse, i mogu vam reci da su uglavnom 99.5% bili uspesni.

Kad budem imao vise vremena iznecu neke vaznije detalje i dokaze. Ako nekoga nesto vise zanima moze da me kontaktira na PM.

Pozdrav

Kratko i jasno ko sto kaze moj profesor i Sigurnosti racunarskih mreza: "Sigurnost nije gotov proizvod-to je proces"
Sto znaci, vecina ljudi, including myself, jednom namesti sistem, i posle me mrzi da ga updatujem, jer, fakat, mogu uvek nastati problemi, i izmedju offline i obsolete sajta/sistema vecina ljudi bira ovo drugo.

ili kako kaze bruce schneier

industrija informacione sigurnosti je samo nusproizvod loseg razvitka informacionih tehnologija :)

nego , vidi ko se pojavio , daniloc

ma kakav hakerski rat , seca li se neko onog "hakerskog rata" od pre par godina ? smejao sam se i tada , smejem se i sada

igraju se deca ...

Bas sam skoro davao neki interviju za svedok i politiku povodom tog "rata".
Secam se kada smo se i mi igrali tako pre par godina , ali za razliku od tada
ovi Albanci misle ozbiljno :)

Sto bih ja rekao ebes sigurnost vazno je drugarstvo :)

upravo tako

"svetom caruje drugarstvo" i ostali branko kockica satatatara tripovi

kako bi uopste nastao phearless da nije bilo toga :)

ti si postao ko acid (vk b92 :))) ), el imas taj intervju negde ?

Ma imao sam dosta interviju-a u zadnjih par meseci :)
Istovario sam se za medalju na svakom od njih :)
Uploadovacu negde scanove pa ces videti.

Pa da, razlika je jer je pre par godina to bukvalno sve bilo dogovoreno. A sada tuku na sve strane i ne biraju ;)

@mitrovic srdjan
Pa ti ces druze postati javna licnost ;) Extra!!!

Tema vise nije aktuelna a ide se u offtopic. Zakljucacu.