|
Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
|
Alati teme | Način prikaza |
09. 01. 2011. | #1 |
Banned
Expert
Datum učlanjenja: 29.09.2007
Poruke: 458
Hvala: 131
71 "Hvala" u 44 poruka
|
Spašavanje uhakovanog web server-a.
Opis problema:
Uhakovan mi je VPS Ubuntu 10.04. Na serveru su pokrenuti php, mysql, apache i postfix. Na serveru sam na svom user-u imao nešto Joomla, jedan PHPBB forum i par svojih aplikacija, jednog user-a sa HTML sajtom koji sem mene ima FTP pristup i 5-6 user-a za mail pristup a mogu se logovati putem SSH. SSH root pristup nije dozvoljen, i nijedan od ovih user-a nema sudo. Od svih mogućih, uhakovana mi je aplikacija koju sam pisao pre par godina i koju nisam imao interes da unapređujem. Hakovanje se sastojalo iz menjanja index.php stranice u stranicu za slanje gomile email poruka. Ono što je najgore jeste što ne znam kako su mi uhakovali stranicu. Moguća su tri scenarija. Da su uhakovali moj ili neki od user-a ili da su nekako putem HTTP-a i rupa na aplikaciji uspeli da upišu novi sadržaj index.php. Na mom user-u je bila besmislena šifra od 6 karaktera sa slovima i brojevima pa mi je teško poverovati da su je uspeli uhakovati korišćenjem rečnika jer takav sled slova i brojeva nema nikakvog smisla. U apache log fajlovima nema pristupa toj adresi sajta. U user log fajlovima nema pristupa sem mojih. Datum index fajla je identičan kao i kod ostalih fajlova na toj aplikaciji. Sve Joomla-e i PHPBB sam update-ovao. Ime mog user-a i password sam promenio, root pass takođe. Skratio sam suPHP user permisije sa 755 na 750. Zakupio novu IP adresu, Yahoo i Google su mi trajno banovali postojeću. Imate li neki savet kako da provalim kako su me uhakovali. |
09. 01. 2011. | #2 |
Milan Cvejic
Wrote a book
|
Tako sto izanaliziras log fajlove...
__________________
http://weevify.com |
"Hvala" LiquidBrain za poruku: |
09. 01. 2011. | #3 |
Banned
Expert
Datum učlanjenja: 29.09.2007
Poruke: 458
Hvala: 131
71 "Hvala" u 44 poruka
|
Savet prihvaćen! Logovi analizirani.
Propustio sam da analiziram other_vhosts_access.log fajlove. U njima sam našao 30 requesta ka sajtu gde putem GET i PUT metoda su pristupili tmp direktorijumu i odatle izmenili index.php fajl. Ako nekog interesuje da zajednički analiziramo šta su tačno uradili, okačiću fajl. |
09. 01. 2011. | #4 |
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
|
Okaci ti fajl, pa koga zanima pogledace.
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
09. 01. 2011. | #5 |
Pukovnik u penziji
Grand Master
|
Svakako okači...
Pretpostavljam da su preko nečijeg naloga nešto prvo stavili u taj tmp dir a tek nakon toga mogli nešto dalje raditi. |
09. 01. 2011. | #6 |
expert
Grand Master
Datum učlanjenja: 11.04.2010
Poruke: 998
Hvala: 141
959 "Hvala" u 153 poruka
|
Možda su uploadovali PHP file i preko njega uradili deface.. Da su dobili kompletan pristup ili šta već mislim da bi još nešto "pokvarili".
|
09. 01. 2011. | #7 |
Ivan Dilber
Sir Write-a-Lot
|
proveri ti za svaki slucaj i ftp access log, ako vec nisi...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
"Hvala" ivanhoe za poruku: |
09. 01. 2011. | #8 |
Banned
Expert
Datum učlanjenja: 29.09.2007
Poruke: 458
Hvala: 131
71 "Hvala" u 44 poruka
|
ovde su tri fajla.
index.php svi get logovi iz other_vhosts_access svi logovi iz other_vhosts_access ali bez bot, yahoo, js fajlova i /images direktorijuma (samo slike, nista skipte u /images). Poslednja izmena od vidak : 09. 01. 2011. u 19:17. |
09. 01. 2011. | #9 |
mV
Certified
Datum učlanjenja: 22.08.2009
Lokacija: Novi Sad
Poruke: 67
Hvala: 0
16 "Hvala" u 13 poruka
|
Zanimljiv ovaj pokušaj izvršenja PHPa kroz HTTP UserAgent polje.
Malopre sam reprodukovao nekoliko takvih GET zahteva ka tvom serveru ali bez uspeha. Jomla (ili šta je već tamo) bezbedno javlja da komponenta nije pronađena. Ako ponovo budeš gledao logove, pristupao sam sa 213.198.... |
09. 01. 2011. | #10 |
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
|
A ciji je ovo uploader?
finansije.websoft.me:80 83.240.181.125 - - [25/Dec/2010:16:56:33 +0100] "GET //index.php?option=../../../../../../../../../../../../../../../../../../../../../../../..//tmp/x-treme%0000 HTTP/1.1" 200 7490 "-" " PHP kôd:
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
|
|