forum.opennet.ru - "Уроки после хакерского взлома." (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Уроки после хакерского взлома."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Уроки после хакерского взлома."
Сообщение от SubGun (??) on 16-Окт-06, 11:17
Вчера 15-го, около 10.00 по Москве, были заменены все индексные страницы моих сайтов на "hacked your system SPYKIDS". По SSH,FTP,Telnet зайти нельзя(циска рубит), поэтому скорее всего сделано было через дыры в скриптах PHP. Первый раз сталкиваюсь с таким. Что я могу сделать, чтобы проверить систему на наличие оставленных(возможно) вредных скриптов и предотвратить подобное в дальнейшем? FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уроки после хакерского взлома., Bad_UID, 11:31 , 16-Окт-06, (1)

Уроки после хакерского взлома., SubGun, 11:49 , 16-Окт-06, (2)

Уроки после хакерского взлома., Bad_UID, 12:33 , 16-Окт-06, (3)

Уроки после хакерского взлома., SubGun, 13:50 , 16-Окт-06, (4)

Уроки после хакерского взлома., Skif, 14:32 , 16-Окт-06, (5)

Уроки после хакерского взлома., SubGun, 15:22 , 16-Окт-06, (6)

Уроки после хакерского взлома., Skif, 15:26 , 16-Окт-06, (7)

Уроки после хакерского взлома., SubGun, 15:44 , 16-Окт-06, (8)
Уроки после хакерского взлома., SubGun, 17:02 , 16-Окт-06, (9)

Уроки после хакерского взлома., Skif, 18:48 , 16-Окт-06, (10)

Уроки после хакерского взлома., SubGun, 18:55 , 16-Окт-06, (11)

Уроки после хакерского взлома., bass, 06:37 , 17-Окт-06, (12)

Урок НОМЕР НОЛЬ!, Квагга, 12:58 , 21-Окт-06, (13)
Урок НОМЕР НОЛЬ!, SubGun, 10:10 , 23-Окт-06, (14)

Сообщения по теме [Сортировка по времени, UBB]

1. "Уроки после хакерского взлома."

Сообщение от Bad_UID (ok) on 16-Окт-06, 11:31

>Вчера 15-го, около 10.00 по Москве, были заменены все индексные страницы моих
>сайтов на "hacked your system SPYKIDS". По SSH,FTP,Telnet зайти нельзя(циска рубит),
>поэтому скорее всего сделано было через дыры в скриптах PHP.
>Первый раз сталкиваюсь с таким. Что я могу сделать, чтобы проверить систему
>на наличие оставленных(возможно) вредных скриптов и предотвратить подобное в дальнейшем?
>
>FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1
Прогнать сайт через xspider.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 11:49

А что это за тулза такая? Я ее в портах не вижу! :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уроки после хакерского взлома."

Сообщение от Bad_UID (ok) on 16-Окт-06, 12:33

>А что это за тулза такая? Я ее в портах не вижу!
>:(
Она под винду. Сканер безопасности. Ищется в гугле.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 13:50

Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю в чем разница между демо и обычной версией.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уроки после хакерского взлома."

Сообщение от Skif (ok) on 16-Окт-06, 14:32

>Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю
>в чем разница между демо и обычной версией.

Требуй консоль. Xspider может ничего и не найти, если у тебя стоит самопал.  Иди новая бага. Из портов можешь поставить nessus.
Тебе все равно надо логи почитать и пройтись по фс. Если это виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий каталог. и его надо пройтись по полной.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 15:22

>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит
>самопал.  Иди новая бага. Из портов можешь поставить nessus.
>Тебе все равно надо логи почитать и пройтись по фс. Если это
>виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий
>каталог. и его надо пройтись по полной.
Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи, конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www, значит все же PHP. Судя по тому, что для служебных сайтов не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости в PHP.
XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции". Жаль, что демка, можно было бы увидеть, что именно за скрипты имею такую уязвимость.
Кроме всего прочего, у меня сайты "register_globals on" используют.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уроки после хакерского взлома."

Сообщение от Skif (ok) on 16-Окт-06, 15:26

>>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит
>>самопал.  Иди новая бага. Из портов можешь поставить nessus.
>>Тебе все равно надо логи почитать и пройтись по фс. Если это
>>виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий
>>каталог. и его надо пройтись по полной.
>
>Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи,
>конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www,
>значит все же PHP. Судя по тому, что для служебных сайтов
>не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости
>в PHP.
>XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции".
>Жаль, что демка, можно было бы увидеть, что именно за скрипты
>имею такую уязвимость.
>Кроме всего прочего, у меня сайты "register_globals on" используют.

Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 15:44

>Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают.
Хорошо, спасибо, большое. Надеюсь справлюсь :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 17:02

Не подскажете, как с ней работать? Делаю
nessusd.sh start,
он догружает плагины, говорит:
Starting nessusd.
All plugins loaded
А в процессах глухо :( pid не создается.
core# core# ps -aux | grep nessusd
root  11084  0.0  0.1  1420   768  p1  RL+   4:51PM   0:00.00 grep nessusd
core# ps -aux | grep nessus
root  11090  0.0  0.1  1436   784  p1  RL+   4:51PM   0:00.00 grep nessus

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уроки после хакерского взлома."

Сообщение от Skif (ok) on 16-Окт-06, 18:48

>Не подскажете, как с ней работать? Делаю
>
>nessusd.sh start,
>
>он догружает плагины, говорит:
>
>Starting nessusd.
>All plugins loaded
>
>А в процессах глухо :( pid не создается.
>
>core# core# ps -aux | grep nessusd
>root  11084  0.0  0.1  1420   768
> p1  RL+   4:51PM   0:00.00 grep
>nessusd
>core# ps -aux | grep nessus
>root  11090  0.0  0.1  1436   784
> p1  RL+   4:51PM   0:00.00 grep
>nessus
Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу nessus и загружаете консоль. Потом тихо себе идете пить чай, когда оно начнет сканить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уроки после хакерского взлома."

Сообщение от SubGun (??) on 16-Окт-06, 18:55

>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу
>nessus и загружаете консоль. Потом тихо себе идете пить чай, когда
>оно начнет сканить.
Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер где уязвимости ищем или любой в сети? Что значит "прописать себя в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого нет, а формат его я не знаю, чтобы написать самому.
Я вот только начал читать доку с nessus.org, но вот эти моменты мне как раз не понятны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Уроки после хакерского взлома."

Сообщение от bass (??) on 17-Окт-06, 06:37

>>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу
>>nessus и загружаете консоль. Потом тихо себе идете пить чай, когда
>>оно начнет сканить.
>
>Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер
>где уязвимости ищем или любой в сети? Что значит "прописать себя
>в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого
>нет, а формат его я не знаю, чтобы написать самому.
>Я вот только начал читать доку с nessus.org, но вот эти моменты
>мне как раз не понятны.

nessus-adduser

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Урок НОМЕР НОЛЬ!"

Сообщение от Квагга on 21-Окт-06, 12:58

ПРЕЖДЕ ВСЕГО поискать строку "hacked your system SPYKIDS" в Яндексе и Гугле!
http://www.yandex.ru/yandsearch?stype=www&nl=0&text=hacked+your+system+SPYKIDS
Получить результат:
http://www.phpbbhacks.ru/community/topic10734.html
Читать.
Искать дальше.
Читать.
Вопрос на будущее ставить так: "У меня phpBB. Опять хакнули. Что поправить?"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Урок НОМЕР НОЛЬ!"

Сообщение от SubGun (??) on 23-Окт-06, 10:10

Прежде чем строить из себя умного и пытаться давать уроки, обратите внимание, что я описал свою систему(FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1). Если бы у меня стоял phpbb, я поставил бы вопрос именно так.
И урок номер два, для вас лично:
Если отрезать от моего mail(psa@pac.ru) имя домена, и посмотреть, что представляет собой мой сайт, озарение придет к тебе само собой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уроки после хакерского взлома."
Сообщение от Bad_UID (ok) on 16-Окт-06, 11:31
>Вчера 15-го, около 10.00 по Москве, были заменены все индексные страницы моих >сайтов на "hacked your system SPYKIDS". По SSH,FTP,Telnet зайти нельзя(циска рубит), >поэтому скорее всего сделано было через дыры в скриптах PHP. >Первый раз сталкиваюсь с таким. Что я могу сделать, чтобы проверить систему >на наличие оставленных(возможно) вредных скриптов и предотвратить подобное в дальнейшем? > >FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1 Прогнать сайт через xspider.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 11:49
	А что это за тулза такая? Я ее в портах не вижу! :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уроки после хакерского взлома."
	Сообщение от Bad_UID (ok) on 16-Окт-06, 12:33
	>А что это за тулза такая? Я ее в портах не вижу! >:( Она под винду. Сканер безопасности. Ищется в гугле.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 13:50
	Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю в чем разница между демо и обычной версией.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уроки после хакерского взлома."
	Сообщение от Skif (ok) on 16-Окт-06, 14:32
	>Шаровой, к сожалению, найти не могу, а демка пока сканит. Не знаю >в чем разница между демо и обычной версией. Требуй консоль. Xspider может ничего и не найти, если у тебя стоит самопал. Иди новая бага. Из портов можешь поставить nessus. Тебе все равно надо логи почитать и пройтись по фс. Если это виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий каталог. и его надо пройтись по полной.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 15:22
	>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит >самопал. Иди новая бага. Из портов можешь поставить nessus. >Тебе все равно надо логи почитать и пройтись по фс. Если это >виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий >каталог. и его надо пройтись по полной. Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи, конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www, значит все же PHP. Судя по тому, что для служебных сайтов не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости в PHP. XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции". Жаль, что демка, можно было бы увидеть, что именно за скрипты имею такую уязвимость. Кроме всего прочего, у меня сайты "register_globals on" используют.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уроки после хакерского взлома."
	Сообщение от Skif (ok) on 16-Окт-06, 15:26
	>>Требуй консоль. Xspider может ничего и не найти, если у тебя стоит >>самопал. Иди новая бага. Из портов можешь поставить nessus. >>Тебе все равно надо логи почитать и пройтись по фс. Если это >>виртуальный хостинг, тогда тебе все равно должен быть доступ в рабочий >>каталог. и его надо пройтись по полной. > >Консолей у меня завались, как по SSH, так и напрямую. Посмотрел логи, >конечно, посмотрел запущенные процессы, все нормально. Файлы, создавались с правами www, >значит все же PHP. Судя по тому, что для служебных сайтов >не добрались(административные консоли) - ломали каждый сайт по отдельности, через уязвимости >в PHP. >XSpider просканировал ~40% и нашел 64 уязвимости, две из которых - "SQL-инъекции". >Жаль, что демка, можно было бы увидеть, что именно за скрипты >имею такую уязвимость. >Кроме всего прочего, у меня сайты "register_globals on" используют. Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 15:44
	>Попробуй nessus, может больше расскажет. Сигнатуры они на шару отдают. Хорошо, спасибо, большое. Надеюсь справлюсь :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 17:02
	Не подскажете, как с ней работать? Делаю nessusd.sh start, он догружает плагины, говорит: Starting nessusd. All plugins loaded А в процессах глухо :( pid не создается. core# core# ps -aux \| grep nessusd root 11084 0.0 0.1 1420 768 p1 RL+ 4:51PM 0:00.00 grep nessusd core# ps -aux \| grep nessus root 11090 0.0 0.1 1436 784 p1 RL+ 4:51PM 0:00.00 grep nessus
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уроки после хакерского взлома."
	Сообщение от Skif (ok) on 16-Окт-06, 18:48
	>Не подскажете, как с ней работать? Делаю > >nessusd.sh start, > >он догружает плагины, говорит: > >Starting nessusd. >All plugins loaded > >А в процессах глухо :( pid не создается. > >core# core# ps -aux \| grep nessusd >root 11084 0.0 0.1 1420 768 > p1 RL+ 4:51PM 0:00.00 grep >nessusd >core# ps -aux \| grep nessus >root 11090 0.0 0.1 1436 784 > p1 RL+ 4:51PM 0:00.00 grep >nessus Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу nessus и загружаете консоль. Потом тихо себе идете пить чай, когда оно начнет сканить.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уроки после хакерского взлома."
	Сообщение от SubGun (??) on 16-Окт-06, 18:55
	>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу >nessus и загружаете консоль. Потом тихо себе идете пить чай, когда >оно начнет сканить. Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер где уязвимости ищем или любой в сети? Что значит "прописать себя в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого нет, а формат его я не знаю, чтобы написать самому. Я вот только начал читать доку с nessus.org, но вот эти моменты мне как раз не понятны.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уроки после хакерского взлома."
	Сообщение от bass (??) on 17-Окт-06, 06:37
	>>Да нормально. Нужно только себя в конфигах прописать. Потом конектитесь к серверу >>nessus и загружаете консоль. Потом тихо себе идете пить чай, когда >>оно начнет сканить. > >Я прошу прощения, если я туп. Ставить сервер nessus на тот сервер >где уязвимости ищем или любой в сети? Что значит "прописать себя >в конфигах"? Есть, я видел, ссылка на nessus.users, но файла самого >нет, а формат его я не знаю, чтобы написать самому. >Я вот только начал читать доку с nessus.org, но вот эти моменты >мне как раз не понятны. nessus-adduser
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Урок НОМЕР НОЛЬ!"
	Сообщение от Квагга on 21-Окт-06, 12:58
	ПРЕЖДЕ ВСЕГО поискать строку "hacked your system SPYKIDS" в Яндексе и Гугле! http://www.yandex.ru/yandsearch?stype=www&nl=0&text=hacked+your+system+SPYKIDS Получить результат: http://www.phpbbhacks.ru/community/topic10734.html Читать. Искать дальше. Читать. Вопрос на будущее ставить так: "У меня phpBB. Опять хакнули. Что поправить?"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Урок НОМЕР НОЛЬ!"
	Сообщение от SubGun (??) on 23-Окт-06, 10:10
	Прежде чем строить из себя умного и пытаться давать уроки, обратите внимание, что я описал свою систему(FreeBSD 5.4, PHP 5.0.4 и apache-2.0.58_1). Если бы у меня стоял phpbb, я поставил бы вопрос именно так. И урок номер два, для вас лично: Если отрезать от моего mail(psa@pac.ru) имя домена, и посмотреть, что представляет собой мой сайт, озарение придет к тебе само собой.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]