• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

bonucci

Devia ir para Bruxo looool

31 mensagens neste tópico

Quando fores ao bruxo pede-lhe os numeros do euromilhões que sai na sexta. Assim todos podemos acertar!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

já agora, alguem tem ideia que codigo foi usado aí nessa foto do site da gaja para aparecer esses popups?

Codigo em java?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Aquilo é Javascript, e a janela dos comentários está aberta (é a com o urso), por isso deve ter sido injectado por aí. Programadores web medíocres é o que dá.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ice brain, entao pelo ataque que foi feito no site dela deveria ter sido feito por um lammer?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, aquele "hack" é bastante simples.

Se o objectivo fosse fazer um "defacement" do site, o "hacker" arranjado forma de alterar a página inicial, e não estava à espera que um utilizador por acaso fosse ao blog, e por acaso clica-se nos comentários.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

hum, tou a ver, e já agora, podes dar uma ideia desse codigo de como é composto?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, aquele "hack" é bastante simples.

Se o objectivo fosse fazer um "defacement" do site, o "hacker" arranjado forma de alterar a página inicial, e não estava à espera que um utilizador por acaso fosse ao blog, e por acaso clica-se nos comentários.

Sim se realmente fosse um "trabalho minimamente expecializado" seria um defeace na pagina principal, com a substituição do index.html, ou algo mais elaborado. Ao que me quiz parecer foi mais uma brincadeira de um programador web, e não de um "hacker".

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pois, realmente o que vcs dizem tem muito sentido mesmo, é o mais provável.

Já agora, por acaso algum de vcs tem ideia se ha por aí pelo porto, se algum de vcs for daqui algum curso pentesting?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Já agora, por acaso algum de vcs tem ideia se ha por aí pelo porto, se algum de vcs for daqui algum curso pentesting?

tens um post mesmo sobre isso... de tempos em tempos um amigo meu dá em portugal... mas é a sério e requer já conhecimentos de redes e sistemas... e é caro.. para lá dos 1000 euros

http://www.portugal-a-programar.pt/index.php?showtopic=25445

sobre o ataque não vi foi ninguem explicar como fazer, e sendo assim tão simples, como o fizeram....

obvaimente não foi com <script>alert('maite vaca');</script> num texto do blog... acho que vos escapa mt coisa mesmo e gostava se saber se alguem sabe como foi...

h3h3h3h agora é um site todo em flash.. coitadinha... mas tb com a forma como os programadores encaram a segurança e pelo que já vi como resposta neste forum... e o tempo, o baixo preço dos sites e serem feitos em fabricas de sites... mas aqui é outra coisa... é mesmo o servidor... "owned"

e aproveito para mostrar como se pode fazer a sério e o porque ser tão importante as actualizações... aproveito para um disclaimer dizendo que isto é por puros motivos educativos e para realçar a necessidade das actualizações. esta info é publica e a se alguem aplicar será o responsavel

o servidor é que é um asco e não o site como voçes pensam... pr acaso é raro ver um servidor tão marado e vulneravel como o que hosta o site dela... da-se, ou os gajos da The Planet tão cheios de trabalho ou não sei... aquilo é só portas abertas com buracos. e falo do servidor para acesso root "owned"

é o capitalismo... é tudo uma questão de guita. se queres segurança tens de pagar mt mais o que é ridiculo hoje.. quer firewall? pague bue.

eu não disse nada mas reparem nisto

Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-05 13:03 Hora padrão de GMT

Not shown: 979 closed ports
PORT      STATE SERVICE  VERSION
21/tcp    open  ftp      ProFTPD 1.3.1

começo logo pelo primeiro serviço(pois este servidor é um caos e há tanto por...)

21/tcp    open  ftp      ProFTPD 1.3.1

a qt de vulnerabilidades para esse serviço e versão

http://www.saintcorporation.com/cgi-bin/demo_tut.pl?tutorial_name=ProFTPD_vulnerabilities.html&fact_color=&tag=

get  ROOT "woned" para as versões

ProFTPD Project ProFTPD 1.3.2 rc2

ProFTPD Project ProFTPD 1.3.1

http://www.securityfocus.com/bid/33722/info

uma explicação mais técnica

Exploiting this issue could allow an attacker to manipulate SQL queries, modify data, or exploit latent vulnerabilities in the underlying database. This may result in unauthorized access and a compromise of the application; other attacks are also possible.

e o exploit

http://downloads.securityfocus.com/vulnerabilities/exploits/33722.pl

com isto podem ter acesso total ao FTP e já sabem o que isso significa. não precisam mais nada mas se quiserem ir mais longe dã-lhe com um exploit de linux local para ter shell mesmo...

até isto... sei lá.. o servidor é que é o lamer aqui... tb podia ser o site mas com um servidor destes

http://vdb.dragonsoft.com/detail.php?id=2894

e cuidado como falam dos tugas... desde há mt que por cá andam das melhores teams. a maioria tornou-se foi apenas profissional... mas em caso de guerra... surgem

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas infelizmente nunca ouvi falar em times tugas, que eu saiba pelo menos.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

E uma coisa que reparei por aí é que muita gente substima os informaticos portugueses, mas também não sabem que temos grandes empresas na área da programaçaõ e segurança informatica que trabalham pela Nasa.

E também muita gente fala que em portugal temos uma boa segurança informatica mas também temos que ver que normalmente os ataques são feito por ideologias politicas, e Portugal n insere bem nessa categoria de Países alvos.


"The only bad information is not enough information"

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ya, eles entraram com root e em vez de mudarem a página inicial foram mudar a página de comentários, e esperaram que alguém por sorte lá carregasse. Right...

Não é mais provável a caixa de comentário não fazer verificação decente de javascript e terem posto aí porque era muito mais fácil.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Não é mais provável a caixa de comentário não fazer verificação decente de javascript e terem posto aí porque era muito mais fácil.

achas mesmo mais fácil? se em segundos consegues aceder á BD da forma que eu demonstrei... e ai não há validações que lhe valham, nem no container onde vai ser apresentado o texto... se analisares aquele servidor com o nmap vais entender porque digo que o servidor ali é o caminho... tá todo infected...

mas há ppl que se farta de falar mas nunca se vê nada de concreto, como uma prova de conceito a demonstrar porque acha tão simples... e como te disse já não é como uma simples tag de script com alert´s... isso é para ver se o servidor é vulnerável ou não

e faz lá uma prova de conceito de uma janela a abrir caso o campo de texto não satanize o input.. .é que não te esqueças que é preciso fazer correr aquele código e como sabes os textos são apresentados em containers especiais... podes escolher qualquer software de blog disponível...

o XSS é mais usado para outras coisas... por exemplo um shell em javacript ou para permitir correr codigo no servidor que seja apenas um passo para outros voos

é curioso neste mundo quando se vai crackar algo já se têm lá as portas e tools de cracks anteriores  :D

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tipo, como se vê na imagem (aqui em maior), aquilo foi feito por gajos do chupa-mos.com.

O tópico onde tudo começou era este (entretanto apagado):

forum.chupa-mos.com/topicos-extintos/336077-vamos-spamar-maite-proenca-com-um-ataque-xss-no-blogue-dela.html

Os códigos que eles usaram (e que já não funcionam), estão aqui:

http://forum.chupa-mos.com/showpost.php?p=6826524&postcount=36

Agora vai lá dizer aos gajos que não usaram javascript na caixa de comentários, sim?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sem comentários.... Usar exploits escritas por outros é relativamente simples. Escrever as proprias exploits é outra "musica".

Por acaso e por infelicidade um site de um grande amigo meu foi vitima de um ataque recentemente, precisamente um ataque deste genero.... Coisa  de "miudos" não teve piada nenhuma.

Longe vai o tempo em que quem percebia da "poda", partilhava o que sabia com quem também partilhava, e se andava menos com "briguinhas" de quintal.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Sem comentários.... Usar exploits escritas por outros é relativamente simples. Escrever as proprias exploits é outra "musica".

Por acaso e por infelicidade um site de um grande amigo meu foi vitima de um ataque recentemente, precisamente um ataque deste genero.... Coisa  de "miudos" não teve piada nenhuma.

Longe vai o tempo em que quem percebia da "poda", partilhava o que sabia com quem também partilhava, e se andava menos com "briguinhas" de quintal.

será assim? não concordo... precisas saber mts coisas para usar e tirar partido correcto do exploit... se fosse assim tão simples não havia site no ar porque o que não falta é putos a quererem se mostrar

e como usar um exploit? já tentaste? e o que fazer no sistema alvo? como apagar o rasto? como não ser descoberto? como aceder ao que interessa? até parece que é só executar um comando e prontos... hummmmm  :thumbdown:

e sempre se viveu das partilhas e isso continua... e achas que os exploits realmente interessantes são públicos? os que se tornam públicos rapidamente são anulados por correcções no software

só que hoje a comunidade under está dividida.. uns andam pelo negócio e outros continuam pelo gosto do saber e pelo poder de pode a qualquer momento... :=)

o verdadeiro cracker continua mt na mesma... alias se veres o metasploit é uma framework para fazer e usar exploits... os que lá estão são apenas para testes e bem velhinhos... todos com correcções já disponiveis...

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Como deves calcular a muitas das perguntas que fazes não irei responder.

Não disse que era facil, mas também não é dificil. Até no youtube tens manuais em video completissimos. Eu não gosto de os ver lá!

Tens razão que os exploits realmente interessantes não são "publicos", na sua grande maioria continua guardado a sete chaves, por quem os fez, e sabe usar. Por acaso já vi a framework que falas, mas não lhe dei grande bola. Não tive com pachorra. A comunidade under está "temporariamente desaparecida" digamos... Os unicos sites nacionais que valiam a pena estão encerrados. Um deles está com a pagina de tesde do Apache em CentOS.

Digamos que noutros tempos as coisas eram "diferentes". Até 1996 +/- ... Depois disso as coisas ficaram um bocado à bandalheira. Provavelmente lembras-te de alguns castiços que eu também me lembro.... e as famosas para NT 4.0 (Nice Try)....

Eu fico respeito quando fazem o ataque entrando no server, ganhando root, e fazendo algo ecticamente correcto como deixar apenas um txt a avisar o sysadmin da falha. E não acredito na resposta "nunca fui vitima de ataque bem sucedido", acredito apenas em duas respostas: "Sim" e "Não Sei". Doutra forma é pura e simplesmente Treta! E tu sabes tão bem disso quanto eu!

O site alvo por acaso deu uma trabalheira do caraças limpar e ainda está em limpezas, mas mais chocante foi ter reparado que o servidor parece um passador, tem mais buracos que um coador de leite! E não foi por esses buracos que os tipos fizeram a "asneira" foi via exploit para iFrame. Já agora o trabalho foi minimamente bem feito.

A solução passou por descarregar o site todo, descobrir o codigo da "infecção", e como estava largamente espalhada, correu-se um programazito para procurar a string da infecção e indicar quais os ficheiros, para poder ser removida manualmente.

Cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O site dela estava cheio de falhas.

P.S: Quanto ao "deface" se é que se pode considerar, é apenas script kiddie stuff.

Enganei-me e postei esta mensagem noutro tópico.  :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

apocsantos... como sabes como foi feito o ataque visto haver vários vectores vulneráveis? (esta pergunta não é o que parece... é apenas do ponto de vista técnico... não estou a querer dizer nada)

e porque continua a ser vitima? tendo em conta que mudaram o site e agora é um em flash... o que se passa é que agora está alguém constantemente a olhar para lá para repor o que é alterado... basta repor o swf

se analisaste o servidor viste que para um cracker o caminho mais apetecido é "owned"... e se é possível isso de uma forma tão básica, porque se há de fazer outra coisa? é que com owner coloca-se um rootkit e bye bye... o acesso mantém-se e mantem-se e mantém-se... e dá sempre jeito ter servidores ao dispor... dantes colocavam-se lá servidores de IRC... hoje...

o que sabes sobre a cena craker em PT? pelo que dizes... hummm... o que se passa é que agora é mesmo underground... há dinheiro envolvido e há cenas que se podem considerar... pahh... há um grande negócio de detectives privados a investigar casos de infidelidade... entendes?

e tendo em conta a falta de compreensão que houve em relação à comunidade... o que tu falaste de descobrir buracos e avisar sabes no que já deu? condenação... os gestores não gostam que seja alguem de fora a descobrir os buracos... o ppl teve de se adaptar

agora ou pertences a um tigger team.... ou brincas... ou penas investigas... ou... dentro do ultimo ou para mim há diversos níveis... nem todos são assim tão... mulher que trai merece ser apanhada...

mas em todos os casos e tendo em conta as perseguições que o ppl é alvo... se queres "brincar"... vai bem fundo no underground, porque perseguem-te até só por passares informação delicada e se poderem...

o que não se vê não quer dizer que não existe B)

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

apocsantos... como sabes como foi feito o ataque visto haver vários vectores vulneráveis? (esta pergunta não é o que parece... é apenas do ponto de vista técnico... não estou a querer dizer nada)

Não entendi! Podes esclarecer? Se te referes ao site dos meus colegas, acho que fizeste um bom trabalho de investigação para saber qual é. Eu por respeito a eles não coloco aqui o URL. Se te referes ao site que deu inicio a este post, a informação que sei foi a que fui lendo na net. Sou um leitor inteverado. (Só falta que ler o que é publicado seja crime).

(Não tenho conhecimento de ataques posteriores ao site, nem sequer o visitei tão pouco)

O site dos meus colegas eu intervi na qualidade de programador para dar apoio e resposta ao incidente. Uma vez que eles estavam à algumas horas em dificuldades e pediram a minha ajuda, além disso relaciono-me bem com os detentores do site e o seu criador. Num puro espirito de amizade e colaboração uma vez que ele também estuda informática, ajudei a resolver o problema. Não tenho por habito andar a atacar sites. Sabes que ser administrador de sistemas é mais "desafiador", e o meu "SN" não me permite aventuras.... Foram muitos anos a café e tabaco.... Agora é programar, fazer o meu trabalhinho, e ir lendo.

Dado que por motivos de saude, não consigo dormir o mesmo numero de horas que uma pessoa "normal" consegue; contando que o adulto "normal" deva dormir 6 a 8h, eu durmo 4h, 6h max (com recurso a medicação prescrita); e como tenho esta patologia à 15 anos, podes ter uma ideia de que já que não durmo, leio! Uma vez que tempo para ler não me falta! Tenho as noites para ler.... (Adaptei-me).

Já agora e caso fiques curioso fiquei com esta patologia como resultado de um acidente de viação.

Como o tempo me sobra, leio de caraças! Acho que é um bom desporto... MSN é uma valente seca, IRC ok aguenta-se bem, mas não tenho companhia pra noite toda.... Assim ler é um bom remédio! E a esposa não reclama tanto B)

Espero ter esclarecido as tuas questões sobre os meus conhecimentos do ataque.

Sinceramente acho pouco correcto "levantar lebres" sem ter dados concretos. Mas sobre isso esclarecemo-nos em PM.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
dormir 6 a 8h, eu durmo 4h, 6h max (com recurso a medicação prescrita);

essa patologia também surge sem acidentes :P... .com adrenalina :P

eu falava do site da senhora... era o assunto do tópico e pareceu-me que era desse ataque que falavas por isso perguntei... pois do ponto de vista do cracking nesse servidor, o FTP seria sempre o vector mais apetecível...

mas como administrador acho que deves também conhecer a perspectiva do outro lado (não te estou a dizer que não o sabes ou não o fazes... há mais pessoas que podem ler e podem não ter esta perspectiva)... é essa a minha posição como especialista de segurança/programador... nada melhor para defender que conhecer o ataque

mas com o decorrer das coisas cada vez mais o hactivismo é necessário... há uma guerra invisível por ai

e não levantei nenhuma lebre... foi o decorrer normal da conversa e não se passou nada, a meu ver

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O português é uma lingua muito traiçoeira! Mas ficou esclarecido o assunto da lebre.

No meu caso antes do acidente já havia adrenalina, depois do acidente tornou-se patologia porque ao contrario do normal eu mesmo não dormindo, não sinto o cansaço. Passando a explicar (após o acidente, seus tratamentos, e suas inerencias, eu passei de uma pessoa normal que dormia 8 a 10h por dia, para uma pessoa portadora de uma "anomalia" não incapacitante, que me impede de dormir. O sono tem 2 estagios o Sono REM e o Sono Não-REM (Rapid Eye Movement), o meu sono nunca chega ao segundo estágio. Na pratica eu estou sempre alerta, sempre com os miolos a trabalhar sem "fazer intervalo", e sem sentir desgaste por isso. A adrenalina ao fim de algumas horas acaba, o corpo perde o efeito dela, começa a sentir o cansaço, e o desgaste, no meu caso não o sinto. Alias sem a medicação não durmo! Aguento horas e horas a fio acordado... (Record seguido 76h), não me deixaram mais.... :P Gostava de um dia testar até onde conseguiria ir!) Conforme comprovado foi uma consequencia indirecta do acidente de viação sofrido. Assim sendo é uma patologia, no caso deficiencia não incapacitante, causada por acção humana.

Espero ter sido esclarecedor! :P

Sobre o site da Sra. em causa, eu nem sequer lá fui, porque não tinha interesse. O que poderia eu aprender ao ver um defeace feito por outros? Se fosse minha intenção investiga-lo, podia ter algum, mas não era. Li sobre o caso, acompanhei-o, continuo a acompanhar desenvolvimentos e contra-informação que vai surgindo, mas apenas para aquisição de conhecimentos.

De um ponto de vista tecnico, acho que as coisas foram mal feitas.... seria mais proveitoso colocar um rootkit ou algo assim. Mas pronto, quizeram marcar um ponto com um defeace! Marcaram o ponto deles!

O mal do hacktivismo é o facto de ser ilegal! Repara.... a lei anterior permita a investigação e o estudo sem que causa-se estragos. A nova diz que "A tentativa é crime". Bem nem todo o mundo tem um ambiente de testes para colocar um servidor seu, numa rede LAN sua, e simular ataques. Não me pronuncio sobre a lei! Acho que a intenção do legislador deveria ser colocar alguns travões a algumas coisas, mas tal como em outras leis, acabou "causando baixas colaterais desnecessárias", do meu ponto de vista.

Sim e uma guerra, ainda vi recentemente um documentário sobre isso, e falei com algumas pessoas sobre isso. Mas não vou combater a guerra dos outros, nem cometer o erro de Romuel.... Não vou "combater duas frentes" quando tenho de manter a cabeça concentrada numa. Se me fasso entender! A minha guerra é fazer bem o meu trabalho. Não me vou incomodar com outras "frentes" :D

Cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora