• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

bonucci

Servers de Freguesias

10 mensagens neste tópico

Boas pessoal, andei a ver um site chamado http://www.zone-h.org/archive e nos sites que foram ownados vi que tinha um carrego de sites de freguesias que foram hackados, todos eles pertencentes ao mesmo server , http://www.zone-h.org/archive/page=3 , um exemplo está aqui http://www.zone-h.org/mirror/id/10035617 foram todso feitos pelo mesmo, eu por curiosiadade fui ver por onde ele deve ter exploitado. Confesso que o que vi n me admirou nada que fosse facilmente concretizado, mas axo que o mais provavel é terem feito por ftp, (proftpd 1.2.10) uma versao bem antiga.

O que acham?Será qeu essa é a melhor hipotese por terem a concretizado?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Explica-te melhor.. "foram todso feitos pelo mesmo" ?? Pelo mesmo quê, grupo? Exploit?

"todos eles pertencentes ao mesmo server" Isso deve-se ao facto de estarem alojados na mesma empresa de hosting. No caso desse link que mostraste, o site estava alojado em: http://www.portugalinteractivo.pt/

Fazendo um Reverse IP conseguimos saber todos os sites que estão alojados nesse server:

http://www.ip-adress.com/reverse_ip/194.79.73.109

Abraço.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

eu sei, a pergunta era se o atacante terá exploitado por ftp

fica bem

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

eu sei, a pergunta era se o atacante terá exploitado por ftp

fica bem

Isso já não te sei responder, mas é possível que tenha sido por FTP (é o suficiente para poderem mudar a index).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Desculpem la a noobice e ser um bocado offtopic mas o reverse ip é tipo reverse engenering?

:cheesygrin:

Quero dizer ... analizar os pacotes no protocolo? (se sim para que servem snifers tipo o wireshark que já trazem os pacotes todos analizados e bonitinhos para os ver-mos?)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Reverse IP é basicamente pedir ao servidor de DNS para te dizer que hostnames apontam para aquele IP.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porque é que falaram de FTP e não de outra coisa qualquer?

Pode ter sido de uma forma qualquer que lhes permita colocar qualquer coisa lá na pasta que śervida pelo apache.

Sendo que foi trasnversal a sites alojados na mesma empresa de alojamento, podemos concluir que foi algo que aquele serviço de alojamento disponibilizava que era comum a todos os sites.

Pode ter sido o servidor web, um programa CGI ou em PHP, até por sql é possível com alguma perícia aceder ao sistema de ficheiros.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Pelo que vi partiu-se do principio que tivesse sido por FTP porque a versão do FTPD que é indicada, tem falhas bastante conhecidas. Ainda assim tenho de concordar que possa ter sido por qualquer outro metodo. Se todos os sites foram feitos num intervalo de datas curto, penso que poderia ter sido por FTP, com a subsequente instalação de um rootkit que permitisse comprometer o server por inteiro, e assim modificar o index de varias paginas sem grande esforço.

    Acho que o modificar o index de um site se tornou quase na "base" de qualquer ataque informático. É uma especie de "declaração de presença". Mas existem demasiadas variaveis envolvidas no exemplo apresentado e não tenho informação suficiente para poder dar uma opinião mais concreta. Eventualmente podem ter comprometido o servidor pelo painel de administração, por exemplo.

Cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Pelo que vi partiu-se do principio que tivesse sido por FTP porque a versão do FTPD que é indicada, tem falhas bastante conhecidas. Ainda assim tenho de concordar que possa ter sido por qualquer outro metodo. Se todos os sites foram feitos num intervalo de datas curto, penso que poderia ter sido por FTP, com a subsequente instalação de um rootkit que permitisse comprometer o server por inteiro, e assim modificar o index de varias paginas sem grande esforço.

Ok, claramente vocês estão a falar de qualquer coisa que eu ignoro por completo.

Podem explicar-me porque é que referiste FTP e rootkits? A única coisa que eu sei é que o hacker teve acesso de escrita às pastas servidas pelo servidor web. Acredito que se mudou uma catrefada delas ao mesmo tempo terá sido através a execução de um comando ou de um script. Como este foi executado não sabemos, há 1001 maneiras de conseguir isso, muitas que nós nem sabemos que existem.

Onde é que é referida a versão do servidor de ftp, acho que é isso que me está a escapar.

Acho que o modificar o index de um site se tornou quase na "base" de qualquer ataque informático. É uma especie de "declaração de presença".

De qualquer ataque não diria. Limitaria mais este tipo de comportamento a ataques de certa forma menos maliciosos. Mudar a página de entrada num site é uma coisa com poucos impactos reais, é um pouco como quem diz: "pessoal, tomem cuidado, olhem como isto está desprotegido".

Bem pior são ataques que passam despercebidos mas que têm intenções bem mais maliciosas. Se um hacker ganha permissões num servidor e fica em posição de destruir dados, ou de publicar dados sensíveis e  de os usar em seu benificio para crimes, mas em vez de qualquer uma dessas opta por colocar uma página mais ou menos fanfarrona no endereço de aterragem do site, podemos dizer que até foi um gajo porreiro no fim de contas.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

    Explicando o meu comentário:

Ok, claramente vocês estão a falar de qualquer coisa que eu ignoro por completo.

Podem explicar-me porque é que referiste FTP e rootkits? A única coisa que eu sei é que o hacker teve acesso de escrita às pastas servidas pelo servidor web. Acredito que se mudou uma catrefada delas ao mesmo tempo terá sido através a execução de um comando ou de um script. Como este foi executado não sabemos, há 1001 maneiras de conseguir isso, muitas que nós nem sabemos que existem.

Onde é que é referida a versão do servidor de ftp, acho que é isso que me está a escapar.

    Com base nos post's abaixo citados fiz uma sopusição, desconheço a versão, desconheço o site alvo, e apenas fiz uma suposição. Ao que parece a minha sopusição deixou alguma confusão. Parte do trabalho de administração de sistemas consiste precisamente em "prever" os possiveis ataques de forma a mitiga-los, ou prevenir-se deles. Ou seja eu sou pago para fazer exactamente isso.

Confesso que o que vi n me admirou nada que fosse facilmente concretizado, mas axo que o mais provavel é terem feito por ftp, (proftpd 1.2.10) uma versao bem antiga.

O que acham?Será qeu essa é a melhor hipotese por terem a concretizado?

Isso já não te sei responder, mas é possível que tenha sido por FTP (é o suficiente para poderem mudar a index).

    Fazer suposições, deduções com base em factos, ou dados meramente conjecturais, e tomar a decisão que seja mais acertada. Acho que isto faz parte do trabalho de qualquer administrador de sistemas.

    Uma coisa que aprendi ao longo dos anos de administração de sistemas, é que "vai acontecer", é inevitavel que uma intrusão aconteça, por isso quando elas acontecem analiza-se, muitas vezes fazem-se conjecturas, de como terá sido e por onde terá sido efectuado o ataque, e a forma de como ele terá sido efectuado, de forma a que não volte a acontecer, e se possam "seguir os passos do intruzo", para se avaliar a extenção de danos, limitar os danos, tomar medias e  em ultima instência, passar para as autoridades a maior quantidade possivel de informação fidedigna, para que elas tratem de fazer a parque que a elas diz respeito, no seguimento dos tramites legais.

De qualquer ataque não diria. Limitaria mais este tipo de comportamento a ataques de certa forma menos maliciosos. Mudar a página de entrada num site é uma coisa com poucos impactos reais, é um pouco como quem diz: "pessoal, tomem cuidado, olhem como isto está desprotegido".

Bem pior são ataques que passam despercebidos mas que têm intenções bem mais maliciosas. Se um hacker ganha permissões num servidor e fica em posição de destruir dados, ou de publicar dados sensíveis e  de os usar em seu benificio para crimes, mas em vez de qualquer uma dessas opta por colocar uma página mais ou menos fanfarrona no endereço de aterragem do site, podemos dizer que até foi um gajo porreiro no fim de contas.

    A alteração do index.html de uma pagina é o tipo de ataque mais comum. É ilegal, e apesar de ser o que menos danos provoca, (pelo menos aparentemente), pode levar até ao despedimento de um Administrador de Sistemas. Convinhamos que brincar com a vida dos outros é no minimo inadmissivel. Ainda assim esse tipo de ataques acontece, e como disse e mantenho a minha analize fundamentando-a em factos de analize comportamentual, associados a este tipo de ataque, quem os realiza são pessoas com conhecimentos avançados de informática, com uma grande capacidade intelectual, situados numa faixa etaria entre os 16 e os 35 anos, que apenas realiza o ataque por oportunidade ou desafio, e modifica a pagina como forma de "dizer que lá esteve", para satisfazer o proprio "Ego". Este tipo de "ataque" normalmente não faz mais nada do que deixar a dita pagina modificada, ainda que existam excepções. Em alguns casos os atacantes passam para o "nivel seguinte", do ataque, e não se ficam por apenas modificar a pagina inicial, podendo utilizar outras tecnicas para garantir futuro acesso ao servidor, por exemplo, entre outras coisas.

    Mais uma vez volto a referir que cada caso é um caso e mediante o ataque pode tentar-se fazer sopusições e deduções logicas com base nos dados conhecidos do ataque realizado. Ainda que sejam apenas dados especulativos, podem sempre constituir uma base para uma investigação posterior da falha(s) que estiveram na origem do ataque e consequentemente ajudar na limitação dos danos por ele causados.

    Espero ter sido esclarecedor sobre o meu post, e a sua origem. Mais uma vez reafirmo que não conheço o caso concreto, e apenas fiz uma analize que a meu ver é perfeitamente banal.

Cordiais cumprimentos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora