Страници: [1]   Надолу

0 Потребители и 1 Гост преглежда(т) тази тема.

*
29.06.2008 - ден без постинги
« -: Юни 30, 2008, 01:49:27 am »
Здравейте,
датата 29.06.2008 ще се запомни в Зачатие като деня в който има невероятно малко постинги:
0 Нови теми
9 Нови поста   
1 Нов потребител   
1868 Отворени странници в сайта

На фона на тази статистика днес сървъра ни беше повече от претоварен.
Първопричината е че най вероятно на 28-ми или на 29-ти рано сутринта е открит пробив в един от компонентите които ние ползваме на сайта и 10 хакера - 8 от Турция (комшийчета), един от Африка и един от Перу едновременно са решили да видят на кой могат да навредят.
Ето как става това:
1. В Гугъл се пуска заявка:
 http://www.google.com/search?hl=tr&lr=&rls=com.microsoft:en-US&q=inurl:com_beamospetition&start=60&sa=N
 където нашия сайт излиза на първа страница - страхотно, но и опасно.

2. На сайта който ползва този компонент се отваря адреса:
 http://www.zachatie.org/index.php?option=com_beamospetition&pet=-5%20UNION%20SELECT%20user(),user(),user(),user(),user(),user(),user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user()%20FROM%20jos_users--

който връща резултат списък в сички потребители от таблицата jos_users заедно с хеша на паролите им - точно както са записани в таблицата. Този адрес вече не работи, понеже счупения компонент е премахнат, но може да експериментирате с други сайтове  :wink:.

3. Така изброените пароли се кракват локално с bruteforce (груба сила) и резултата е че за броени минути по лесните пароли са намерени. Нашия отличнник е турчето от адрес: 88.246.206.88 и се е справил за около минутка с администраторската парола (тук има и наша грешка - паролата беше къса и съставена само от букви).

4. След което човека се логва и вилнее на воля.

За да е по-драматична картинката нашия приятел от африка (очевидно най съобразителен) с адреси: 196.206.141.133 и 196.206.147.21 (по известен като PR0H4CK3RZ) се усеща че ползваме брич компонент с форума и решава да се разпише и там.

Тази последователност е извършена от 9 от 10-те човека без никаква допълнителна координация - това се забелязва по логовете, защото всички са тръгнали от Гугъл. Но нашия африкански приятел е подочул директно адреса от някъде, защото е влезнал директно със запитването от точка 2. Това ме навежда на мисълта че или е някои от 8-те турчета който се е усетил и е превключил на прокси, или този адрес е бил публикуван директно в някой хакерски форум (младежа с адрес:88.252.18.245 е дошъл при нас директно от хакерския портал "http://www.cyberfatal.com/" - моля, не го посещавайте защото рискувате да се заразите с вируси).

Ето и равносметката:
 - 10 хаквания на сайта през един и същи вход (началото на това изречение е много лоша новина, но това последното е много добра новина)
 - 2 пъти сайта беше възстановяван от админите в ICN (много им благодаря за съдействието и търпението)
 - Голяма част от Турция вече не вижда сайта ни (всички подмрежи на Тюрк Телеком от които е имало атаки са с централно спрян достъп до всички сървъри на ICN)
 - Всички админи и модератори вече са с нови пароли.

Адресите от които бяхме атакувани са:
88.245.5.158   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.245.5.158
78.165.117.142   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.165.117.142
78.161.80.235   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.161.80.235
78.172.104.140   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.172.104.140
88.224.67.166   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.224.67.166
88.246.206.88   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.246.206.88
85.98.21.109   TurkTelekom http://www.db.ripe.net/whois?searchtext=85.98.21.109
125.164.213.29 s4va+was+here   http://wq.apnic.net/apnic-bin/whois.pl?searchtext=125.164.213.29
196.206.147.21 PR0H4CK3RZ   http://www.db.ripe.net/whois?searchtext=196.206.147.21   
196.206.141.133 PR0H4CK3RZ   http://www.db.ripe.net/whois?searchtext=196.206.141.133   
88.252.18.245   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.252.18.245   
190.40.50.92   TELEFONICA DEL PERU http://lacnic.net/cgi-bin/lacnic/whois?query=190.40.50.92

Подмрежите които са централно спрени са:
88.245.0.0 - 88.245.255.255
78.165.0.0 - 78.165.127.255
78.161.0.0 - 78.161.132.255
78.172.0.0 - 78.172.163.255
88.224.0.0 - 88.224.255.255
88.246.192.0 - 88.246.255.255
88.252.0.0 - 88.252.127.255
190.40.50.0/25

Поздрави и дано за в бъдеще имаме по-малко подобни изживявания.

И за последно - нека всеки който не иска да му влизат във профила да си смени паролата. По дефиниция акаунтите на обикновенните потребители не са интересни за хакерите, ама очевидно си имахме работа с аматьори този път, така че аз препоръчвам смяна на паролите :-).

Поздрави
Активен
*

    mini

  • *
  • 8160
  • purple addicted
Re: 29.06.2008 - ден без постинги
« Отговор #1 -: Юни 30, 2008, 08:26:17 am »
Благодарим за добре свършената работа
Добри  :bighug:
Активен
"Форумите са място за свободна дискусия между потребителите на сайта при спазване на правилата. Сдружение "Зачатие" не носи отговорност за изразените мнения от потребителите. Тези мнения не изразяват официалното становище на сдружение "Зачатие", освен в случаите, когато са публикувани изрично от името на сдружението."
"Прекалено много хора харчат пари, които не са спечелили, за да си купят неща, които не им трябват, за да впечатлят хора, които не харесват" Уил Смит
*

    Tamara

  • *****
  • 1662
  • Ако спориш с идиот, вероятно същото прави и той.
Re: 29.06.2008 - ден без постинги
« Отговор #2 -: Юни 30, 2008, 09:55:07 am »
Поздравления за добре свършената работа!


Вчера излизаше страница, че сайтът е хакнат от PR0H4CK3RZ.
196.206.0.0 - 196.206.255.255   AFRINIC-NET-TRANSFERRED-20050223
е африканска мрежа. Толкова много потребители от Африка ли посещават форума, че точно на тази мрежа й се размина централното спиране?
Активен
№1 - 18 г.
№2 - 13 г.
*
Re: 29.06.2008 - ден без постинги
« Отговор #3 -: Юни 30, 2008, 10:15:12 am »
Цитат на: Tamara в Юни 30, 2008, 09:55:07 am
Поздравления за добре свършената работа!


Вчера излизаше страница, че сайтът е хакнат от PR0H4CK3RZ.
196.206.0.0 - 196.206.255.255   AFRINIC-NET-TRANSFERRED-20050223
е африканска мрежа. Толкова много потребители от Африка ли посещават форума, че точно на тази мрежа й се размина централното спиране?
Точно обратното.
Решихме да не го спираме централно, защото както писах поведението на хакера от там е като на човек който вече е хакнал сайта от едно място и сега просто иска да се позабавлява като влезе директно ползвайки някой заразен компютър, и така да си напише прозвището.

Което ме навежда на мисълта че този човек е със статичен адрес - някой от изброените и след като е взел паролите се е усетил че може да бъде разкрит и се е опитал да насочи вниманието ни към по голям разрушител от адрес в африканската зона.

Поздрави
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #4 -: Юни 30, 2008, 13:02:22 pm »
Честно казано, вчера влязох привечер и направо изтръпнах, като ми се оплези черепа насреща. :x
Браво за бързата реакция и добре свършената работа. Отивам да си сменя паролата :wink:
Активен
*

    ultra

  • Анна Зашева
  • *
  • 7291
Re: 29.06.2008 - ден без постинги
« Отговор #5 -: Юни 30, 2008, 14:40:40 pm »
Браво, Добри!
Чета те, гледам колко добре си се справил с проблема и ми е кеф, че те познавам :beerdr:
Активен


“Experience is the name every one gives to their mistakes.” Oscar Wilde
*
Re: 29.06.2008 - ден без постинги
« Отговор #6 -: Юни 30, 2008, 15:08:37 pm »
Браво за добре свършената работа снощи направо се зачудих какво става появи се един череп някви буквички цифрички........ужасно е но все пак важното е че всичко е наред благодарение на   beast ! :D Поздравления
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #7 -: Юни 30, 2008, 15:39:53 pm »
Браво, Добри!
Перфектно свършена работа!

 :balk_47: :balk_47: :balk_47:
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #8 -: Юни 30, 2008, 17:14:26 pm »
Браво, наистина за бързата реакция! Но не се учудвам, че се навъртат подобни пакостници...В сайта влизат много хора, популярен е, та такива бели са май очаквани. И аз го видях това нещо късно снощи и първото, което си помислих беше за вируси?!  :D Щото напоследък все с вируси се боря, май. Възможно ли е да пращат и вируси по този начин, или целта е само да се блокира влизането в сайта?!
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #9 -: Юни 30, 2008, 17:27:44 pm »
Тъкмо започнах да се чудя къде са ми всичките постинги от вчера... Гадост!

Браво за бързата реакция и че сте се справили с проблема!
Активен
Особеност на огъня е, че гори независимо от посоката на вятъра!
*

    Tarja

  • *
  • 520
  • \m/ metal inside \m/
Re: 29.06.2008 - ден без постинги
« Отговор #10 -: Юни 30, 2008, 19:51:00 pm »
Поздравления за бързата реакция Добри!
На ниво както винаги :D
Активен
         Equally Destructive
*
Re: 29.06.2008 - ден без постинги
« Отговор #11 -: Юни 30, 2008, 20:37:36 pm »
Добри  :balk_5:
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #12 -: Юни 30, 2008, 21:40:02 pm »
Снощи съм изпуснала да видя 4ерепа,но затова пък онзи ден за няколко минути имаше порно в първата тема "Профилактика и грижи за репр. здраве" 8O
Ина4е браво за бързата реакция и добре свършена работа!!!
Активен
Ако се появят препятствия по пътя Ви - сменете посоката, а не крайната цел...





БЛАГОДАРЯ ВИ, Д-Р СТАМЕНОВ!
*

    mini

  • *
  • 8160
  • purple addicted
Re: 29.06.2008 - ден без постинги
« Отговор #13 -: Юни 30, 2008, 21:43:51 pm »
това с порното се стараем редовно да го чистим, имало е случаи по 20 теми и нагоре такива на ден да се чистят
Активен
"Форумите са място за свободна дискусия между потребителите на сайта при спазване на правилата. Сдружение "Зачатие" не носи отговорност за изразените мнения от потребителите. Тези мнения не изразяват официалното становище на сдружение "Зачатие", освен в случаите, когато са публикувани изрично от името на сдружението."
"Прекалено много хора харчат пари, които не са спечелили, за да си купят неща, които не им трябват, за да впечатлят хора, които не харесват" Уил Смит
*

    deep

  • *
  • 2887
  • believe in YOU
Re: 29.06.2008 - ден без постинги
« Отговор #14 -: Юли 01, 2008, 01:31:49 am »
Браво на Beast и целия екип, който се справи страхотно с това нешествие!


Активен

Хиляди гори са скрити в един малък жълъд. Р.У. Емерсън
*

    Pesheck

  • *
  • 5861
  • Туй аз няма да го търпя и толкоз!
Re: 29.06.2008 - ден без постинги
« Отговор #15 -: Юли 01, 2008, 10:11:47 am »
Поздравления на Beast и на всички които не са спали (сигурно) но реагираха бързо, адекватно и навреме!
Активен
*
Re: 29.06.2008 - ден без постинги
« Отговор #16 -: Юли 01, 2008, 11:40:31 am »
Дано сайта остане само с тази дата и да няма други !
Поздравления за добре свършената работа !
Активен
Страници: [1]   Нагоре