Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5
RSS
Хроника инцидента
 
Цитата
GR пишет:

Потом очень здорово что сек лаб  честно признались в факте взлома,
SecurityLab к описанному инциденту не имеет никакого отношения.
Цитата
GR пишет:

начинает возмущаться "БОЖЕ МОЙ, НАС ПЫТАЛИСЬ ПОЛОМАТЬ! МТУ ПРИМИТЕ МЕРЫ!"
Интересно, где Вы увидели в этой публикации возмущение и призывы к МТУ принять меры?
 
nmalykh
А почему на сервере для защиты от выполнения команд через уязвимые скрипты, тем более при наличии phpBB, не используется safe_mode и/или дополнительные меры вроде запрета опасных функций(что может включаться с точностью до вхоста либо глобально, в php.ini) и почрутеный апач? Какой пример Вы подаете молодежи?! :)

<VirtualHost blah.com>
...
<IfModule sapi_apache2.c>
   php_value disable_functions  "dl,shell_exec,exec,system,passthru,popen,proc_open,proc_nic e,proc_get_status,\
proc_close,proc_terminate,posix_mkfifo"
 php_admin_flag safe_mode on
 php_admin_flag allow_url_fopen off
 php_value open_basedir "/var/www/blah.com/"
</IfModule>
</VirtualHost>

Для Apache 1.3.x s/sapi_apache2.c/mod_php.c/

Логи действительно забавные, особенно второй - победа была так близка! ))) Если бы это был более продвинутый кид, то задействовал бы скрипты для заливки либо include и после получения шелла солярине могло бы стать ой...
 
Цитата
r00t пишет:
Какой пример Вы подаете молодежи?! :)
Дурной. Каюсь и посыпаю голову пеплом  [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG]
 
nmalykh, большое спасибО!
 
localhost ~ # emerge -pv phpBB

These are the packages that I would merge, in order:

Calculating dependencies
!!! All ebuilds that could satisfy "phpBB" have been masked.
!!! One of the following masked packages is required to complete your request:
- www-apps/phpBB-2.0.17 (masked by: package.mask, ~x86 keyword)
# Aaron Walker <ka0ttic@gentoo.org> (30 Jun 2005)
# Masked due to constant security bugs.


----------
забавно =)
 
Цитата
nmalykh пишет:
 
Цитата
GR пишет:

Потом очень здорово что сек лаб  честно признались в факте взлома,
SecurityLab к описанному инциденту не имеет никакого отношения.
Цитата
GR пишет:

начинает возмущаться "БОЖЕ МОЙ, НАС ПЫТАЛИСЬ ПОЛОМАТЬ! МТУ ПРИМИТЕ МЕРЫ!"
Интересно, где Вы увидели в этой публикации возмущение и призывы к МТУ принять меры?


Сорри  действительно секъюрити лаб ни где не упоминается , почему я решил что это имеет отнашение к ним хз... принашу извенения,  по поводу второго простите, а как еще расценить следующее : "Кстати, после завершения анализа администраторам MTU было направлено письмо с записями, подтверждающими факт инцидента, но они сочли возможным игнорировать это обращение."   ?????? причем автор  говарит что он обратился к обоим провам, и сокрушается по поводу что они ни чего не предприняли.... если есть другое объяснение выскажите его , пока я склонен расценивать  это как  обращение  с просьбой именно  принять меры...если бы автор просто уведомил их ему бы было плювать  среагировали они или нет.
 
Цитата
GR пишет:
причем автор  говарит что он обратился к обоим провам, и сокрушается по поводу что они ни чего не предприняли...

Автор констатирует факт. И все. Только то, что он обратился к провам, как всякий сознательный администратор. Далее в обсуждении он сообщает, что в большинстве случаев провайдер реагирует.
Цитату приветсти? Флейм про "засудим" раздулся в форуме, в чем виноват и я, в том числе. Каюсь.

Уже дела прова, что предпринимать, смотреть ли что там у товарища за троян стоит, или предупредить что бы хакал - но только через прокси. В любом случае, было бы неплохо, что бы провайдер просто сказал - ок, письмо получили. Но это отнюдь не обязательно.

А то что там рассказывал Panas333 про страшное раскрытие личности и уход к другому провайдеру, просто умиляет.
ЛЮБОЙ провайдер будет просто счатлив, если все кул и не кул хакеры уйдут к конкуренту. Служба abuse, как не странно, наоборот повышает качество обслуживания клиентов.
Знаю я одного провайдера в nnov.ru :-) так у него и перегруз smtp трафика мониторится и клиентов могут заскать на предмет релеев и соксов (это в договоре прописано, если что) уже не один год, и удивитесь - клиенты просто счастливы. И не знают, что это такое - разборки с провайдером по поводу лишних надцати мегабайт траффа который "я не брал!!".
А то что десяток "нетвариоров" у которых "реверсшел не проходит" уйдут к другому провайдеру... Да я вас умоляю.
 
Цитата
Гость пишет:
nmalykh, большое спасибО!
За что?
 
Цитата
GR пишет:
"Кстати, после завершения анализа администраторам MTU было направлено письмо с записями, подтверждающими факт инцидента, но они сочли возможным игнорировать это обращение."   ?????? причем автор  говарит что он обратился к обоим провам, и сокрушается по поводу что они ни чего не предприняли.... если есть другое объяснение выскажите его , пока я склонен расценивать  это как  обращение  с просьбой именно  принять меры...если бы автор просто уведомил их ему бы было плювать  среагировали они или нет.
Ей богу, Вы выдаете желаемое за действительное. Не сокрушался я по поводу отсутствия ответов от провайдеров, и сейчас не сокрушаюсь. Я всего лишь написал о том, что оба провайдера были проинформированы об инциденте и сочли нужным не отвечать (в конце концов, это их право). Кстати, было также отмечено, что обычно провайдеры реагируют на подобные сообщения от администраторов.
 
При любом раскладе все это езначительно, ибо я  , повтарюсь,  думал что это относится к секюрити лаб (еще раз сори), поэтому то и среагировал так....

ЗЫ В моей практике админы провайдеров не горят желанием сообщать о своих реакциях :)  Так что может статься (а скорее всего именно так и было)  с виновным расторгли в тихарину договор и все .
 
Цитата
Гoсть пишет:
Выдержка:
"Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети..."
"При исследовании компьютера" факт существования "скопированной информации" в "ОЗУ ПК" доказать технически невозможно ;). В кэше при работе с форумом тем более ничего не остается, кроме куков и картинок. А по логам провайдера можно только увидеть connect source-ip,port - dist-ip,port.
Кто вам разрешит изымать "компьютер взломщика"? На основании чего?
PS: Тоесть если у меня есть порно-сайт малолеток, то это охраняемая законом информация?
 
1) отзывчивость российских
сисадминов?
это вымысел, все попытки выяснить
что-либо о подозрительном
трафике оканчиваются молчанием  

2) Преступление и наказание  
если атака проводится через
анонимные прокси и у вас не
правительственый сайт, не
теряйте время - никто не поможет

3) все-таки не стоит ставить на
серверы форумы, которые каждый
месяц занимают вершины
хит-парадов-уязвимостей
и как тут верно подметили есть
еще mod_security =)
 
Пипл, а не кажется ли вам, что расследование инцидентов - очень благодатная тема? Если написать живым и интересным языком - читать можно запоями.
 
Kak залить файл на форум phpBB
 
Неплохая статейка, есть тут свежая мысля насчет config.inc.php
Страницы: Пред. 1 2 3 4 5
Читают тему